🍀概要
この資料は、過去のシステム監査技術者試験問題(論述形式)を一問ずつ要約しました。システム監査人のあるべき姿について、100文字、400文字で、AI(ChatGPT DeepResaerch)で要約しています。分析や考察に役立ちに役立ちましたら幸いです。
🧾問題・設問
出典:情報処理推進機構 システム監査技術者試験 平成6年~令和6年(1994~2024年) 午後2(🔗取り扱いガイドライン)
出典:情報処理推進機構 情報処理システム監査技術者試験 昭和61年~平成5年(1986~1993年) 午後2
要約前の問題文は、下記で公開しています。
🪄要約
📗100文字要約
【AU-S61-1-PM2-Q1】 情報処理システムの企画,開発業務の監査について
システム監査人は経営戦略との整合性を意識し,企画から開発までのプロセスを独立した立場で客観的に評価し,プロジェクトが適切に管理されているか責任を持って確認する。
【AU-S61-1-PM2-Q2】 情報処理システムの運用管理の監査について
システム監査人は日々のシステム運用手順や体制が整備され,適切に遵守されているかを独立・公正な視点で検証し,継続的で安定した運用管理が維持されていることを確かめる。
【AU-S61-1-PM2-Q3】 オンライン端末操作の正当性監査について
システム監査人は利用者認証や権限管理など内部統制の有効性を客観的に確認し,不正アクセスや誤操作を防止する統制が適切に機能しているかを責任ある態度で検証する。
【AU-S61-1-PM2-Q4】 情報処理システムの内部統制について
システム監査人は組織の情報システム全般における内部統制(アクセス管理,職務分掌,変更管理等)の整備状況を経営視点で評価し,統制が実効性をもって組織目的達成に寄与しているかを確認する。
【AU-S62-1-PM2-Q1】 情報処理システムの開発部門の監査について
システム監査人は開発部門の体制・プロセスを監査し,レビューやテストなど品質管理が適切に機能し,独立性を保ったチェック体制でプロジェクトリスクに対応しているかを客観的に評価する。
【AU-S62-1-PM2-Q2】 情報処理システムに関する部門間の内部統制の監査について
システム監査人はユーザ部門とIT部門間の役割分担と協力関係が明確で効果的かを確認し,部門間の統制が整いリスクが適切に共有・管理されているかを独立した立場で評価する。
【AU-S62-1-PM2-Q3】 情報処理システムの障害管理の監査について
システム監査人は障害発生時の検知・報告・復旧・再発防止までの手順が整備され適切に運用されているかを確認し,継続的にシステム信頼性を確保する統制が有効に機能しているかを検証する。
【AU-S62-1-PM2-Q4】 オンラインリアルタイムシステムの運用の監査について
システム監査人はリアルタイムシステム特有の可用性や性能リスクに注目し,監視体制や負荷対策が適切かを客観的に評価して,オンライン業務が安定稼働するための統制が十分か確認する。
【AU-S63-1-PM2-Q1】 情報処理システムの開発業務の監査について
システム監査人はシステム開発の計画・進捗・品質管理体制を独立の視点で点検し,標準手法の遵守やレビューの実施などにより開発リスクが抑制されているかを責任をもって確認する。
【AU-S63-1-PM2-Q2】 情報処理システムの内部統制とシステム監査の実施について
システム監査人は情報システムにおける内部統制(ルールや手続)の適切さを評価するとともに,自身の監査活動を通じて内部統制の強化に寄与するという役割認識を持ち,独立かつ客観的に監査を実施する。
【AU-S63-1-PM2-Q3】 情報処理システムの運用業務におけるシステムの異常終了に関する監査について
システム監査人は異常終了時の対応プロセスが整備され,迅速な原因究明・復旧と再発防止策が講じられているかを監査し,運用現場のリスク感度を高めるよう指導する姿勢で監査に当たる。
【AU-S63-1-PM2-Q4】 情報処理システムの有用性の監査について
システム監査人は情報システムが期待された業務上の効果を発揮しているか経営視点で評価し,システムの有用性や費用対効果について独立した立場から検証して,改善点を提言する責任を果たす。
【AU-H01-1-PM2-Q1】 情報システムの企画業務の監査について
システム監査人は情報システム企画プロセスが経営方針に沿って適切に行われているかを独立・客観的に評価し,リスク分析や費用対効果検討が十分かを確認して,将来を見据えた健全なIT計画立案を支援する。
【AU-H01-1-PM2-Q2】 情報処理システムの保守業務の監査について
システム監査人は保守作業の変更管理や権限承認手続が確立され順守されているかを客観的に監査し,小規模な修正であっても内部統制が働き,システムの安定運用と品質が維持されていることを確認する。
【AU-H01-1-PM2-Q3】 情報処理システムのオペレーションの監査について
システム監査人は運用オペレーション(日次処理,バックアップ等)の手順と役割分掌が明確で遵守されているかを確認し,ミス防止や不正抑止の統制が有効に機能していることを独立した立場で検証する。
【AU-H01-1-PM2-Q4】 オンライン個別業務処理システムの開発段階における監査について
システム監査人はオンラインシステム開発において,性能要件やセキュリティ要件を含む設計・テストが適切に行われているかを専門的な視点で評価し,高信頼システム構築への統制が徹底されているかを確認する。
【AU-H02-1-PM2-Q1】 情報処理システムの開発部門の監査について
システム監査人は開発部門の手続・標準類が整備され,品質確保のレビュー体制が機能しているかを監査し,開発プロジェクト全体で内部統制が行き届いているかを客観的に評価する。
【AU-H02-1-PM2-Q2】 情報処理システムの企画・開発業務の監査について
システム監査人は企画・開発プロジェクトの体制や方法論が適切に適用されているかを独立して監査し,要件定義や設計段階からリスクを認識して対策が講じられているかを客観的に確認する。
【AU-H02-1-PM2-Q3】 情報処理システムの運用部門の監査について
システム監査人はシステム運用部門の監視・障害対応・アクセス管理などの業務プロセスを点検し,職務分離やチェック体制が確立され,安定運用を支える内部統制が有効かどうかを評価する。
【AU-H02-1-PM2-Q4】 情報処理システムの運用における外部委託の監査について
システム監査人は運用業務のアウトソーシングに伴うリスクに敏感になり,契約上のサービスレベルやセキュリティ要求事項が遵守され,委託先の監督・評価が適切に行われているかを客観的に確認する。
【AU-H03-1-PM2-Q1】 情報システム運用時のユーザマニュアルについて
システム監査人はユーザ向けマニュアルや手順書が整備され,利用者が正しくシステムを操作できる環境があるかを監査し,教育・周知の状況も含め操作ミス防止の統制が行われているかを確認する。
【AU-H03-1-PM2-Q2】 運用を考慮した情報システムの開発について
システム監査人はシステム開発時に運用上の要件(保守性や監視性など)が適切に織り込まれているかを評価し,将来の運用負荷やリスクを低減する設計・計画がなされているかを独立した視点で確認する。
【AU-H03-1-PM2-Q3】 システム監査の内部統制上の機能について
システム監査人はシステム監査が組織の内部統制の一環として機能していることを認識し,監査活動を通じて内部統制の不備を客観的に指摘・改善提案することで組織統制の強化に寄与する責任を負う。
【AU-H03-1-PM2-Q4】 情報システムにおける監査証跡の確保について
システム監査人はシステム上の操作履歴やログが適切に記録・保存されているかを監査し,追跡可能な監査証跡が整備され内部不正や障害時に原因究明できる態勢が確立しているかを客観的に確認する。
【AU-H04-1-PM2-Q1】 マルチベンダ方式による情報システム開発の企画段階における監査について
システム監査人は複数ベンダが関与する開発プロジェクトの企画段階で,役割分担や責任範囲が明確化され統制が取れているかを確認し,ベンダ間の調整不足による品質・納期リスクを独立した立場で指摘・是正させる。
【AU-H04-1-PM2-Q2】 情報システムの効果目標設定に関する企画段階における監査について
システム監査人はシステム導入企画時に設定される効果目標が具体的かつ実現可能であるかを経営視点で評価し,測定指標や評価方法が適切に定められているかを客観的に確認する。
【AU-H04-1-PM2-Q3】 ユーザ部門が業務の情報処理を自ら行うシステムの企画・開発の監査について
システム監査人はユーザ部門主体で行われるシステム開発企画において,IT部門との連携や標準手続の遵守が確保されているかを監査し,独立性を保って業務特有のリスクと統制不足を客観的に指摘・改善提案する。
【AU-H04-1-PM2-Q4】 情報システムの保守業務の監査について
システム監査人は日常的なシステム保守作業が正式な手順と権限管理の下で行われ,軽微な変更でもチェックを怠らず内部統制が機能しているかを確認し,保守によるシステム障害リスクを最小化する姿勢で監査する。
【AU-H05-1-PM2-Q1】 情報システム運用におけるコンティンジェンシプランの監査について
システム監査人はシステム障害や災害時の非常時対応計画(コンティンジェンシプラン)が策定・周知され,定期的に訓練・見直しされているかを確認し,緊急時にも業務継続できる態勢が整っていることを確かめる。
【AU-H05-1-PM2-Q2】 ソフトウェア品質の監査について
システム監査人はソフトウェア開発プロセスでレビューやテストが適切に実施され,品質基準が守られているかを監査し,開発チームが品質向上に責任を持ち継続的改善を図っているかを客観的に評価する。
【AU-H05-1-PM2-Q3】 情報資産保護規定の制定及び運用における監査について
システム監査人は情報資産保護のための社内規程が適切に策定され,全社員に周知・徹底されているかを確認し,規程に基づくセキュリティ対策や遵守状況を独立した立場で検証して,組織の倫理観とコンプライアンスを支える。
【AU-H05-1-PM2-Q4】 分散処理システムへの移行における企画段階の監査について
システム監査人は集中処理から分散処理への移行企画において,リスク評価や移行計画(要員育成・データ移行等)が適切に実施されているかを監査し,新環境移行後も内部統制と信頼性が維持されるよう客観的に確認する。
【AU-H06-1-PM2-Q1】 監査手続書の作成について
システム監査人は監査手続書を整備し,監査計画や手順を体系的に文書化することで監査の一貫性と説明責任を確保し,監査品質を高める姿勢を持って業務に当たる。
【AU-H06-1-PM2-Q2】 分散処理環境下におけるシステム監査について
システム監査人は分散処理環境特有の統制状況を把握し,各拠点やシステム間でセキュリティやデータ整合性の管理が一貫しているかを監査し,全社的な内部統制が弱まらないよう独立した視点でチェックする。
【AU-H06-1-PM2-Q3】 情報システムの運用環境の変更について
システム監査人は運用環境の変更(機器更新・構成変更など)に伴うリスクに敏感に対処し,変更手順やテスト,関係者への周知が適切に行われているかを確認し,環境変更後も安定運用と統制が維持されるよう客観的に評価する。
【AU-H07-1-PM2-Q1】 業務革新に伴う情報システムの内部統制の監査について
システム監査人は業務改革(BPR等)による業務プロセス変更で内部統制が形骸化していないかを監査し,新しい業務フロー上でも職務分離や承認プロセスなど必要な統制が再構築され機能しているかを責任を持って確認する。
【AU-H07-1-PM2-Q2】 情報システムの災害対策の監査について
システム監査人は情報システムの災害対策について,バックアップサイト構築や設備冗長化など予防策が講じられ,定期的な訓練・点検が行われているかを客観的に評価し,大規模災害時にも事業継続できる備えを検証する。
【AU-H07-1-PM2-Q3】 デザインレビューの実施状況に関する監査について
システム監査人はシステム開発工程でのデザインレビューが計画通り実施され,レビュー結果のフィードバックが品質向上に活かされているかを確認し,開発チーム内で健全なチェックアンドバランスが機能しているかを評価する。
【AU-H08-1-PM2-Q1】 情報技術の有効性の監査について
システム監査人は導入した情報技術が経営や業務目標の達成に有効に寄与しているかを経営的視点で評価し,IT投資が組織価値向上に繋がっているか客観的に検証して,改善すべき点を提言する役割を担う。
【AU-H08-1-PM2-Q2】 ペーパーレスを指向した業務システムの監査について
システム監査人は業務の電子化に伴うプロセスや承認手順の変化に注意を払い,電子データ管理や電子承認フローにおける統制が整備され,紙媒体廃止による新たなリスク(誤操作・不備)が適切に管理されているかを確認する。
【AU-H08-1-PM2-Q3】 情報システムのアウトソーシングの監査について
システム監査人はシステムの外部委託において,委託先選定基準や契約条件,サービスレベル管理が適切かを独立した立場で評価し,ベンダ管理やセキュリティ対策が十分で,アウトソーシングに伴うリスクが統制されているかを確認する。
【AU-H09-1-PM2-Q1】 情報システムを取り巻く環境変化を踏まえた監査対象領域の選定について
システム監査人は技術や業務環境の変化に応じてリスクの高い分野を敏感に捉え,限られた監査リソースを重要領域に重点配分することで,効率的かつ効果的に監査を実施する役割を果たす。
【AU-H09-1-PM2-Q2】 モバイルコンピューティングを対象とした監査について
システム監査人はモバイル環境特有のリスク(端末紛失や通信セキュリティなど)に着目し,モバイル利用時の情報セキュリティ対策やアクセス統制が適切に講じられているかを客観的に確認することで,新技術導入の安全性を担保する。
【AU-H09-1-PM2-Q3】 システム監査結果のフォローアップについて
システム監査人は監査で指摘した事項に対する是正措置が確実に実施されているか継続的にフォローアップし,組織が内部統制の改善を達成するまで責任を持って監査結果を追跡・報告する。
【AU-H10-1-PM2-Q1】 システム監査人のコミュニケーション能力について
システム監査人は経営層や現場と円滑に意思疎通し,信頼関係を構築する高いコミュニケーション能力を備え,監査の目的・結果を明確かつ説得力をもって伝えることで監査の効果を最大化する。
【AU-H10-1-PM2-Q2】 個人情報保護に関するシステム監査について
システム監査人は個人情報保護において強い倫理観と法令遵守の意識を持ち,アクセス制御や運用体制が適切に機能しているかを独立した立場で確認し,個人情報の機密性を確保する責務を果たす。
【AU-H10-1-PM2-Q3】 情報システムの災害復旧対策の監査について
システム監査人は災害復旧計画やバックアップ体制が整備され,定期的にテスト・見直しが行われ実効性が確保されているかを監査し,大規模障害時に迅速にサービスを復旧できる備えがあるかを客観的に評価する。
【AU-H11-1-PM2-Q1】 電子商取引のシステム監査について
システム監査人は電子商取引システムで顧客情報の機密性,取引データの完全性,サービスの可用性が確保されているかを独立・客観的に確認し,利用者の信頼を損ねない統制と法令遵守が徹底されているかを評価する。
【AU-H11-1-PM2-Q2】 分散開発環境におけるコントロールの監査について
システム監査人は複数拠点・チームによる分散開発で統一的な開発標準や変更管理が行われているかを監査し,各チーム間のコミュニケーション不足や統制不備による品質低下リスクを独立した立場で指摘・改善させる役割を担う。
【AU-H11-1-PM2-Q3】 システムの保守に関する監査について
システム監査人はシステム保守業務における変更・修正手順が文書化され遵守されているかを確認し,保守によるシステム障害や不整合が生じないよう,権限分離やテスト実施などの統制が有効に機能しているかを客観的に評価する。
【AU-H12-1-PM2-Q1】 セキュリティポリシの監査について
システム監査人は情報セキュリティポリシーが組織の実態に即して策定され,全社員に周知・教育されているかを監査し,ポリシーに沿った統制が運用され定期的に見直されていることを独立した視点で確認する。
【AU-H12-1-PM2-Q2】 システム監査における証拠収集について
システム監査人は監査目的達成に必要な証拠を十分かつ適切に収集する責任を持ち,多角的な監査手続を駆使して客観的根拠を確保し,監査結論の信頼性を高める。
【AU-H12-1-PM2-Q3】 データウェアハウスの監査について
システム監査人はデータウェアハウスに蓄積されるデータの品質やアクセス管理,プライバシー保護が適切かを監査し,意思決定基盤となる大量データの信頼性・安全性が確保されているかを客観的に評価する。
【AU-H13-1-PM2-Q1】 リスクを重視したシステム監査の実施について
システム監査人はリスクアプローチを重視し,リスク評価に基づいて重点監査領域を選定することで,限られた資源でも重要リスクに対して効果的・効率的な監査を行い,組織の課題に的確に対応する。
【AU-H13-1-PM2-Q2】 新しい企業価値の創造を実現する情報システムの監査について
システム監査人はビジネス革新を支える情報システムに対し,高い経営理解とリスク感度を持って監査を行う。新規性の高い取組でも統制が軽視されないよう客観的にチェックし,価値創造と統制のバランスを取る姿勢を貫く。
【AU-H13-1-PM2-Q3】 企業間連携を支援する情報システムの監査について
システム監査人は企業間連携システムでのデータ共有や取引において,相手先との取り決め・セキュリティ対策が適切かを監査し,境界を越えた内部統制(認証や合意事項)が十分機能しているかを客観的に確認する。
【AU-H14-1-PM2-Q1】 システム監査における監査調書の作成と整備について
システム監査人は監査調書を正確かつ網羅的に作成・整備し,監査プロセスと結論の根拠を明確に記録することで,監査の客観性と再現性を確保し,高い説明責任を果たす。
【AU-H14-1-PM2-Q2】 アウトソーシングの企画段階におけるシステム監査について
システム監査人はアウトソーシング企画時に,委託先の選定基準や契約条件,サービス範囲とリスク分担が妥当かを監査し,委託開始前から統制と責任体制が整うよう客観的に評価する。
【AU-H14-1-PM2-Q3】 ITガバナンスとシステム監査について
システム監査人は経営視点からITガバナンス体制を評価し,組織のIT戦略,リスク管理,統制活動が経営目標に沿って機能しているかを独立した立場で確認することで,ITガバナンスの実効性向上に寄与する。
【AU-H15-1-PM2-Q1】 ソフトウェアパッケージの導入に伴うシステム監査について
システム監査人はパッケージ導入時,業務要件への適合度や追加開発の範囲を客観的に評価し,過度なカスタマイズによるコスト増・リスク増大を避ける統制が効いているかを確認する。
【AU-H15-1-PM2-Q2】 事業継続計画(ビジネスコンティニュイティプラン)の監査について
システム監査人はBCPが策定され,非常時における人員役割や代替手段が明確で,定期訓練・見直しが行われているかを監査し,災害や障害時でも事業継続できる態勢を経営視点で評価する。
【AU-H15-1-PM2-Q3】 情報セキュリティマネジメントシステムにおけるシステム監査について
システム監査人はISMSのPDCAサイクルが組織に浸透し,リスクアセスメントや対策実施,監査・見直しが適切に行われているかを独立して確認し,継続的改善によるセキュリティ水準維持を支える役割を果たす。
【AU-H16-1-PM2-Q1】 取引先などの利害関係者への開示を目的としたシステム監査について
システム監査人は外部利害関係者へのシステム関連情報開示において,開示情報の正確性・完全性を確保する統制を監査し,独立性を持って透明性の高い報告が行われているかを確認して組織の信頼性を支える。
【AU-H16-1-PM2-Q2】 情報システムの統合とシステム監査について
システム監査人は複数システム統合プロジェクトで,データ移行の整合性や統制手順の統一が確保されているかを監査し,システム統合による効率化が内部統制の弱体化を招かないよう客観的に評価する。
【AU-H16-1-PM2-Q3】 IT投資計画の監査について
システム監査人はIT投資計画が経営戦略に沿って策定され,評価基準や優先順位付けが客観的かつ合理的になされているかを確認し,独立した視点で不要な投資や見落とされたリスクがないかを評価する。
【AU-H17-1-PM2-Q1】 システム監査の品質確保について
システム監査人は自身の監査業務の品質を高めるため,標準手続の遵守やピアレビューによるチェックを徹底し,継続的なスキル向上と客観性の維持に努め,高品質な監査を提供するという責任感を持つ。
【AU-H17-1-PM2-Q2】 サービスレベルマネジメントの監査について
システム監査人はITサービスのSLAやサービスレベル管理プロセスを監査し,約束された水準でサービスが提供され,モニタリング・改善が行われているかを利用者視点で評価し,顧客満足と品質保証に貢献する。
【AU-H17-1-PM2-Q3】 情報システムの全体最適化とシステム監査について
システム監査人は部分最適に陥らず組織全体最適を図るIT戦略の実行状況を経営視点で監査し,各部門のIT施策が整合性をもって統制されているかを確認して,経営目標達成に資するITガバナンス実現を支援する。
【AU-H18-1-PM2-Q1】 監査手続書の作成について
システム監査人は監査計画に基づき適切な監査手続書を作成して内部で共有し,監査の進め方や重点を明確化することで,監査の一貫性と客観性を担保し,監査成果の品質を確保する。
【AU-H18-1-PM2-Q2】 文書類の電子化とシステム監査について
システム監査人は文書の電子化に伴う改ざんリスクや証跡管理の課題に留意し,電子文書の真正性・完全性を確保する統制(アクセス権管理や改訂履歴管理等)が適切に機能しているかを確認する。
【AU-H18-1-PM2-Q3】 情報漏えい事故対応計画の監査について
システム監査人は情報漏えい発生時の対応計画が策定され,関係部署の役割や通報・封じ込め・再発防止までのプロセスが明確であるかを監査し,緊急対応の有効性と組織の倫理的責任が果たされる態勢を確認する。
【AU-H19-1-PM2-Q1】 システム監査におけるITの利用について
システム監査人はCAATなどITツールを積極的に活用し,大量データ分析等を効率よく行うことで監査の精度と効率を高める。その際,データ分析結果の解釈に客観性を保ち,証拠として適切に活用する高い専門性が求められる。
【AU-H19-1-PM2-Q2】 情報システムの調達管理に関するシステム監査について
システム監査人はシステム調達における入札・契約プロセスが公正かつ透明に行われているかを監査し,不適切なベンダ選定や契約条件がないかを独立の立場で確認して,倫理性と経済合理性を確保する。
【AU-H19-1-PM2-Q3】 情報システムを利用したモニタリングとシステム監査について
システム監査人はITを活用した業務モニタリング(継続的監査含む)の仕組みを評価し,重要なリスク指標が適切に監視され,異常発見時の対応策が整備されているかを客観的に確認することで,組織の自律的統制強化に寄与する。
【AU-H20-1-PM2-Q1】 アイデンティティマネジメントに関するシステム監査について
システム監査人はID管理・認証プロセスの統制(ユーザ登録,権限付与・剥奪の手順など)が適切に運用され,ユーザの身元確認やアクセス権限が正当に管理されているかを監査し,独立した立場で組織のセキュリティを支える。
【AU-H20-1-PM2-Q2】 内部統制報告制度におけるシステム監査について
システム監査人は内部統制報告制度(J-SOX)の要請に応じ,IT全般統制や業務処理統制が整備・運用されているかを厳格に監査し,経営者による内控評価が信頼できるものとなるよう独立性と専門性をもって保証する。
【AU-H20-1-PM2-Q3】 外部組織に依存した業務に関する事業継続計画のシステム監査について
システム監査人はサプライヤーなど外部組織に依存する業務のBCPについて,契約上の継続サービス保証や代替策が講じられているかを確認し,共有リスクに対する協力体制・統制が適切で非常時に機能するかを評価する。
【AU-H21-1-PM2-Q1】 シンクライアント環境のシステム監査について
システム監査人はシンクライアント導入による情報管理形態の変化に着目し,センター側でのデータ保護やアクセス管理,端末紛失時の対策などが十分かを監査し,新技術導入によるセキュリティと利便性のバランスを保つ統制を確認する。
【AU-H21-1-PM2-Q2】 システム監査におけるログの活用について
システム監査人はシステムログを客観的証拠として監査に活用し,不正アクセスや異常処理の兆候を分析・指摘できる技能と姿勢を持つ。ログデータの扱いではプライバシー配慮と証跡保全の倫理観を持ちつつ,監査効率と効果を高める。
【AU-H21-1-PM2-Q3】 企画・開発段階における情報システムの信頼性確保に関するシステム監査について
システム監査人はシステム企画・開発段階から信頼性確保の統制(要件定義の明確化,レビュー実施,テスト計画など)を評価し,開発中に潜む重大リスクを早期に発見・是正することで,システムの高い信頼性実現に寄与する。
【AU-H22-1-PM2-Q1】 情報システム又は組込みシステムに対するシステムテストの監査について
システム監査人はシステムテスト工程において,独立した観点でテスト計画・ケースが網羅的かつ妥当かを検証し,欠陥の見逃しがないよう客観的にテスト結果を評価して,品質保証に貢献する責任を負う。
【AU-H22-1-PM2-Q2】 電子データの活用にかかわるシステム監査について
システム監査人は電子文書やデータ活用の統制(データ整備,アクセス権管理,改ざん防止措置)が適切に行われているかを監査し,電子データの利便性と信頼性を両立させるバランス感覚を持って組織のデータ管理態勢を評価する。
【AU-H22-1-PM2-Q3】 IT保守・運用コスト削減計画の監査について
システム監査人はIT保守・運用コスト削減策が戦略的かつ現実的に立案・実行されているかを経営視点で評価し,コスト削減が内部統制やサービス品質の低下を招いていないかを独立した立場で検証して,説明責任を全うする。
【AU-H23-1-PM2-Q1】 システム開発や運用業務を行う海外拠点に対する情報セキュリティ監査について
システム監査人は海外拠点特有の文化・法規制・インフラ状況を考慮し,現地で求められる情報セキュリティ統制を十分に把握した上で,監査手続や体制を工夫し,海外拠点にも適切なセキュリティ水準が維持されているかを客観的に確認する。
【AU-H23-1-PM2-Q2】 ベンダマネジメントの監査について
システム監査人は組織全体のベンダ管理態勢を監査し,契約・選定基準の統制が利いているか,サービス継続性やセキュリティ・品質が適切に確保されているかを確認する。独立した視点から部門横断的にコスト最適化やリスク低減策を評価する。
【AU-H23-1-PM2-Q3】 システム開発におけるプロジェクト管理の監査について
システム監査人はシステム開発プロジェクトの計画立案,進捗・予算管理,品質管理が適正に行われているかを客観的に評価し,問題発生時の対策や報告体制も含めプロジェクトリスクが統制されているかを責任ある姿勢で確認する。
【AU-H24-1-PM2-Q1】 コントロールセルフアセスメント(CSA)とシステム監査について
システム監査人は業務担当者自らが行うCSAの手法・結果の適切性を独立した立場で検証し,自己評価の偏りによるリスク見落としがないかを確認するとともに,信頼できるCSA結果は監査に有効活用し監査効率を高める柔軟性も備える。
【AU-H24-1-PM2-Q2】 システムの日常的な保守に関する監査について
システム監査人は日常的な保守作業が緊急性に流され統制を欠くことのないよう留意し,外部委託先や非開発者による保守であっても適切な権限・手順・検証が行われ,システムの安定性が保たれているかを客観的に確認する。
【AU-H24-1-PM2-Q3】 情報システムの冗長化対策とシステム復旧手順に関する監査について
システム監査人は冗長化設備やシステム復旧手順が実効性を持つよう継続的改善されているかを監査し,手順書が形式的にあるだけでなく定期的な訓練・検証によって短時間で確実に復旧できる態勢かを評価する。形式遵守に留まらず実質的効果を重視する姿勢が求められる。
【AU-H25-1-PM2-Q1】 システム運用業務の集約に関する監査について
システム監査人は運用業務集約による効率化・コスト適正化など期待効果が実現しているかを評価し,過度な集約による統制漏れや負荷集中がないかも併せて確認する。経営視点で集約化の妥当性を客観的に判断し,効果とリスクのバランスを検証する。
【AU-H25-1-PM2-Q2】 要件定義の適切性に関するシステム監査について
システム監査人はプロジェクト体制・開発手法に応じて要件定義の役割分担・方法・成果物が適切かを確認し,プロジェクト失敗リスクを未然に防ぐよう監査する。また,要件定義工程だけでなく企画・設計・テスト各工程でも監査を行い,一貫した視点でプロジェクトを俯瞰する。
【AU-H25-1-PM2-Q3】 ソフトウェアパッケージを利用した基幹系システムの再構築の監査について
システム監査人はパッケージ型システム再構築プロジェクト全体(体制,パッケージ選定,契約,追加開発,運用設計,テスト)の適切性を総合的に評価し,ベンダとの協働や追加開発部分も含めコスト・品質・保守性の面で無理がないかを客観的に確認する。
【AU-H26-1-PM2-Q1】 パブリッククラウドサービスを利用する情報システムの導入に関する監査について
システム監査人はクラウド利用時のデータ所在不明や標準約款契約など特有のリスクに留意し,クラウド導入判断や契約条件,セキュリティ・運用体制が適切であるかを独立の立場で検証する。利便性だけでなくリスクにも目を配り,妥当な導入であることを確認する。
【AU-H26-1-PM2-Q2】 情報システムの可用性確保及び障害対応に関する監査について
システム監査人はシステム可用性を高める冗長化策だけでなく,障害発生時の迅速適切な対応策(検知・連絡・応急処置・再発防止)が整備・運用されているかも確認する。予防と対応の双方を重視し,サービス継続性を支える統制が十分かを評価する。
【AU-H27-1-PM2-Q1】 ソフトウェアの脆弱性対策の監査について
システム監査人は開発・テスト段階での脆弱性対策実施状況から運用段階での継続的脆弱性管理まで,一連のコントロールが有効に機能しているかを監査し,セキュリティ被害を未然防止するための統制が適切に運用されているかを確認する。
【AU-H27-1-PM2-Q2】 消費者を対象とした電子商取引システムの監査について
システム監査人はBtoC/CtoCのECシステムにおける機密性・完全性・可用性のリスクを評価し,これらを低減するコントロール(個人情報保護,取引記録管理,アクセス集中対策等)が適切に機能しているかを独立して確認する。
【AU-H28-1-PM2-Q1】 情報システム投資の管理に関する監査について
システム監査人はIT投資の意思決定プロセスが客観的基準に基づき適正に行われているか,さらに運用段階でも投資目的の達成状況がモニタリング・見直しされているかを監査し,組織価値向上につながるIT投資管理が実践されているかを経営視点で確認する。
【AU-H28-1-PM2-Q2】 情報システムの設計・開発段階における品質管理に関する監査について
システム監査人は開発段階全体で品質管理の体制・プロセス(レビュー,テスト基準等)が適切に機能しているかを確認し,要求品質が各工程で確保されているかを評価する。また,客観的な品質指標が設定・評価されているかも検証し,品質保証の統制が有効であることを確かめる。
【AU-H29-1-PM2-Q1】 情報システムに関する内部不正対策の監査について
システム監査人は内部不正防止策について,技術的対策だけでなく規程整備や監視など組織的対策も含めて適切に講じられているかを監査し,さらに対策が法令や社内規程に準拠しているかという観点からも客観的に確認する。
【AU-H29-1-PM2-Q2】 情報システムの運用段階における情報セキュリティに関する監査について
システム監査人は変化し続ける脅威に対して運用段階のセキュリティレベルが維持されているかを継続的にチェックし,新たな脅威に応じた対策見直しやインシデント対応準備が適時になされているかを確認する。常にリスクに敏感で,状況適応的な統制を重視する姿勢が求められる。
【AU-H30-1-PM2-Q1】 アジャイル型開発に関するシステム監査について
システム監査人はビジネス環境変化に対応するアジャイル開発のリスク特性を理解し,開発開始前に体制・スキル・環境が整備されているかを確認する。独立性を持ってウォーターフォールとは異なるリスクに備えた統制の有無を評価し,迅速な開発と統制の両立を図る。
【AU-H30-1-PM2-Q2】 リスク評価の結果を利用したシステム監査計画の策定について
システム監査人は限られた監査資源で効果的・効率的に監査を行うため,他部門のリスク評価結果も適切に活用しながら監査計画を策定する必要がある。リスクに応じた優先順位設定と外部情報の活用によって,監査範囲・目的を合理的に定める柔軟性と判断力が求められる。
【AU-H31-1-PM2-Q1】 IoTシステムの企画段階における監査について
システム監査人はIoT活用拡大に伴う新たなリスクに注目し,IoT特有の脆弱性やデータ管理の課題を想定した上で,開発・運用・セキュリティ方針が企画段階から適切に整備されているかを先見性を持って確認する。
【AU-H31-1-PM2-Q2】 情報セキュリティ関連規程の見直しに関するシステム監査について
システム監査人は情報セキュリティ規程の改訂プロセスが適切な手順で実施されているかを確認し,改訂後の規程が全社に周知徹底され実施されているかも監査する。規程見直しの手続と周知計画の双方に目を光らせ,全社的なセキュリティ意識向上に寄与する姿勢が求められる。
【AU-R02-1-PM2-Q1】 AI技術を利用したシステムの企画・開発に関する監査について
システム監査人はAIシステム特有のブラックボックス性やデータ偏りなどのリスクを踏まえ,AI導入目的や開発手法,ユーザ・ベンダ間の契約内容が適切かを企画・開発段階から先見的に確認し,将来の利用段階のリスク低減に寄与する責任を担う。
【AU-R02-1-PM2-Q2】 IT組織の役割・責任に関するシステム監査について
システム監査人はIT環境の変化に伴う組織の役割・責任変更による新たなリスクに敏感に対応し,変更後のリスクが適切に認識され対策が確実に実施されているかを客観的に確認する。組織変更時にも統制が継続するよう経営視点で監査する。
【AU-R03-1-PM2-Q1】 RPAツールを利用した業務処理の自動化に関する監査について
システム監査人はRPA導入に伴う業務リスクに目を配り,ロボット開発・運用・保守に関する統制が有効に機能しているかを独立の立場で確かめる。新技術導入時も客観性を保ち,統制不備による誤処理や停止がないよう監査を行う。
【AU-R03-1-PM2-Q2】 他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について
システム監査人は他の監査結果の活用により監査効率を高める一方で,それらの信頼性(実施者の独立性・手続の適切性・フォローアップ状況)を批判的に評価し,想定外の不備があれば監査計画を柔軟に見直す責任を持つ。
【AU-R04-1-PM2-Q1】 情報システムの個別監査計画と監査手続について
システム監査人は監査対象システムごとに重点項目・着眼点を適切に設定し,監査資源を見積もって効果的な監査手続を作成する。テレワークなど制約下でも監査リスクを低く抑えるために十分な証拠を得る創意工夫を凝らし,個別監査計画を策定する責任を果たす。
【AU-R04-1-PM2-Q2】 システム障害管理態勢に関する監査について
システム監査人はシステム変更後の障害管理態勢について適切な着眼点を設定し,十分な監査証拠を収集して,障害対応プロセスが実効性を持つかを確認する。制約があっても独立性と職業的懐疑心を持ち,実効性ある障害管理体制の構築を検証する。
【AU-R05-1-PM2-Q1】 データ利活用基盤の構築に関するシステム監査について
システム監査人はデータ利活用基盤構築の適切性を確認する使命を担い,データ品質やセキュリティだけでなく多面的な視点で監査を実施する。特定の領域に偏らないバランス感覚を持ち,経営課題解決に資する基盤構築を客観的に評価する。
【AU-R05-1-PM2-Q2】 サイバーセキュリティ管理態勢に関するシステム監査について
システム監査人は組織のサイバーセキュリティ管理態勢が継続的なPDCAにより機能しているかを監査し,インシデント対応計画や復旧能力まで含めて適切かを確認する。リスクの多様化に対応する統制が経営視点で整備され,実践されているか客観的に評価する。
【AU-R06-1-PM2-Q1】 IT投資のガバナンスに関する監査について
システム監査人はIT投資意思決定が組織価値向上・事業継続の観点から適切に統制されているかを独立した立場で確認する。IT投資管理プロセスとガバナンス体制を関連付けて監査の着眼点を定め,客観的証拠に基づき経営目線でIT投資の妥当性と有効性を評価する。
【AU-R06-1-PM2-Q2】 情報システムの外部サービスを活用した運用プロセスの監査について
システム監査人は外部サービス利用に伴う委託元・先双方のリスク対応策が適切に実施されていることを確認する。委託元によるリスク分析と自社対応策の実施状況,委託先へのモニタリングが十分であるかを客観的に検証し,第三者サービス利用時でも統制と責任が全うされているかを確かめる。
📗400文字要約
【AU-S61-1-PM2-Q1】情報処理システムの企画,開発業務の監査について
企画・開発業務監査では,上流工程から適切な統制が働いているか見ます。システム監査人は,情報システム企画段階で経営戦略との整合性確認や費用対効果分析が実施されているかを監査します。開発段階では,要件定義の完備,設計書やプログラム仕様書の作成と承認,テスト計画・結果の記録など文書化標準の遵守状況を確認します。また,企画から開発への引継ぎがスムーズか,開発部門内での役割分担とチェック体制が整っているか評価します。特に,不正防止のためのコントロール(担当者間相互レビュー,環境分離)にも注目します。システム監査人は,企画・開発業務全般にわたり内部統制が有効に機能し,システムが適切に計画・構築されているかを検証します。
【AU-S61-1-PM2-Q2】情報処理システムの運用管理の監査について
運用管理監査では,日常のシステム運営統制を点検します。システム監査人は,運用スケジュール管理(定例ジョブの実行と結果確認),資源管理(記憶媒体や帳票の管理),利用者サポート体制(ヘルプデスク対応記録)などを監査します。運用規程が整備され日々のオペレーションがその通りに実施されているか,例えば操作ログや日誌で証跡確認します。また,異常時の対応(障害対応マニュアル,連絡フロー)や,定期バックアップ・リストア訓練の有無も評価します。さらに,運用担当者への権限付与が最小限になっているか(不要なシステム権限を持っていないか)もチェックします。システム監査人は,運用管理体制がシステム安定稼働を支え,統制が徹底されているかを判断します。
【AU-S61-1-PM2-Q3】オンライン端末操作の正当性監査について
オンライン端末からの操作はリアルタイムに業務へ影響し,不正や誤操作の監視が重要です。システム監査人は,端末利用者の認証・権限管理が適切で,権限外の操作ができない仕組みかを監査します。具体的には,ユーザID・パスワード管理や操作ログ記録,オンライン取引におけるダブルチェック(例えば高額取引の追加承認)が導入されているか確認します。また,端末からの入力データに対するリアルタイム入力チェック(フォーマット・範囲チェック)の実施状況を評価します。更に,端末操作ミスや不正を抑止するための利用者教育や警告メッセージ機能もチェックします。システム監査人は,オンライン操作が正当かつ正確に行われるための統制が網羅されているかを検証します。
【AU-S61-1-PM2-Q4】情報処理システムの内部統制について
情報システムにおける内部統制は,信頼性・安全性・効率性を確保する一連の仕組みです。システム監査人は,IT全般統制(開発・変更管理,アクセス管理,運用管理)とアプリケーション統制(入力・処理・出力の各統制)が適切に設計・運用されているかを監査します。例えば,プログラム変更は所定手続きを経て承認・テストされているか,ユーザIDの発行・抹消手順が徹底されているか確認します。また,取引入力時のダブルチェックやマスタデータ変更時の承認など業務処理統制の有無も評価します。さらに,内部統制の評価・改善サイクル(内部監査やモニタリング)が機能しているかを見ます。システム監査人は,情報システムに関連するコントロール全般が組織目標達成と資産保全のため有効に機能しているか包括的に判断します。
【AU-S62-1-PM2-Q1】情報処理システムの開発部門の監査について
開発部門監査では,システム開発の統制・効率と不正防止が中心です。システム監査人は,開発組織の体制(役割分担,権限)や開発標準の整備状況を監査します。開発プロジェクトの管理(進捗・コスト管理手法)や品質保証(レビュー,テスト手順)も確認し,部門全体で標準が徹底されているか評価します。また,開発部門内の内部統制(設計・実装・テストの役割分離やライブラリ管理)を見て,開発者による不正変更やミスが防がれているか判断します。さらに,新技術導入へのキャッチアップや教育計画も部門能力としてチェックします。システム監査人は,開発部門が品質・納期・コストのバランスを保ちつつ統制ある開発を行えているかを検証します。
【AU-S62-1-PM2-Q2】情報処理システムに関する部門間の内部統制の監査について
情報システム管理では,ユーザ部門とIT部門など複数部門協働による統制が求められます。システム監査人は,業務部門と情報システム部門の間で役割・責任が明確に規定されているか,例えば要件定義やUAT(受入テスト)での協力関係が機能しているかを監査します。部門間合意文書(SLAやRACIチャート)の有無,定期ミーティングによる調整状況を確認します。また,新システム導入時の教育や運用引継ぎなど,部門横断的統制ポイントも評価します。さらに,相互牽制が効く組織(例えば開発部門と運用部門の独立性)になっているかをチェックします。システム監査人は,部門間の内部統制が組織全体のITガバナンスを支え,システムが適切に導入・運用される土台となっているかを判断します。
【AU-S62-1-PM2-Q3】情報処理システムの障害管理の監査について
システム障害の発生は避けられないため,迅速な対応と再発防止のしくみが重要です。システム監査人は,障害発生時のインシデント管理体制を監査します。具体的には,障害検知から担当者へのエスカレーション,ユーザへの連絡,暫定対処・恒久対策までの手順がマニュアル化され,24時間体制等で実効性を持つか確認します。障害の原因分析が系統立てて行われ,是正策がシステム修正や運用改善として確実に実施されているか評価します。また,障害記録の蓄積と傾向分析,それに基づく予防策の立案(老朽機器更新等)が行われているかもチェックします。システム監査人は,障害管理プロセス全体が適切に運用され,システムの安定稼働と継続改善に寄与しているかを判断します。
【AU-S62-1-PM2-Q4】オンラインリアルタイムシステムの運用の監査について
オンラインリアルタイムシステムは常時稼働と即時応答が要求され,厳格な運用管理が必要です。システム監査人は,24時間体制の運用管理プロセスを監査します。例えば,リアルタイム処理負荷の監視(CPU・回線モニタリング)や閾値超過時の自動通報の仕組みを確認します。さらに,即応性を維持するための冗長構成・フォールトトレラント設計が運用下で適切に維持されているか評価します。ソフトウェア更新やバッチ処理はサービス停止を伴うため,その計画(メンテナンスウィンドウ設定,利用者周知)が妥当に行われているかをチェックします。また,リアルタイム性とデータ整合性のトレードオフ管理(直近データのバックアップ方法等)についても監査します。システム監査人は,リアルタイム運用が高可用性・高信頼性を保つよう適切に統制されているか検証します。
【AU-S63-1-PM2-Q1】情報処理システムの開発業務の監査について
開発業務監査では,システム開発プロジェクトの管理と手続遵守が焦点です。システム監査人は,開発計画の策定・承認,進捗と予算の管理状況を監査します。また,開発標準や手順書が整備され,要求定義から設計・テストまで一貫して適用されているか確認します。成果物レビューの実施や品質管理(テストケース網羅性,欠陥管理)プロセスも評価対象です。特に,開発ライフサイクル各段階での内部統制(承認者チェック,ドキュメント保存)が機能しているかをチェックします。システム監査人は,開発業務全般を通じて標準化・文書化とコントロールが遵守され,プロジェクトが計画通り進行し良質なシステム提供につながる体制かを判断します。
【AU-S63-1-PM2-Q2】情報処理システムの内部統制とシステム監査の実施について
内部統制報告制度などの背景から,情報システム統制の評価が求められています。システム監査人は,組織のITに関する内部統制(IT全般統制と業務処理統制)が適切に設計・運用されているかを監査し,その評価結果を経営層に報告します。システム監査を効果的に実施するには,内部統制フレームワークに沿って監査範囲を設定し,リスクの高い統制ポイント(アクセス管理,プログラム変更管理,データ入力統制など)に焦点を当てます。また,内部監査部門や会計システム監査人との協働で重複作業を避けつつ信頼性の高い監査結果を出すこともポイントです。システム監査人は,情報システム内部統制の有効性を客観的に評価・報告し,組織の内部統制評価プロセスに貢献します。
【AU-S63-1-PM2-Q3】情報処理システムの運用業務におけるシステムの異常終了に関する監査について
システムの異常終了(アボート)は業務に直結する問題であり,運用での迅速対応と原因究明が重要です。システム監査人は,運用部門が異常終了検知時にとる手順(アラート,リカバリ,報告)が明確に定められ実践されているかを監査します。障害対応ログや復旧所要時間の記録,根本原因分析の実施と対策(恒久対策の立案,マニュアル修正)がなされているか確認します。また,頻発する異常終了が放置されていないか,定期的な運用レビューでシステム安定性向上策が検討されているか評価します。システム監査人は,異常終了が適切に管理・軽減され,利用者への影響を最小に抑える運用統制が効いているかを判断し,必要なら改善を提案します。
【AU-S63-1-PM2-Q4】情報処理システムの有用性の監査について
情報システムの有用性(ビジネスに役立っている度合い)は,システム投資の正当性に関わります。システム監査人は,対象システムが目的(業務効率化,意思決定支援等)に見合った成果を上げているか定量・定性の指標で評価します。ユーザ満足度調査や利用率,処理時間短縮効果などのエビデンスを収集し,当初期待と現状のギャップを分析します。また,有用性を阻害している原因(機能不足,操作性の悪さ,利用者教育不足等)があれば指摘します。さらに,システムが経営戦略や業務ニーズの変化に適応できているか(拡張性・柔軟性)も視野に入れます。システム監査人は,単なる統制チェックに留まらず,システムが本来の価値を発揮しているかを評価し,より有効活用するための改善策を提言します。
【AU-H01-1-PM2-Q1】情報システムの企画業務の監査について
情報システム企画は経営戦略とITを結び付ける重要業務です。システム監査人は,企画プロセスが体系立てられ,経営目標に即したIT戦略・計画が立案されているかを監査します。具体的には,現状分析と課題抽出,ROIやリスクを考慮したIT投資計画の策定,経営層の意思決定プロセスが透明に行われているか確認します。また,企画段階からユーザ部門やIT部門の連携があり,実現可能性検討(PoC等)やロードマップ作成が適切か評価します。さらに,中長期計画に基づく予算・人員確保などの基盤が整っているかもチェックします。システム監査人は,情報システム企画業務が経営と合致し効果的・効率的に進められているかを検証し,必要に応じ改善点を提言します。
【AU-H01-1-PM2-Q2】情報処理システムの保守業務の監査について
運用開始後のシステム保守(修正・変更)の積み重ねは業務継続に影響します。システム監査人は,保守依頼の受付から完了までのフローが定型化され,変更内容・理由が適切に記録されているかを監査します。バックログ(未処理保守案件)が過大になり新規開発を圧迫していないか,保守優先度の判断基準が明確かを確認します。保守変更がシステム他部位に不具合を起こさぬよう,十分な影響分析・テストを経ているか評価します。また,保守担当者の教育と体制(常に最新知識を維持し,属人化しない仕組み)があるかもチェックします。システム監査人は,保守業務が統制されたやり方で行われ,システムの安定性と継続的改善に寄与しているか検証します。
【AU-H01-1-PM2-Q3】情報処理システムのオペレーションの監査について
日々のオペレーション(システムの操作・監視)はシステム稼働の要です。システム監査人は,オペレーション担当者が遵守すべき手順書が整備され順守されているか,各種作業(バッチ処理,帳票出力,媒体管理など)が漏れなく実行・記録されているかを監査します。操作ミス防止のためのダブルチェックやアラート対応手順があるか,非常時連絡体制や障害対応訓練の実施も確認します。オペレーションでの内部不正を防ぐため,権限の限定(特権ID利用管理)や監視カメラ等の環境統制も評価します。さらに,シフト勤務の場合の引継ぎ記録や夜間無人運転時の自動監視システムの有効性もチェックします。システム監査人は,オペレーション業務全般が規定通り行われ,安定運用に寄与していることを確かめます。
【AU-H01-1-PM2-Q4】オンライン個別業務処理システムの開発段階における監査について
オンラインリアルタイムの個別業務システム(例えば特定部署専用システム)の開発では,即時性と正確性の要件が高いです。システム監査人は,開発段階でユーザ要求に沿った応答性能や整合性確保策が設計されているかを監査します。例えば,同時アクセス時のロック制御やトランザクション管理,障害時のロールバック機構が考慮されているか確認します。また,開発プロセスにおいてユーザ部門がレビュー・テストに参加し,要件ミスがないか検証しているか評価します。さらに,小規模システムでも内部統制(入力チェック,承認機能)が省略されていないかチェックします。システム監査人は,個別業務システム開発でも手続や品質保証が適切に行われ,リリース後安定稼働できる見通しであるかを判断します。
【AU-H02-1-PM2-Q1】情報処理システムの開発部門の監査について
システム開発部門は企画・開発全過程に関わる内部統制の要です。システム監査人は,開発部門がプロジェクト企画から要件定義,設計,テスト,リリースまで標準に則った手続きを実施しているか監査します。標準化・文書化状況,変更管理やレビュー体制,進捗・品質管理の仕組みを確認します。特に,不正防止の観点から,設計者・プログラマ等開発関係者による不正なプログラム改変を防ぐコントロール(権限分離,コードレビュー,ライブラリ管理)が重要です。システム監査人は,開発部門における多岐の監査項目(開発文書の整備状況,コントロール機能の充足度等)を網羅的にチェックし,企画・開発の全過程にわたって統制が機能していることを確かめます。
【AU-H02-1-PM2-Q2】情報処理システムの企画・開発業務の監査について
新システム企画・開発では,計画立案から設計・実装にわたる統制が重要です。システム監査人は,開発ライフサイクル各段階で適切な内部統制があるかを監査します。例えば,企画段階での要件定義プロセスやROI評価,開発段階での進捗・品質管理体制,テスト段階でのユーザ受入と承認手順を確認します。また,企画変更や要件追加時の変更管理手続,ドキュメント整備状況(企画書・設計書・テスト結果)の妥当性も評価します。さらに,社内開発とベンダー開発双方の管理ポイント(契約管理,納期管理)をチェックします。システム監査人は,企画・開発業務全体を俯瞰し,適切なプロジェクトガバナンスとコントロールが維持され,システムが計画通り高品質に開発されるよう監査します。
【AU-H02-1-PM2-Q3】情報処理システムの運用部門の監査について
運用部門は日常のシステム運転を担い,多くのコントロールを実行します。システム監査人は,運用部門がジョブ管理,資源管理,障害対応,利用者支援等の業務を標準手順に従って行い,必要な記録を残しているかを監査します。例えば,オペレーションマニュアル遵守,日次・月次処理のチェックリスト活用,バックアップ作業の確実実施とログ記録を確認します。また,運用部門内の職務分離(例えばシステム管理者と操作担当の分離)が適切で,内部不正やミスを防ぐ体制か評価します。さらに,外部委託先に運用を任せている場合の監督・報告体制もチェックします。システム監査人は,運用部門が定められた統制に従い安定したシステム稼働を維持できているか検証します。
【AU-H02-1-PM2-Q4】情報処理システムの運用における外部委託の監査について
システム運用業務を外部委託する際,委託元は自社システムの安全・信頼・効率をどう確保するかが課題です。システム監査人は,外部委託契約にサービス品質(可用性指標,対応時間等)が明記され,委託先への指示・報告系統が整備されているかを監査します。委託によって委託元の直接コントロールが及びにくくなるため,定期報告書のレビューや監査権限の契約確保,緊急時の連絡・対応手順があるか確認します。また,技術空洞化を避けるため委託元内に最低限の技術知見保持(要員教育等)や,複数委託先活用による相互牽制が図られているか評価します。システム監査人は,運用委託によるリスクに対する内部統制(委託先管理)が有効であり,サービス品質が担保されていることを検証します。
【AU-H03-1-PM2-Q1】情報システム運用時のユーザマニュアルについて
運用段階でのユーザ操作ミス防止や効率向上には,整備されたユーザマニュアルが不可欠です。システム監査人は,システム稼働後に利用者向けマニュアルや手順書が作成・配布され,最新状態に保たれているかを監査します。マニュアル内容がユーザのレベルに適した平易さで記載され,頻出質問へのQ&Aやトラブル対処法も含まれているか確認します。また,運用変更時にマニュアルが更新されず誤操作が放置されるリスクに注目し,改版管理の統制を評価します。さらに,ユーザ教育(操作研修)の実施状況も把握します。システム監査人は,ユーザマニュアルというソフトコントロールが有効に機能し,情報システムの安定運用と利用者の適切な操作を支えているかを判断します。
【AU-H03-1-PM2-Q2】運用を考慮した情報システムの開発について
情報システムは開発時から運用・保守の容易さを考慮して設計されるべきです。システム監査人は,開発プロジェクトにおいて運用段階の要求(例えば,ログ取得機能,運用監視画面,障害通知機能)が盛り込まれているかを監査します。加えて,運用担当者が開発段階から参加して運用面の意見を反映しているか確認します。例えば,バッチ処理の時間設定やエラーメッセージ内容など,運用現場が扱いやすい設計になっているかを評価します。また,マニュアル類や引継ぎ資料が開発完了時に適切に整備されているかもチェックします。システム監査人は,開発と運用の橋渡しがうまく機能し,システムが運用しやすく信頼性高く稼働できるよう最初から配慮されていることを確かめます。
【AU-H03-1-PM2-Q3】システム監査の内部統制上の機能について
システム監査自体が組織の内部統制の一環として機能し,経営の健全性を支えます。システム監査人は,経営者の独立した検証者として情報システムに関わるリスク対策や統制を客観的に点検・評価し,不備には改善勧告を出す役割を持ちます。これにより,継続的に内部統制の有効性・効率性が高められます。監査の結果は経営層へ報告されフォローアップされるため,内部統制サイクルが回ります。監査部門自体の独立性・専門性の確保(他部門からの干渉排除,継続教育)は,この内部統制機能を十分発揮する前提です。システム監査人は,自らの活動が内部統制体系の一部として,組織全体のガバナンス向上に寄与するよう高い倫理と技術で監査を遂行します。
【AU-H03-1-PM2-Q4】情報システムにおける監査証跡の確保について
有効な監査には,操作ログや取引履歴などの監査証跡が不可欠です。システム監査人は,情報システムが業務処理の履歴を適切に記録・保存し,必要時に追跡できる状態かを監査します。例えば,誰がいつどのデータを登録・変更・削除したかのログが残っているか,ログの改ざん防止策(アクセス制限やチェックサム)が講じられているか確認します。また,証跡データの保存期間が業法・社内規程に沿って十分か評価します。さらに,証跡が膨大になる場合の管理(アーカイブと迅速検索可能性)もチェックします。システム監査人は,システムにおいて事後検証可能な透明性が確保されているか,つまり内部統制の裏付けとなる証拠がしっかり保持されているかを検証します。
【AU-H04-1-PM2-Q1】マルチベンダ方式による情報システム開発の企画段階における監査について
複数ベンダ参画のシステム開発では,企画段階から責任範囲や調整方法の明確化が鍵です。システム監査人は,マルチベンダプロジェクトの企画時に,各ベンダの役割分担・成果物範囲・連絡ルールが定められているかを監査します。契約面では統一仕様書・評価基準が整備され,公平なベンダ選定がなされたか確認します。また,複数ベンダ間での標準や開発ツール統一,インターフェース仕様の調整メカニズム(合同設計会議等)が企画に含まれているか評価します。さらに,進捗・品質情報を統合管理する体制(PMO設置等)が企画段階で検討されているかを見ます。システム監査人は,マルチベンダ開発の複雑性によるリスクを企画時から統制し,成功へ導く仕組みが構築されているか検証します。
【AU-H04-1-PM2-Q2】情報システムの効果目標設定に関する企画段階における監査について
システム投資の企画時には,導入効果の目標値を設定し,その達成度を測る指標が重要です。システム監査人は,企画段階で「新システム導入により処理時間を○%短縮」等の具体的な効果目標が定められ,経営戦略上の意義が説明できているかを監査します。さらに,その効果を測定・評価する体制(KPIモニタリングや事後検証計画)が用意されているか確認します。目標未達の場合の分析・改善フィードバックの仕組みも検討されているか評価します。システム監査人は,定量・定性の効果指標が適切に設定されていることで,プロジェクト完了後に経営者が投資対効果を判断できるようになっているか検証し,杜撰な投資にならないよう企画段階から統制をチェックします。
【AU-H04-1-PM2-Q3】ユーザ部門が業務の情報処理を自ら行うシステムの企画・開発の監査について
ユーザ部門主導のシステム(EUC: End-User Computing)の企画・開発では,利便性向上と統制維持の両立が課題です。システム監査人は,ユーザ部門が自ら開発・運用するシステムについて,企画段階でIT部門やガバナンスの枠組み内で適切に進められているかを監査します。具体的に,開発スキル・セキュリティ知識が不足していないか,IT部門が標準やセキュリティチェックで支援する仕組みがあるか確認します。また,ユーザ部門内での権限・責任(誰がプログラムを変更できるか等)が明確で統制が効いているか評価します。システム監査人は,ユーザ部門の主体性による業務効率化メリットを損なうことなく,全社的な統制や品質基準が守られているかを検証します。
【AU-H04-1-PM2-Q4】情報システムの保守業務の監査について
システム稼働後の保守業務(修正・変更対応)の累積はバックログ増大や新規開発阻害の要因となり得ます。システム監査人は,保守依頼が適切に管理され優先度付けされているか,対応遅延により業務へ支障が出ていないかを監査します。保守作業の不完全さがトラブルを頻発させていないか,保守計画(年間改修計画やリソース割当)の策定状況を確認します。また,保守担当者が疲弊・混乱しないよう,ナレッジ共有(ドキュメント整備)や根本原因分析の実施を評価します。さらに,バックログ削減計画や保守と新規開発のバランス管理についてもチェックします。システム監査人は,保守業務が健全に運営され,情報システム部門が戦略業務に注力できる環境が確保されているかを判断します。
【AU-H05-1-PM2-Q1】情報システム運用におけるコンティンジェンシプランの監査について
運用中の緊急事態対応計画(コンティンジェンシープラン)は,事故・障害時の損害軽減に不可欠です。システム監査人は,運用業務毎に想定される非常事態(設備故障,サイバー攻撃等)に対し,代替手段や手順を定めた計画が策定されているかを監査します。例えば,主要システムが停止した場合の手作業手順や他拠点への業務切替方法,連絡体制が計画に盛り込まれ,定期訓練で検証されているか確認します。また,計画が最新状態に保たれ,組織変更やシステム変更時に見直されているかを評価します。システム監査人は,運用部門が緊急事態にも業務継続を図れるよう準備・訓練し,非常時対応力を保持していることを確かめます。
【AU-H05-1-PM2-Q2】ソフトウェア品質の監査について
ソフトウェア品質確保はシステム信頼性の根幹です。システム監査人は,組織の開発プロセスに品質目標と管理策が組み込まれているかを監査します。具体的には,要求された品質特性(信頼性・保守性等)に対する目標設定と,品質保証活動(レビュー,テスト,品質評価指標の測定)が各工程で実施されているか確認します。品質管理体制(QA部門や品質基準の有無)や,開発標準遵守状況を評価し,欠陥管理サイクルが適切に回っているかもチェックします。また,外注開発の場合はベンダーの品質保証状況も監視されているかを見ます。システム監査人は,ソフトウェア開発ライフサイクル全体で品質を作り込み・検証する統制が機能していることを検証します。
【AU-H05-1-PM2-Q3】情報資産保護規定の制定及び運用における監査について
情報資産保護の社内規程(ポリシー・手順)は,適切な制定と確実な実施が重要です。システム監査人は,個人情報や機密情報の保護に関する規程類が現状のリスクや法令に即して整備されているか,その制定プロセス(関係部署協議,経営承認)が適切だったかを監査します。また,策定された規程が社員に周知徹底され,具体的な運用ルールとして定着しているか評価します。例えば,机上文書とならずアクセス制御や持出し管理,廃棄方法等が現場で遵守されているか,定期的な教育や監査でチェックされているかを確認します。システム監査人は,情報資産保護のための統制フレームワークがPDCAで回っているかを検証し,不備があれば是正を促します。
【AU-H05-1-PM2-Q4】分散処理システムへの移行における企画段階の監査について
メインフレーム等からクライアントサーバ等分散処理システムへ移行する企画では,既存資産との整合や新旧交代のリスク管理が重要です。システム監査人は,移行企画段階で目的と効果が明確にされ,現行システムとのギャップ(機能,性能,統制)が分析されているかを監査します。移行によるメリット(コスト削減や柔軟性向上)だけでなく,考慮すべき課題(データ一貫性,ネットワーク負荷,運用体制変化)が洗い出され,対応策が企画に織り込まれているか確認します。また,移行計画の現実性(段階移行やユーザ教育計画等)を評価します。システム監査人は,システム移行企画が戦略的妥当性とリスク低減策の両面で十分検討されているかを検証します。
【AU-H06-1-PM2-Q1】監査手続書の作成について
システム監査の目的達成には,適切に作成された監査手続書が不可欠です。システム監査人は,個別監査計画に基づき,予備調査結果や社内規程を踏まえた具体的な監査手順を網羅的に記述した監査手続書を作成します。これにより監査は客観性が担保され,抜け漏れなく実施できます。監査手続書を活用すれば,監査手続が具体化し必要な証拠が確実に取得でき,進捗も管理しやすくなります。特に,限られた時間内で利用者の問題意識や前回指摘事項に対応するには,詳細な手続記述が重要です。システム監査人は,必要十分で客観的かつ効率的な手続書を作成し,それに沿って監査することで,内部統制の有効性評価と監査品質の確保を図ります。
【AU-H06-1-PM2-Q2】分散処理環境下におけるシステム監査について
クライアントサーバ型など分散処理環境では,ユーザ数増加やネットワーク経由のアクセスにより統制範囲が拡大します。システム監査人は,分散環境特有のリスク(通信障害によるデータ不整合,各拠点での統制不徹底等)に留意し,全体として内部統制が維持されているかを監査します。具体的には,各ノードでのセキュリティパッチ適用や設定管理が統一基準で行われているか,中央と周辺の役割分担・責任が明確か確認します。また,多拠点環境でのアクセス権限管理やログ集中監視,ネットワーク経由の不正アクセス防止策(ファイアウォール等)の有効性も評価します。システム監査人は,システムが分散していても一貫した統制体系が敷かれ,全体最適な管理がなされているかを検証します。
【AU-H06-1-PM2-Q3】情報システムの運用環境の変更について
情報システムの運用環境変更(例えば外部データセンタ移行,OSアップグレード等)では,継続性と統制維持が課題です。システム監査人は,変更計画策定時にリスク評価が行われ,必要な対策(事前テスト,移行手順書,バックアウトプラン)が準備されているかを監査します。運用手順や体制も変更に合わせて更新・周知されているか確認します。また,環境変更後に想定外の問題が出ていないか,監視項目の見直しやスタッフ教育実施などフォローアップを評価します。変更により内部統制(権限や責任範囲,監査証跡)が弱まることがないようチェックします。システム監査人は,運用環境変更が計画的・統制的に実施され,サービス中断や統制欠落のリスクが適切に管理されているかを判断します。
【AU-H07-1-PM2-Q1】業務革新に伴う情報システムの内部統制の監査について
景気低迷や競争激化の中,業務プロセス抜本見直し(BPR)が進められ,それに伴い情報システムも統廃合・再構築が行われます。システム監査人は,業務革新後の新システム群において内部統制が有効に機能しているか,想定される様々なリスクに対し統制が埋め込まれているかを監査します。例えば,業務見直しで特定担当者に権限集中が起きていないか,承認フローがシステムに組み込まれているか確認します。また,新技術導入で運用上問題が出ていないか,技術管理の統制(例えばパフォーマンスや互換性への配慮)が適切か評価します。システム監査人は,BPRによるシステム変更点を洗い出し,新たな内部統制の有効性を検証し,不十分な点は改善を促します。
【AU-H07-1-PM2-Q2】情報システムの災害対策の監査について
大規模災害は企業活動を停止させ社会に混乱を招くため,情報システムの継続運用確保は経営課題です。システム監査人は,災害対策としてバックアップセンタ等の遠隔地冗長環境が用意されているかを監査します。一箇所のデータセンタではライフライン断絶時に限界があるため,社内外に第二センタを持ち,全業務または重要業務をそこで処理継続できる準備があるか確認します。また,本番センタからバックアップへの迅速安全な切替のため,本番システム側に必要な機能・手順(データ同期,切替スクリプト等)が組み込まれているか評価します。さらに,被災時にどちらで業務再開するかを判断する体制整備も監査します。システム監査人は,災害リスクと対策効果を比較し,バックアップ含む全システムの安全・信頼・効率性が適切に評価・維持されているかを判断します。
【AU-H07-1-PM2-Q3】デザインレビューの実施状況に関する監査について
ソフトウェア品質確保には,各開発工程でのデザインレビューが鍵です。システム監査人は,ユーザ要求を満たす設計か,品質目標(性能・信頼性等)が達成されているか,運用・保守を考慮した設計か等のチェック項目について,所定のレビューが計画・実施されているかを監査します。品質特性ごとに評価尺度や基準が事前設定され,レビュー時にそれに照らして検討・指摘が行われているか確認します。また,チェックリストやプロトタイプを活用した客観的検証手段が用いられ,レビュー手順が関係者に周知されているか評価します。システム監査人は,開発段階の監査としてデザインレビューが開発計画に組み込まれ適切に遂行されているかをチェックし,品質保証プロセスの有効性を判断します。
【AU-H08-1-PM2-Q1】情報技術の有効性の監査について
ITの飛躍的進展により企業はバーチャルコーポレーションなど新形態へ適応を迫られています。情報技術導入が経営環境変化や戦略と合致し効果を発揮しているか,システム監査人は全社的視点で有効性を監査します。組織文化や構造への影響も踏まえ,IT導入計画が経営改革目的に沿って立案されているか確認します。また,最大効果を上げるには組織再編や社外パートナーとの協業調整も必要であり,それらが検討・合意形成されているか評価します。システム監査人は,変貌する環境下でIT投資が単なる技術導入に留まらず経営戦略との整合性を保ち,期待効果を生んでいるかを確かめ,他社の先進事例等も参考に改善提言を行います。
【AU-H08-1-PM2-Q2】ペーパーレスを指向した業務システムの監査について
ペーパーレス化システムでは,取引や意思決定の記録が電子データのみとなり,監査証跡確保と改ざん防止が課題です。システム監査人は,電子記録が監査証拠として信頼できるよう十分な対策が講じられているかを監査します。例えば,電子承認におけるデジタル署名やタイムスタンプの利用,暗号化保管により真正性を確保しているか確認します。また,ICカード等専用機器でしか読めない記録がある場合,その閲覧手段を用意しているか評価します。さらに,ネットワーク化で第三者が不正アクセスし証跡を改ざんするリスクも高まるため,ログの改ざん検知や閲覧権限の統制状況も点検します。システム監査人は,ペーパーレス環境下で内部統制と監査証跡の信頼性が維持されているかを判断します。
【AU-H08-1-PM2-Q3】情報システムのアウトソーシングの監査について
情報システム開発・運用・保守のアウトソーシングが増加する中,委託先依存による新たな課題が発生します。システム監査人は,委託元企業がアウトソーシングに伴うリスク(技術力空洞化,サービス品質への依存)を認識し,内部統制でそれを補完しているか監査します。例えば,委託先任せでなく契約段階でサービスレベルを明記し,定期報告や監査権限を確保しているか確認します。運用全面委託時には委託先のセキュリティ・信頼性・効率性管理状況も監査範囲に含め,実際のサービス品質が目標通りか評価します。システム監査人は,委託元の内部統制と委託先の提供品質双方を監査し,差異があれば改善提言することで,アウトソーシング後もシステム品質を維持します。
【AU-H09-1-PM2-Q1】情報システムを取り巻く環境変化を踏まえた監査対象領域の選定について
グローバル化・規制緩和・ネットワーク普及により,情報システムは企業内に留まらず企業間・市民との連携基盤となっています。システム監査人は,このような社会的広がりを持つ情報システムの特性とリスク増大を認識し,経営戦略に即して優先的に監査すべき領域を選定することが求められます。具体的に,従来の内部効率だけでなく外部連携や公開系システムを含め,リスクが大きい領域(例:公開ウェブによるサービス)が漏れなく監査対象に含まれているか計画します。そして,監査時にはネットワークやセキュリティなど社会基盤利用に伴うリスク統制状況を重点評価します。システム監査人は,環境変化を踏まえ経営に影響する領域を的確に監査対象とし,効果的な監査を実施します。
【AU-H09-1-PM2-Q2】モバイルコンピューティングを対象とした監査について
携帯端末と通信インフラの発達で,社外から社内データにアクセスするモバイル環境が普及しています。この環境では,端末利用場所が一定せず管理者の目が届きにくく,端末紛失により第三者に渡るリスクもあります。システム監査人は,モバイル環境特有のリスク(端末上データの漏洩・改ざん,遠隔からの不正アクセス,通信途絶によるデータ不整合等)を考慮し,適切な統制が敷かれているか監査します。例えば,端末紛失対策(データ暗号化,リモートワipe),利用者認証強化,通信品質低下時の再送・整合性確認機能などを評価します。また,利便性とセキュリティのバランスにも留意し,過度な制約なく必要な統制が機能するよう提言します。
【AU-H09-1-PM2-Q3】システム監査結果のフォローアップについて
システム監査の報告は,信頼性・安全性・効率性や戦略整合性の観点で経営者等に提供されます。監査で明らかになった課題について,システム監査人は指摘事項・改善勧告を経営者に報告するとともに,講評会などで被監査部門や関連部門に改善の必要性を理解させます。その後,システム監査人は改善状況のフォローアップを行い,改善作業の範囲・方法・時期が経営者の意図通りかを確認することが重要です。つまり,監査結果に基づく是正措置が確実に実施され,問題解決につながっているか客観的に評価します。システム監査人は,単に指摘して終わりではなく,改善の定着まで責任を持って追跡し,経営目標に沿った統制強化が図られているか見届けます。
【AU-H10-1-PM2-Q1】システム監査人のコミュニケーション能力について
システム監査では,ヒアリング・資料閲覧・現地調査等で情報を収集・分析し,統制の妥当性を評価します。この過程でシステム監査人の優れたコミュニケーション能力が求められます。システム監査人は,必要情報を効率的に得るため,被監査部門の業務や担当者の権限背景を理解し,適切な質問方法や対話手段を選びます。また,得た情報に矛盾や疑問があれば,新たな質問や追加資料請求で真相を明らかにします。さらに,監査結果の指摘事項や改善勧告を被監査部署に正しく理解・受容してもらうための説明・説得も重要です。コミュニケーション能力如何で監査の成果(的確な情報把握と改善促進)は大きく左右されるため,システム監査人は信頼関係構築と言葉の選び方に細心の注意を払います。
【AU-H10-1-PM2-Q2】個人情報保護に関するシステム監査について
ネットを介したアンケートやオンライン取引で大量の個人情報が収集・活用され,企業の重要資産となっています。一方で国内外の規制(EUデータ保護指令,日本のガイドライン等)は収集・利用・提供について厳格な遵守を求めています。システム監査人は,企業の情報システムが個人情報を適切に取り扱っているかを監査します。具体的には,収集時の目的明示と同意取得,必要最小限のデータ蓄積,利用目的外使用の禁止,第三者提供時の本人同意や匿名化措置などのコントロールが整備・運用されているか確認します。また,保有個人データの安全管理措置(アクセス制御,暗号化等)も評価します。システム監査人は,ガイドラインを参考に個人情報保護統制の妥当性を判断し,不足があれば改善を促します。
【AU-H10-1-PM2-Q3】情報システムの災害復旧対策の監査について
災害時に情報システムが損壊すれば事業が広範囲に停滞し得るため,徹底した災害対策が求められます。システム監査人は,被災防止・被害軽減策(耐震施設,データ分散保管等)および迅速な復旧策(バックアップセンタ準備,復旧マニュアル整備等)が講じられているか監査します。具体的には,建物や設備の災害耐性評価,システム二重化や定期バックアップ運用,災害対応マニュアルの内容と訓練実施を確認します。また,想定外規模の災害にも柔軟対応できるようマニュアルに裁量手順が含まれているか,被災時の判断体制が明確かを評価します。システム監査人は,非常時に早期業務復旧を図る仕組みが総合的・実効的に整備されているか判断します。
【AU-H11-1-PM2-Q1】電子商取引のシステム監査について
インターネットでの電子商取引(EC)は新たな商機を生む一方,データ改ざん・漏洩等のリスクが伴います。システム監査人は,ECシステムにおいて可用性(24時間稼働の継続),機密性(取引データや顧客情報の保護),完全性(データ改ざん防止)を確保する対策が取られているか監査します。具体的には,サーバやネットワークの冗長化,暗号化通信やWAF導入,顧客データの権限管理,トランザクションの監査証跡が整備されているか確認します。また,法律遵守(電子契約法等)や利用者への適切な情報開示も点検します。システム監査人は,EC特有のリスクを認識した上で統制状況を評価し,必要な改善を提案して安全な電子商取引運営に寄与します。
【AU-H11-1-PM2-Q2】分散開発環境におけるコントロールの監査について
開発チームが地理的に分散し,ネットワーク越しに共同作業するケースが増えています。このような分散開発環境では,関係者間の意思疎通不足や開発標準徹底の困難さから,不整合や品質低下のリスクが高まります。システム監査人は,分散開発でも統一の開発標準やドキュメント管理,進捗・品質管理手法が適用されているか監査します。例えば,定期的な遠隔会議やリポジトリを活用した成果物共有,コード統合ルールの厳守などを確認します。また,分散ゆえのリスク(責任不明確,変更衝突等)に対し,構成管理ツールや課題管理システムでコントロールしているか評価します。システム監査人は,分散環境下でも必要な統制が効果的に働き,円滑な開発遂行が確保されているかを検証します。
【AU-H11-1-PM2-Q3】システムの保守に関する監査について
システム稼働後も,ユーザ要望や環境変化に対応してソフトウェア保守が継続します。システム監査人は,保守作業が計画的かつ統制された方法で行われ,品質やコストに悪影響を及ぼしていないか監査します。具体的には,保守依頼の受付・優先度決定,変更影響の分析とテスト,承認手続,リリースまでのフローが整備されているか確認します。適切な事前分析がない保守は,新たな不具合やコスト増の原因となるため,システム監査人は保守要求の妥当性評価と追跡可能性(どの変更がどの問題に対応したか)が担保されているかを評価します。また,将来の保守負荷軽減のため,開発段階から保守性を考慮しているかにも触れます。システム監査人は,保守プロセスが円滑かつ統制された状態でシステム信頼性を支えているか検証します。
【AU-H12-1-PM2-Q1】セキュリティポリシの監査について
情報漏えいや不正アクセス増加を受け,組織はセキュリティポリシー(統一方針・遵守事項)を策定し運用します。システム監査人は,単に文書としてポリシーが存在するだけでなく,運用段階でその遵守状況が監視・徹底されているかを監査します。加えて,ポリシー策定段階の適切性(リスク評価を反映した内容か)や運用中の環境変化への妥当性(新たな脅威や事業変更に対しポリシーが陳腐化していないか)も調査します。例えば,現場でセキュリティインシデントが発生した場合,単に違反を指摘するだけでなく,必要に応じポリシー自体の見直しを提案することもシステム監査人の役割です。システム監査人は,セキュリティポリシーの策定・運用・改善サイクルが組織の安全性向上に寄与しているかを評価します。
【AU-H12-1-PM2-Q2】システム監査における証拠収集について
電子帳簿保存法施行や電子商取引拡大により,監査対象資料が紙からデジタルへ移行しています。システム監査人は,デジタルデータから得た事実を明確に裏付けられるよう,証拠収集過程を丁寧に記録し,被監査部門に説明可能な状態を保つ必要があります。紙文書なら押印や筆跡で真実性確認できましたが,デジタルでは容易に改ざん可能であり,システム監査人が提示したデータに被監査側が異議を唱える場合も考えられます。そこで,システム監査人はデータ取得方法・日時・取得者などを調書に明確に残し,場合によっては第三者保全の手続きを取り入れます。また,電子証拠の信頼性を高めるためハッシュ値比較等を活用します。監査証拠は意見の基礎であり,システム監査人はその収集・提示について十分な配慮をもって臨みます。
【AU-H12-1-PM2-Q3】データウェアハウスの監査について
経営環境変化へ迅速対応するため多くの企業がDWHを構築し,経営判断に必要な情報を集約・分析しています。システム監査人は,DWHが各業務システムから適切にデータを抽出・変換・統合し,一貫性ある正確な情報をタイムリーに提供しているかを監査します。各システム間でデータ定義や生成タイミングの違いが整合されているか,過去データの蓄積方針や将来的なデータ増加への設計(容量計画)が妥当か確認します。また,経営環境変化(分析観点の追加等)に柔軟に対応できる拡張性,データの品質管理(エラーデータ検出・補正)が実装されているか評価します。システム監査人は,DWHが経営ニーズに即し有効活用されているか,統制面からも確かめます。
【AU-H13-1-PM2-Q1】リスクを重視したシステム監査の実施について
ISへの依存増大で経営リスクも高まっており,監査はリスク優先で重点領域を絞る必要があります。システム監査人は,企業にとって経済的・社会的インパクトが大きい情報システム領域を特定し,そこに適切なリスクコントロールがあるか監査します。避けられないリスクも統制で低減可能であり,システム監査人はその確保役です。一方,IT技術高度化で監査範囲も広がり必要知識が増えていますが,人材確保が難しく監査自体が見逃しリスクを抱えます。そこで,システム監査人は監査対象リスクだけでなく監査遂行上のリスク(スキル不足・時間不足)も考慮して監査計画を策定します。全体として,リスクに基づくメリハリある監査と監査品質確保への配慮が重要です。
【AU-H13-1-PM2-Q2】新しい企業価値の創造を実現する情報システムの監査について
革新的なビジネスモデルを支える情報システムでは,その戦略的重要性をシステム監査人が理解することが重要です。システム監査人は,企業変革を視野に入れた経営戦略に沿って構築されたシステムが,その目標(新規価値創出)を達成しているかを評価します。具体的には,新ビジネスモデルの中で情報システムが果たす役割や戦略的インパクトを把握し,経営目標達成度を測るKPIが設定されモニタリングされているか確認します。その上で,効果測定指標を踏まえた明確な監査目標を設定し,限られたリソースの中で重点監査を行います。さらに,監査目標達成に適切な監査手続を選択し,効率的に監査を実施します。要するに,経営目線で戦略的システムを監査し,目標達成への貢献度を客観的に評価することが求められます。
【AU-H13-1-PM2-Q3】企業間連携を支援する情報システムの監査について
サプライチェーンなど複数企業がデータを共有する連携システムでは,一社の不具合が全体に波及します。システム監査人は,取引先間で業務プロセス標準化・情報共有が適切に行われ,可用性・データ整合性確保の統制が整っているかを監査します。具体的には,各社システムが正常稼働するだけでなく,必要な情報が必要時に適切なインタフェースで相互利用できる仕組み(データフォーマット統一,リアルタイム同期等)を確認します。また,いずれかのシステム障害やデータ不整合発生時に全体業務へ与える影響を最小化する対処策(フェールセーフや代替処理)を評価します。システム監査人は,企業間連携システム全体としての安定性とデータ信頼性を支えるコントロールの有効性を検証します。
【AU-H14-1-PM2-Q1】システム監査における監査調書の作成と整備について
監査調書は監査実施内容と証拠を記録したもので,監査報告書の基礎です。システム監査人は,十分な監査調書を作成・整理して,監査意見に裏付けを与えることが不可欠です。調書に記録の無い事項を報告書に記載することは証拠なき意見となり,報告の信頼性を損ないます。また,調書は改善勧告のフォローアップや次回監査の参考資料としても重要です。システム監査人は監査結果に基づく改善がなされたか分析する資料や,次回監査計画立案時の情報源として調書を活用します。そのため,監査調書はシステム監査人と被監査部門双方にとって重要であり,監査責任者が客観的に査閲し手続や判断の適切性を評価するなど,質の高い調書整備に努めます。
【AU-H14-1-PM2-Q2】アウトソーシングの企画段階におけるシステム監査について
アウトソーシング導入の可否・範囲を決める企画段階での検討は,成果に直結します。システム監査人は,企業が資金・人材を戦略分野へ集中させたり新技術を取り入れる目的で行うアウトソーシングについて,その決定プロセスが十分であったか監査します。すなわち,狙いとする効果(コスト削減や専門力活用)が明確か,潜在リスク(品質低下,依存による柔軟性喪失等)が洗い出されているか確認します。そして,契約前にサービス範囲や品質要件を十分詰めているか評価します。さらに,アウトソーシングが事業戦略に合致する手段か検討したかも視点です。システム監査人は企画段階での意思決定の合理性とリスク管理を確認し,問題があれば指摘します。
【AU-H14-1-PM2-Q3】ITガバナンスとシステム監査について
ITを駆使した新ビジネスや経営効率化が競争優位に繋がるため,企業にはIT戦略の策定・実行を統制し導く能力(ITガバナンス)が求められます。システム監査人は,企業が経営判断にITを有効活用する組織能力を備えているか,そのガバナンス体制が機能しているかを評価します。具体的に,IT投資の妥当性判断やROI評価の仕組み,サービスレベル達成管理,リスクマネジメント等多角的観点から迅速に意思決定できているか確認します。また,全社的な情報リテラシー向上策やIT戦略推進組織の役割も点検します。システム監査人には,ITガバナンス確立状況を客観的に判断し,企業がITで競争優位を得るための統制状況を監査する役割が求められます。
【AU-H15-1-PM2-Q1】ソフトウェアパッケージの導入に伴うシステム監査について
ERP等パッケージ導入で業務改革を図る際,標準機能と自社業務のギャップ管理が重要です。システム監査人は,パッケージ適用によって業務プロセスがどう変更・標準化されるか,その中で内部統制が維持・強化されているかを監査します。導入時,必要ならカスタマイズまたは業務側の運用変更を行いますが,その結果いずれかの統制(承認手続等)が弱まっていないか確認します。設計段階で旧プロセスと新プロセスのコントロール差異を分析し,必要な統制を新システムに組み込む取り組み状況を評価します。システム監査人は,パッケージ導入で業務効率化と統制水準維持の両立が図られているか検証し,不足があれば対策を提言します。
【AU-H15-1-PM2-Q2】事業継続計画(ビジネスコンティニュイティプラン)の監査について
IT依存度が高まりシステム停止許容時間が短縮する中,BCPの策定と継続は経営最優先課題です。システム監査人は,事業重要度やシステム依存度に応じたBCPが包括的に検討・策定されているかを監査します。具体的には,従来紙で代替できていた業務も現在は不可能な場合があるため,緊急時対応計画だけでなく,平常時から目標復旧時間に見合った可用性確保策(冗長化,データ分散)が講じられているか確認します。また,BCP策定プロジェクトにIT部門が参画し,システムサービスレベルとコストのバランスを経営戦略に沿って定義しているか評価します。システム監査人は,策定されたBCPとその実効性(訓練実施含む)を検証し,組織の事業継続能力を評価します。
【AU-H15-1-PM2-Q3】情報セキュリティマネジメントシステムにおけるシステム監査について
セキュリティ事故による損害増大を受け,経営者はセキュリティを経営課題と捉え,ISMS(情報セキュリティマネジメントシステム)構築が必要です。システム監査人は,組織がリスク評価に基づき必要なセキュリティ水準を定め,技術的対策だけでなく体制・教育など運用面も組み合わせた包括的仕組みを継続運用しているか監査します。例えば,方針策定~実施~評価・見直しまでPDCAが回っているか,組織横断のセキュリティ委員会等が機能しているか確認します。また,ISMSが経営目標達成に寄与し効率的な対策となっているかも視点です。システム監査人は,経営者に代わりISMSの実効性(目標達成状況)を監査し,必要な改善提言を行います。
【AU-H16-1-PM2-Q1】取引先などの利害関係者への開示を目的としたシステム監査について
一企業のシステム障害が他社や個人に影響を及ぼす現代では,独立第三者による外部監査の仕組みが求められています。システム監査人は,例えばサービス提供企業が外部監査を受け,その報告書を取引先等に開示するケースで,監査の客観性と範囲が十分で利害関係者の信頼に足るかを意識します。助言目的の内部監査と異なり,開示を前提とした監査では報告内容の透明性・公平性が重要です。システム監査人は,報告書の記載が利害関係者に誤解なく理解されるよう留意し,また利用する側にも報告書の範囲・限界を正しく認識する教育が必要です。システム監査人は,外部公開を前提とした監査で中立かつ明確な報告を行い,ステークホルダーの信頼に応えます。
【AU-H16-1-PM2-Q2】情報システムの統合とシステム監査について
企業合併・買収に伴うシステム統合では,計画通り実施しシナジーを得ることが重要です。システム監査人は,統合プロジェクト計画が適切で,情報システム統合が円滑に進むよう統制されているかを監査します。例えば,統合戦略(片社システムへの集約,新規構築,一部連結等)の妥当性,統合作業のスケジュール・役割分担,移行リハーサルの実施状況などを確認します。また,統合で生じる業務プロセスや内部統制上の課題(手続差異や統制不整合)に対し,対策検討・実施がなされているか評価します。必要に応じ,統合委員会配下に合同の監査チームを設置し,新体制下での監査を行うこともシステム監査人に求められます。広範な視点からシステム統合のリスクを点検し,経営統合目的の達成に寄与します。
【AU-H16-1-PM2-Q3】IT投資計画の監査について
戦略的IT投資の企画では,期待効果だけでなく新たなリスクや法令対応も考慮が必要です。システム監査人は,IT投資計画が経営戦略に沿い,投資目的・効果(例えば売上拡大やコスト削減)が明確かつ測定可能に設定されているかを監査します。同時に,システム化によるリスク低減策(個人情報漏洩防止,二重請求防止等)や監査証跡確保,電子帳簿保存など関連法令遵守の観点が計画段階で盛り込まれているか確認します。例えば,ECシステムでは個人情報保護・決済ミス防止策や電子データの真正性確保等が計画されているかを評価します。システム監査人は,利便性・効率性の追求のみならず,リスク管理・法令準拠を含め総合的な計画になっているかを検証します。
【AU-H17-1-PM2-Q1】システム監査の品質確保について
システム監査は経営者の責任遂行を支える重要機能であり,その品質確保・向上は不可欠です。システム監査人は,専門家として監査基準や手続きを遵守し,十分な監査調書作成と保存,適切な監査手続の実施で客観性と網羅性を担保します。同時に,監査報告が経営に有益な改善提言を含むよう努めます。そのため,システム監査人の継続教育・育成や監査部門内レビュー,外部評価(品質評価レビュー)の仕組みを活用して監査活動自体を改善し続けます。また,監査品質の確保状況を経営者や第三者に説明可能とする透明性も重要です。システム監査人は独立性・専門性を保ちつつ,手続の厳守と報告の有用性により監査品質を高める姿勢を持ちます。
【AU-H17-1-PM2-Q2】サービスレベルマネジメントの監査について
IT運用のアウトソーシングや部門間サービス提供では,合意されたサービスレベル(SLA)の確保・維持が課題です。システム監査人は,提供側と利用側の間でサービス時間や復旧時間等の品質項目と指標が明確に合意・文書化されているかを監査します。しかし単なる合意だけでなく,その合意を維持するための仕組み(定期レビュー,報告会,問題解決プロセス)が両者に備わっているか評価します。利害が対立し合意が難しい場合の調整プロセスや,合意内容のあいまいさによる齟齬防止策も確認します。システム監査人は,第三者的立場からサービスレベルマネジメント体制を点検し,サービス品質が継続的に守られるよう監査します。
【AU-H17-1-PM2-Q3】情報システムの全体最適化とシステム監査について
部門単位で個別最適化されたシステム群は,企業全体で見ると重複や不整合が生じがちです。システム監査人は,企業全体最適の視点で情報システム群を評価すべき場合があることを認識し,必要に応じてIT全体アーキテクチャやデータ統一性を監査します。具体的には,統一されたIT戦略・方針に沿って業務プロセスやデータ標準が整備されているか,システム間で重複する機能やデータが統合・整理されつつあるかを確認します。各個別システムの部分最適とのトレードオフも考慮し,全社的なITガバナンス下で整合性向上の取組みが有効か評価します。システム監査人は,全体最適化の取り組みがIT投資や運用効率に寄与しているか判断し,改善点があれば指摘します。
【AU-H18-1-PM2-Q1】監査手続書の作成について
効果的なシステム監査には,詳細で具体的な監査手続書が欠かせません。システム監査人は,事前の予備調査結果や社内外基準(システム管理基準,セキュリティ基準等)を踏まえ,監査目的ごとに必要な監査項目と技法を盛り込んだ監査手続書を作成します。これにより監査手続が具体化し,必要な監査証拠の入手や監査範囲の網羅性が確保されます。また,手続書により監査の進捗管理やチーム内共有も円滑になります。例えばアクセス管理監査ではログ分析を選択するが,ログ取得が無ければ他の手法に切替える判断も手続書に記載します。システム監査人には各種基準の理解と対象状況に応じた監査手続書作成能力が求められ,これが監査品質の土台となります。
【AU-H18-1-PM2-Q2】文書類の電子化とシステム監査について
電子文書化の進展で,従来紙で保存した公的帳票もデジタル保存可能となりました。システム監査人は,電子文書管理のリスク(消失・改ざん・漏えい,可読性喪失等)に対するコントロールを確認します。法令要件(真実性・見読性の確保など)遵守は前提ですが,それだけでなく自社の業務要件に合致した管理策(バックアップ頻度,災害対策,アクセス制御)が整備されているか監査します。例えば,重要電子文書の定期的出力テストやフォーマット変換計画,改ざん防止のためのディジタル署名利用状況などを評価します。システム監査人は,電子化文書が法律面・ビジネス面双方の要求を満たし,安全かつ将来にわたり利用可能な状態で管理されているかを検証します。
【AU-H18-1-PM2-Q3】情報漏えい事故対応計画の監査について
万全の予防策でも情報漏えいは完全に防げず,事故発生時の迅速適切な対応が被害を左右します。システム監査人は,組織が情報漏えいインシデント対応計画(初動対応事項・手順,その後の対処と手順)を策定済みで,関係者に周知しているかを監査します。計画には,誰が何をいつ行うか明示され,訓練実施で有効性を高めているか確認します。また,発生時に備えた連絡網や,原因究明・再発防止策のフローがあるか評価します。さらに,計画の実効性(机上の計画でなく現実に即したものか)を確保するため,過去のインシデント教訓が反映され更新されているかを見ます。システム監査人は,漏えい事故対応計画が企業の信頼維持に機能する水準か判断します。
【AU-H19-1-PM2-Q1】システム監査におけるITの利用について
監査対象の拡大・複雑化に伴い,監査ツールやデータ分析等のIT監査技法の活用が求められています。システム監査人は,従来のインタビューや資料閲覧に加え,大量データを効率的・効果的に検証できるIT監査技法に習熟し,それを適切に活用すべきです。例えば,多数のサーバ設定をチェックする際,監査ツールで設定情報を一括取得・分析することで高信頼の証拠が得られます。ただし,システム監査人が強力な権限のツールを使うことになるため,利用は監査目的の達成に限定し,不必要な操作を行わない倫理姿勢も必要です。システム監査人のIT活用力が監査効率と証拠の質を向上させる一方,専門家として慎重な取り扱いが求められます。
【AU-H19-1-PM2-Q2】情報システムの調達管理に関するシステム監査について
自社開発だけでなく外部調達を適切かつ効率的に行うことが競争力に直結します。システム監査人は,情報システム調達プロセスが計画(要件定義と市場調査)から契約,受入評価まで統制され全社的な最適化が図られているかを監査します。例えば,調達先選定の基準・手続,公平な比較評価の実施,契約条件にサービスレベルや品質保証を盛り込んでいるか確認します。また,調達後の効果検証(コスト妥当性や期待効果の実現度評価)が行われ,以降の改善に繋げているか評価します。部門ごとの重複調達を避ける全社調整や,外部委託に伴うリスク管理体制についてもチェックし,システム監査人は調達管理の有効性と効率性を判断します。
【AU-H19-1-PM2-Q3】情報システムを利用したモニタリングとシステム監査について
社員の行動等をITでモニタリングする取り組みが増えていますが,プライバシや記録管理への配慮が必要です。システム監査人は,組織が導入したモニタリングシステムが不正防止や業務最適化に効果を上げつつ,適切なセキュリティ対策と運用上の手続が守られているかを監査します。具体的には,取得ログや映像の保護(暗号化・アクセス制限)と保存・廃棄ルールの徹底,モニタリング開始前に関係者への告知・同意がなされているか確認します。また,モニタリング内容・範囲が目的適合で過剰でないか,得られた情報を基にした改善サイクルが回っているか評価します。システム監査人は,モニタリングが内部統制強化に寄与しつつ,人権・プライバシを侵害しない適切さを確保しているか判断します。
【AU-H20-1-PM2-Q1】アイデンティティマネジメントに関するシステム監査について
多様な雇用形態や外部委託の増加で,社内システムへのアクセスID管理が複雑化しています。システム監査人は,組織がアイデンティティマネジメント(IDおよびアクセス権限の付与・抹消や認証統合)の仕組みを適切かつ効率的に運用しているかを監査します。具体的には,職務に応じた権限付与と異動・退職時の迅速な権限抹消,職務分離が確保されているかを確認します。また,ID管理システムやシングルサインオン導入により発生しうる新たなリスク(集中管理による影響範囲拡大等)への対策も評価します。システム監査人は,権限管理と認証プロセスが統制の下にあり,内部統制およびセキュリティが維持されているか検証します。
【AU-H20-1-PM2-Q2】内部統制報告制度におけるシステム監査について
金融商品取引法等に基づく内部統制報告制度では,財務報告の信頼性確保のためIT統制が重視されます。システム監査人は,財務データの完全性・正確性を担保するIT業務処理統制(入力・処理・出力の統制)が有効に機能しているかを監査します。同時に,それらを支えるIT全般統制(開発・変更管理,アクセス管理,外部委託管理等)が適切に整備・運用され,アプリケーション統制を支援しているか確認します。例えば,開発環境と本番環境の厳密な分離やプログラム変更の承認手続が守られているか,アクセス権限の過不足がないかを評価します。システム監査人は,IT統制の有効性を検証し,内部統制報告に資する監査意見を提供します。
【AU-H20-1-PM2-Q3】外部組織に依存した業務に関する事業継続計画のシステム監査について
企業活動が外部委託先やサプライチェーンに依存する中,BCP(事業継続計画)では自社だけでなく依存先の中断にも備える必要があります。システム監査人は,情報システム部門が重要業務の委託先や他社調達先の停止を想定したBCP手順を整備しているかを監査します。例えば,通信経路切替や負荷分散など外部停止時の対応策,自社システム障害時のみならず外部依存停止時にも自組織影響を最小化する計画があるかを確認します。さらに,委託先の対応策のモニタリングや定期協議が実施されているか,緊急時の判断体制が明確かを評価します。システム監査人は,自社と外部組織双方を含むBCPが実効性を持つよう統制されているかを検証します。
【AU-H21-1-PM2-Q1】シンクライアント環境のシステム監査について
シンクライアント導入により端末管理の集中やセキュリティ強化が図られますが,新たな留意点も生じます。システム監査人は,シンクライアント環境で情報がサーバ集中管理されることに伴い,アクセス認証・端末認可の厳格さ,サーバ側の冗長化やバックアップなど可用性確保策を監査します。ローカルにデータが残らないメリット反面,ネットワーク障害時の業務継続策やサーバへの過度集中による性能問題リスクを確認します。また,端末からの持ち出しリスク低減効果と,逆に集中管理サーバが単一障害点になっていないか評価します。システム監査人は,シンクライアント環境がセキュリティ・効率両面で期待通り統制されているかを判断します。
【AU-H21-1-PM2-Q2】システム監査におけるログの活用について
システム監査では客観証拠としてログ活用が有効です。システム監査人は,被監査システムにどのようなログ(アクセスログ,操作ログ,エラーログ等)が取得・保存されているか把握し,監査目的に応じて適切なログ分析を行います。例えば,不正アクセスや変更操作の証跡を追跡する場合は,アクセスログや変更履歴ログを抽出し,異常パターンがないか調査します。ログの信頼性確保のため,改ざん防止策(WORM媒体保存等)や収集範囲の妥当性も確認します。また,膨大なログから効率よく監査証拠を得るため,分析ツールの活用やサンプリング手法を工夫します。システム監査人は,ログを活用して内部統制の実効性を客観的に評価します。
【AU-H21-1-PM2-Q3】企画・開発段階における情報システムの信頼性確保に関するシステム監査について
情報システムの不具合発生時の影響が増大する中,企画・開発段階から高い信頼性を組み込むことが重要です。システム監査人は,開発プロジェクトにおいて,障害未然防止や障害時影響最小化の設計(フェールセーフ設計,冗長構成,データ保全策等)が適切に考慮されているかを監査します。業務重要度に応じた信頼性要求水準が設定され,重要システムでは高水準の可用性・耐障害性対策が盛り込まれているか確認します。システム種別ごとのリスクシナリオ(決済系と人事系で異なる影響)に応じた対応策が設計されている点も評価します。システム監査人は,信頼性確保策が企画・設計段階できちんと実装されていることを検証します。
【AU-H22-1-PM2-Q1】情報システム又は組込みシステムに対するシステムテストの監査について
システムテストは本番稼働前に品質を保証する最終関門です。システム監査人は,統合テストや受入テスト計画が網羅的かつリスクに見合ったものになっているかを監査します。テスト環境が本番と同等条件で構築されているか,テストケースが機能要件・非機能要件をカバーしているか,テスト結果の記録・不具合修正と再テストのプロセスが明確かを確認します。組込みシステムであれば,リアルタイム性やハードとの連携テストも重視します。また,ユーザ参加の受入テストでの合意形成や判定基準の妥当性も評価します。システム監査人は,システムテストが適切に実施され品質リスクが許容範囲内にあると保証できるかを判断します。
【AU-H22-1-PM2-Q2】電子データの活用にかかわるシステム監査について
電子帳簿保存法の施行等で,電子データ活用が進展しています。システム監査人は,紙媒体から電子データへの移行に伴う内部統制が適切かを監査します。具体的には,電子化された帳簿・伝票の真正性(タイムスタンプや電子署名利用など)や可読性確保(将来にわたり閲覧可能なフォーマット・媒体管理)が図られているか確認します。また,電子取引データの改ざん防止策,バックアップやアーカイブ手順の整備を評価します。さらに,電子データ活用による効率向上の一方で,監査証跡確保やアクセス権限管理など新たなリスクへの対策状況をチェックします。システム監査人は,電子データ運用が法令遵守と内部統制の下で有効に行われているか判断します。
【AU-H22-1-PM2-Q3】IT保守・運用コスト削減計画の監査について
経営効率化の観点から,ITの維持コスト削減は重要課題です。システム監査人は,保守・運用コストを分析し最適化する計画が妥当かを監査します。コスト構造の可視化(ハード・ソフト・人件費など区分)が行われ,重要度や効果に応じた削減策(例えば非効率プロセスの自動化,契約見直し,クラウド活用等)が検討されているか確認します。また,コスト削減によってサービス水準やリスクが悪化しないよう,KPI/KGIの設定や影響評価が実施されているかを評価します。さらに,削減計画の進捗管理と結果の経営報告体制も監査します。システム監査人は,コスト削減が持続可能かつ統制下で進められていることを検証します。
【AU-H23-1-PM2-Q1】システム開発や運用業務を行う海外拠点に対する情報セキュリティ監査について
海外拠点では文化・規制・インフラが異なり,国内と同じ統制では不十分な場合があります。システム監査人は,海外拠点固有のリスク(現地の法規制への対応,現地スタッフのセキュリティ意識,インフラ信頼性など)を十分考慮し,監査計画・方法を工夫します。例えば,現地言語や商習慣を踏まえたヒアリング,必要に応じた通訳やローカル規程類の翻訳確認を行い,コミュニケーションロスを防ぎます。また,海外拠点のアクセス管理やネットワーク接続状況,現地でのバックアップ・障害対応体制が本社基準に適合しているか評価します。システム監査人は,第三者的立場から各海外拠点のセキュリティ統制の有効性を確認し,不備には改善を促します。
【AU-H23-1-PM2-Q2】ベンダマネジメントの監査について
システム開発・運用を外部ベンダに委託する場合,委託先管理(ベンダマネジメント)が組織のIT品質を左右します。システム監査人は,契約時にサービス範囲・品質水準(SLA)が明確に定義されているか,ベンダ選定プロセスが公正で技術力・信頼性評価を経ているかを確認します。また,委託後の進捗管理や成果物検収,変更要求やトラブル対応のルールが整備され,双方の責任分担が明確になっているか監査します。定期的なベンダ評価(パフォーマンス評価・改善要求)の実施状況,複数ベンダ管理の場合の調整機能についても評価します。システム監査人は,適切なベンダマネジメントにより外部委託のリスクが低減され,サービス品質が維持されていることを確かめます。
【AU-H23-1-PM2-Q3】システム開発におけるプロジェクト管理の監査について
大規模なシステム開発では,計画・進捗・コスト等のプロジェクト管理が重要です。システム監査人は,プロジェクト憲章や計画書が整備され,範囲・体制・スケジュール・予算が明確かを監査します。進捗管理ではマイルストンの設定とモニタリング,課題管理簿・リスク管理簿の運用を確認し,遅延やコスト超過に対する是正措置が適時講じられているか評価します。変更管理手続の遵守,品質ゲート(レビュー・テスト)の設定と実施,関係者への報告・承認フローもチェックポイントです。システム監査人は,プロジェクト管理プロセス全般の有効性を検証し,必要に応じて改善提言を行い,プロジェクト成功に寄与します。
【AU-H24-1-PM2-Q1】コントロールセルフアセスメント(CSA)とシステム監査について
CSAは部門自らが内部統制を点検する手法で,システム監査と補完関係にあります。システム監査人は,組織内にCSAが導入されている場合,その手続と結果を活用しつつ,客観的視点から統制評価を行います。具体的には,各部署が実施するリスク認識と統制自己評価の妥当性,文書化やフォローアップ状況を確認します。CSAで挙がった課題や改善策が経営層に報告・是正されているか,またシステム監査人がCSAの盲点(自己評価によるバイアスなど)に注意を払い,独自のサンプリングや実証で統制効果を検証します。システム監査人は,CSAを内部統制強化に活かしつつ,第三者の視点で信頼性を補完する役割を果たします。
【AU-H24-1-PM2-Q2】システムの日常的な保守に関する監査について
日常保守業務(バグ修正,軽微な改良等)が適切に管理されないと,システムの信頼性低下やバックログ増大を招きます。システム監査人は,保守依頼の受付から影響分析,実装,テスト,本番反映までのプロセスが整備され,優先順位付けや工数管理が行われているかを監査します。累積する保守案件がシステム全体に与える影響や,ドキュメント更新・変更履歴管理の状況を確認します。また,保守担当者への権限集中に伴うリスク(不正や人的ミス)に対するコントロール(例えば変更のレビュー・承認プロセス)が実施されているか評価します。システム監査人は,保守業務がシステム品質を維持しつつ効率的に運営されているかを検証します。
【AU-H24-1-PM2-Q3】情報システムの冗長化対策とシステム復旧手順に関する監査について
システム停止による業務影響を抑えるため,冗長化(レッドンダンシー)と復旧計画が重要です。システム監査人は,主要サーバやネットワーク等の二重化,データ同期,フェールオーバー機能の実装状況を監査し,それらが定期検証され実効性が保たれているか確認します。また,大規模障害時の復旧手順書が整備され,役割分担・手順が訓練等で周知されているかを評価します。非常時の代替処理(手作業手順等)が準備されているか,復旧優先度(何を先に復旧するか)の決定基準が明確か,といった点も検討します。システム監査人は,冗長化と復旧手順によりシステムが高可用性を達成できる態勢かどうかを判断します。
【AU-H25-1-PM2-Q1】システム運用業務の集約に関する監査について
複数部門で個別に行われていた運用業務を集約する場合,統制強化と効率化が期待される一方で新たなリスクも生じます。システム監査人は,運用集約の計画段階で役割分担や手順が標準化・文書化され,移行に伴う権限の集中や抜け漏れがないよう管理されているかを監査します。集約後の組織体制が明確で,サービスレベルや対応時間等が統一されているか,また監視・インシデント対応が一元的に行える仕組みが構築されているか確認します。さらに,集約によって発生しうるボトルネックや責任不明確化のリスクに対し,経営の監督下でのガバナンスが効いているかを評価します。
【AU-H25-1-PM2-Q2】要件定義の適切性に関するシステム監査について
要件定義はシステム開発の成否を左右する重要工程です。システム監査人は,ユーザ要求や業務ニーズが正確に把握・文書化され,合意された要件定義書となっているかを監査します。要求の抜け漏れや曖昧さを防ぐためのレビュー体制,変更要求の管理プロセス,非機能要件(性能・セキュリティ等)の定義状況を確認します。また,要件定義段階で実現可能性の検証(プロトタイプ作成や現場ヒアリング)が行われているか,利害関係者間の調整プロセスが適切か評価します。システム監査人は,適切な要件定義により後工程の手戻りや品質問題が最小化されるよう,要求管理統制の有効性を判断します。
【AU-H25-1-PM2-Q3】ソフトウェアパッケージを利用した基幹系システムの再構築の監査について
パッケージソフト導入による基幹システム再構築では,標準機能と自社業務要件のギャップ管理が鍵となります。システム監査人は,導入決定時に業務要件とパッケージ機能の比較検討が十分なされ,必要なカスタマイズ範囲や業務プロセス変更が明確化されているかを監査します。導入プロジェクトでは,現行から新システムへの移行計画,データ移行の正確性や業務への影響緩和策を確認します。また,パッケージへの依存による内部統制の変化(自動化される統制や新たに必要な統制)の評価も重要です。システム監査人は,パッケージ再構築がリスクを適切に管理しつつ,期待効果を得られるよう統制が整備されているかを検証します。
【AU-H26-1-PM2-Q1】パブリッククラウドサービスを利用する情報システムの導入に関する監査について
クラウド利用では,サービス提供者に依存する部分が多いため,契約段階から統制が重要です。システム監査人は,クラウド導入時に可用性・安全性・データ保護の要求事項が明確化され,SLAや契約でそれが担保されているかを監査します。例えば,サービス停止時の復旧保証やデータ漏洩防止策,監査権限(クラウド事業者への監査や報告取得)が契約に含まれるかを確認します。また,クラウド上のアクセス管理や暗号化など利用者側で講じるべき統制も適切に実装されているか評価します。システム監査人は,クラウド利用に伴う責任分界点で必要な内部統制が漏れなく整備されていることを検証します。
【AU-H26-1-PM2-Q2】情報システムの可用性確保及び障害対応に関する監査について
システムの高可用性はビジネス継続に直結するため,障害予防と迅速復旧の仕組みが重要です。システム監査人は,可用性向上のための冗長構成(サーバやネットワークの二重化等)や定期バックアップとリストア訓練が実施されているか確認します。障害発生時の対応手順(インシデント管理フロー,エスカレーション体制)が整備され,関係者に周知されていることも評価します。また,過去の障害分析結果が蓄積・共有され再発防止策に活かされているか,可用性目標(目標稼働率やRTO/RPO)が定められ管理されているかを監査します。これらにより,システム監査人は情報システムが安定稼働できる内部統制の有効性を判断します。
【AU-H27-1-PM2-Q1】ソフトウェアの脆弱性対策の監査について
ソフトウェア脆弱性を悪用した不正アクセスが増加する中,組織は継続的な脆弱性管理が必要です。システム監査人は,脆弱性情報の収集・評価体制が整い,適切な対策(パッチ適用,設定変更等)がタイムリーに実施されているかを監査します。具体的には,脆弱性公表時の影響評価プロセス,修正プログラムのテストと本番適用手順,適用漏れを防ぐ資産管理台帳の管理状況などを確認します。また,脆弱性対策に伴うシステム停止等のリスクに対する計画やユーザへの周知が適切か,緊急時対応手順があるかも評価します。システム監査人は,脆弱性対策がセキュリティ水準維持に十分寄与しているか検証します。
【AU-H27-1-PM2-Q2】消費者を対象とした電子商取引システムの監査について
一般消費者向けECシステムでは,利便性と安全性の両立が課題です。システム監査人は,取引データの機密性・完全性確保(通信暗号化,改ざん検知),システム可用性(高負荷対策,冗長構成),および顧客情報保護(個人情報管理,プライバシーポリシ遵守)に関する統制を監査します。さらに,注文・決済処理での不正防止策(多要素認証,不正検知システム),監査証跡の保存なども確認します。また,特定商取引法等関連法規への準拠(表示義務や苦情対応体制)もチェックポイントです。システム監査人は,ECシステムが安心安全に運用され顧客信頼を維持できる内部統制を評価します。
【AU-H28-1-PM2-Q1】情報システム投資の管理に関する監査について
限られた資源で最大のIT投資効果を上げるために,組織は投資管理プロセスを整備します。システム監査人は,情報システム投資案件の選定・評価・モニタリングが戦略に沿い適切に行われているかを監査します。具体的には,投資計画の策定手順(ROIやリスク評価の実施),投資案件の承認プロセスの妥当性,投資後の効果測定とフィードバック(例えばROIの事後検証や目標未達時の原因分析)を確認します。また,ポートフォリオ管理により投資優先順位が合理的につけられているか,投資案件変更時の統制があるかも評価します。システム監査人は,IT投資がガバナンスの下で効率的・有効に管理されていることを確かめます。
【AU-H28-1-PM2-Q2】情報システムの設計・開発段階における品質管理に関する監査について
システム開発段階での品質管理は,運用後の信頼性を左右します。システム監査人は,要件定義から設計・テストまで各工程に品質確保の仕組みが組み込まれているかを監査します。例えば,レビュー(設計書・コードレビュー)の実施状況,テスト計画の網羅性と欠陥管理プロセス,品質基準の設定と達成度測定(バグ件数やテストカバレッジ等)の有無を確認します。また,品質を損なう要因(スケジュール優先による省略等)が無いか,変更管理やベンダ管理のプロセスも評価します。システム監査人は,開発時点での十分な内部統制と品質管理活動が製品・システムの所定品質を確保していることを検証します。
【AU-H29-1-PM2-Q1】情報システムに関する内部不正対策の監査について
内部不正による情報漏えいや改ざんリスクに対し,組織はアクセス権限管理や職務分離,ログ監視など多層的対策を講じます。システム監査人は,人為的不正の機会を最小化する統制が確立され,運用されているかを監査します。具体的には,重要データや機能への権限付与プロセスの適切性,権限の定期見直し,操作ログの取得・分析体制,不審な行為への迅速な対応フロー等を確認します。また,内部通報制度や従業員教育を含むソフト面の対策も評価します。システム監査人は,IT全般統制と業務統制の両面から内部不正を抑止・検知する仕組みが十分か判断し,不備があれば改善提案を行います。
【AU-H29-1-PM2-Q2】情報システムの運用段階における情報セキュリティに関する監査について
システム稼働後の運用フェーズでは,利用者や管理者の日常的行動がセキュリティに大きく影響します。システム監査人は,運用規程に基づきアクセス管理,ログ管理,脆弱性対応,バックアップ運用などが適切に実施されているかを監査します。特に,権限の過不足や共有アカウントの有無,定期的なパスワード変更・認証強化,セキュリティパッチ適用プロセス,インシデント対応訓練の実施状況などを確認します。また,運用担当者へのセキュリティ教育や外部委託先の監督も含め,セキュリティ管理策が運用段階で形骸化せず有効に機能しているか評価します。
【AU-H30-1-PM2-Q1】アジャイル型開発に関するシステム監査について
アジャイル開発では短いサイクルでのリリースとユーザとの協働が重視されます。システム監査人は,アジャイル特有の統制が確保されているかに注目します。例えば,スプリントごとの要求変更管理や受入テスト手順,ドキュメント代替となる情報共有の仕組み,品質保証のための自動テスト導入などを監査します。また,プロジェクトの進捗とリスクを可視化する手段(バックログ管理,バーンダウンチャート等)が適切に機能し,頻繁なリリースに伴う承認やレビューが追いついているか確認します。システム監査人は,柔軟性と統制のバランスが保たれ,アジャイル手法でも内部統制や品質が損なわれないよう評価・助言します。
【AU-H30-1-PM2-Q2】リスク評価の結果を利用したシステム監査計画の策定について
組織内のリスク評価結果をシステム監査計画に活用することで,監査の重点付けと効率化が図れます。システム監査人は,経営層やリスク管理部門が特定した情報システム関連リスクの高低を考慮し,年度監査計画や個別監査計画の対象と範囲を決定します。リスクが高い領域(例えば重要データの管理や外部委託先の統制など)に監査リソースを集中し,低リスク部分は簡易な手続で済ませるなどの工夫を行います。また,リスク評価と監査結果を突合し,監査後にリスク評価の妥当性をフィードバックします。こうした取り組みにより,監査は組織のリスクプロファイルに密着し,最大の効果を発揮します。
【AU-H31-1-PM2-Q1】IoTシステムの企画段階における監査について
IoT導入では,多数のデバイス接続やリアルタイム処理に伴う新たなリスクへの配慮が必要です。システム監査人は,IoT活用の企画段階で目的・要件が明確化され,セキュリティやプライバシ,データ連携の信頼性確保策が計画に組み込まれているかを監査します。具体的には,デバイス管理・認証の仕組み,通信の暗号化や耐障害性,収集データの品質確保や活用方法,さらにIoT固有の脅威(なりすましや大量アクセス等)への対策計画を確認します。企画段階から経営戦略とリスク管理が両立したIoTシステムとなるよう,システム監査人は統制の妥当性と網羅性を評価し,必要に応じ改善提言を行います。
【AU-H31-1-PM2-Q2】情報セキュリティ関連規程の見直しに関するシステム監査について
情報セキュリティ規程類は環境変化や新たな脅威に対応して定期的な見直しが必要です。システム監査人は,組織のセキュリティポリシーや手順書,ガイドラインが最新の法規制やリスク状況に適合しているか評価します。具体的に,規程の見直しプロセス(定期レビューの実施,関係者の承認手続)が確立され,有事のインシデントから得た教訓が反映されているか確認します。また,改定された規程が全社員に周知・教育され,運用面で遵守されていることも重要視します。システム監査人は,規程類の実効性(規程と現場運用の整合性)を検証し,必要なら規程内容や運用改善を提言します。
【AU-R02-1-PM2-Q1】AI技術を利用したシステムの企画・開発に関する監査について
AI導入システムでは,不確実性や高度な技術特性が伴うため,企画・開発段階から適切なガバナンスとリスク管理が求められます。システム監査人は,AI活用目的が経営戦略と整合し,データの品質確保やバイアス対策,モデルの精度検証などのプロセスが企画・設計に盛り込まれているか確認します。また,AI特有のリスク(判断根拠の不透明性など)に対するコントロールが設計されているかを評価します。さらに,プロジェクト管理体制や専門人材の確保,AIシステムに対する評価指標設定とそのテスト結果について監査し,AI技術導入が適切に統制され有効性を発揮できるよう助言します。
【AU-R02-1-PM2-Q2】IT組織の役割・責任に関するシステム監査について
ITガバナンスの一環として,IT部門と他部門の役割・責任分担が明確であることが重要です。システム監査人は,組織内で情報システムに関する意思決定権限や責任範囲が明文化され,適切に運用されているかを監査します。例えば,IT戦略の策定・実行に経営陣やユーザ部門が関与する仕組み,IT部門内の職務分離と権限委譲の妥当性,人員スキルや教育体制の整備状況などを確認します。また,委員会やポリシーによるITガバナンス体制が有効に機能し,ITリスクや投資が組織全体の視点で管理されているかを評価します。これにより,IT組織が経営目的達成に貢献する体制かを判断します。
【AU-R03-1-PM2-Q1】RPAツールを利用した業務処理の自動化に関する監査について
RPA等の自動化ツール導入により業務効率化を図る際,内部統制やリスク管理が重要です。システム監査人は,業務フローの自動化に伴うリスク(誤処理,統制抜けなど)を認識し,RPAのシナリオ作成・変更管理や,処理結果の検証プロセスが整備されているかを確認します。人による承認プロセスとの適切な組み合わせ,異常検知時の対応フロー,ログの取得とレビューなど,自動化運用上の統制を監査します。また,RPA導入が業務目標に合致し効果を発揮しているか,継続的な改善体制があるかにも目を配り,自動化によるメリットを享受しつつ内部統制が維持されていることを確かめます。
【AU-R03-1-PM2-Q2】他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について
システム監査では,他部門の内部監査や外部評価の結果を活用し,効率的かつ重点的に監査範囲を定めることが有益です。システム監査人は,過去の財務監査やセキュリティ評価等で指摘されたリスクや改善点を把握し,それらを踏まえた監査計画を策定します。他の監査結果で得られた証拠や保証を信頼できる範囲で活用しつつ,システム監査独自の視点から重点領域にリソースを集中します。これにより,監査の重複を避け監査効率を高めるとともに,既存の知見を活かして高リスク領域に深く踏み込み,総合的な監査品質の向上と組織全体の統制強化に貢献します。
【AU-R04-1-PM2-Q1】情報システムの個別監査計画と監査手続について
効果的なシステム監査には,リスクに基づいた監査計画の立案と,それを具体化する監査手続書の整備が不可欠です。システム監査人は,経営目標や情報システムの特性を踏まえて監査対象領域を選定し,個別監査計画書に基づき詳細な監査手続書を作成します。監査手続書には,予備調査の結果を反映して具体的な監査項目や方法,必要な証拠の収集手段等を盛り込み,漏れの無い客観的な監査実施を図ります。これにより,限られた時間内で監査目的を達成し,経営者に有益な監査報告が提供できるよう努め,監査品質の確保・向上を実現します。
【AU-R04-1-PM2-Q2】システム障害管理態勢に関する監査について
情報システム障害発生時に被害を最小化し迅速に復旧する態勢は,事業継続に直結します。システム監査人は,組織が障害管理ポリシーや手順を整備し,インシデント発生から報告・対処・復旧までの一連のプロセスを確立しているかを監査します。障害の検知・エ scal激機能や切替手順,予備系システムの準備状況,定期的な復旧訓練の実施などに注目し,障害対応能力が実効性を持つかを確認します。また,障害原因の分析と再発防止策が適切に講じられ,経営層へ適時報告されているかも監査し,システム障害管理態勢の有効性を評価します。
【AU-R05-1-PM2-Q1】データ利活用基盤の構築に関するシステム監査について
ビッグデータ活用が経営課題解決や新規ビジネス創出に欠かせない中,企業は様々なデータを統合する「データ利活用基盤」を構築しています。システム監査人は,この基盤が経営戦略・IT戦略に沿って構築され,必要なデータの収集・統合・分析環境が適切に整備されているかを監査します。データの品質や信頼性確保,アクセス権限管理やプライバシ保護,データ活用プロセスの有効性などに着目し,組織のデータ活用が価値創出に貢献するよう統制が効いているかを確認します。また,大量かつ多様なデータを扱う基盤の可用性・拡張性や,分析結果の正確性に関する統制についても検証します。
【AU-R05-1-PM2-Q2】サイバーセキュリティ管理態勢に関するシステム監査について
サイバー攻撃の高度化が進む中,組織には統合的なセキュリティ管理態勢が求められます。システム監査人は,経営層の関与を含む情報セキュリティガバナンスが確立し,リスク評価に基づく対策計画や統制が組織全体で適切に実施されているかを監査します。具体的には,セキュリティポリシーや体制,技術的防御策,人の教育・訓練,インシデント対応手順などが有効に機能し,継続的改善が図られているかに注目します。また,サプライチェーンやクラウド利用に伴うセキュリティリスクにも目を配り,組織横断的かつ包括的にセキュリティ統制が取られていることを確認します。
【AU-R06-1-PM2-Q1】IT投資のガバナンスに関する監査について
クラウドやAI活用の拡大と災害・サイバー攻撃リスク増大の中,IT投資の意思決定は組織価値と事業継続に直結します。そのためIT投資の管理プロセスの整備と,取締役会等での適切なガバナンス体制が重要です。システム監査人は,この状況を踏まえ,IT投資計画の策定・効果評価・見直しなど管理プロセスと,経営陣への報告・承認プロセスなどガバナンス体制が適切に機能しているかに着目します。IT投資の優先順位付けや効果測定が組織戦略と合致し,必要な監査証拠を収集して投資の有効性と統制の有無を検証することが求められます。
【AU-R06-1-PM2-Q2】情報システムの外部サービスを活用した運用プロセスの監査について
IaaSやSaaS等の外部サービス利用により,委託元企業にはITリスク分析と対策実施,委託先の管理という責任が生じます。システム監査人は,委託元が自社のITリスクを十分に分析し,自ら講ずべき対策(外部サービスを含めた業務全体のリスク対応策)を適切に実施しているか確認します。また,委託先が実施すべき対策について,委託元が定期報告や現地調査,第三者評価報告書活用等で継続的にモニタリングし,必要に応じて自社対応策を見直しているかを重視します。要するに,システム監査人は外部サービス利用に伴う責任分界点を踏まえ,委託元の統制と委託先への管理が有効に機能していることを検証します。