システム監査では、どの様にテーマを選定すればよいのか

システム監査大全
2021.05.20
この記事は約5分で読めます。

こんにちは、ペン太郎です。

大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきました。

システム監査はその重要性に反して中身がベールに包まれているため、理解が得られにくい業務です。

監査法人への就職・転職を志している方や監査部門に配置換えになった方、証跡の提出など何かしら業務上システム監査に携わる方に向けて、実際に監査を行ってきた知見からシステム監査について解説していきます。

システム監査が対象とする規程類

世の中には様々な規程が存在します。大きく分けると社外規程と社内規程が存在します。

法令も大きくは、社外規程にあたります。

規程には、上位規程と下位規程の関係性があります。

基本的には、上位規程と下位規程では、上位規程の内容が優先されると理解しておきましょう。(なお、細かくは強行規定や任意規定といった区分けがあるので、完全に上下関係があるわけではないことに留意ください。)

法令と社規がある場合、法令に反する社規の条文は無効となるのは、誰しもが知っていることでしょう。

法令と内規の関係を図示すると以下の様になります。

そして、内規が整合性を取る必要がある外部規程は、法令だけに留まりません。

業界団体が出している基準も、立派な整合性を取るべき外部規程となります。

例えば、セキュリティ分野は日進月歩で進化しています。攻撃手段の多様化・進化に伴い、かけるべき統制もレベルアップすることが求められます。

そんな外部環境の中、法令だけに対応していて百戦錬磨のハッカーに対抗出来るでしょうか。

難しいですよね。

統制を強化したい領域に対して外部規程を持ち出し、内規との整合性を確認していくのがシステム監査の進め方であります。

システム監査で対象とする外部規程

さて、外部規程と言われても、何を参考にすべきかわからないですよね。

以下に参考とすべき外部規程を述べていきます。

法令編

システム監査の観点では、以下の法令を抑えましょう。

  • 業界法
  • 個人情報保護法
  • GDPR規則(EU一般データ保護規則)
  • 金融商品取引法

業界法には、最低限従う必要がありますね。

また、個人情報を取り扱うならば、個人情報に係る法令への適応は必須となります。

GDPRは、EU版個人情報保護法なのですが、適用範囲が広いので気を付ける様にしましょう。

金融商品取引法では、情報システムに係る条文も多く出てきます。

業界団体編

情報システムに係る統制を向上させるためには、業界団体が出している基準と整合性を取るのが良いでしょう。

有名な基準を以下に示します

  • COBIT
  • 『NIST(アメリカ国立標準技術研究所)』のCybersecurity Framework (重要インフラのサイバーセキュリティを強化するためのフレームワーク)
  • 『IPA(情報処理推進機構)』の安全なウェブサイトの作り方
  • 『OWASP(Open Web Application Security Project)』のTop10
  • 『FISC(金融情報システムセンター)』の安全対策基準
  • 『IPA(情報処理推進機構)』の中小企業の情報セキュリティ対策ガイドライン
  • 『FFIEC(連邦金融機関審査審議会)』のCAT(Cybersecurity Assessment Tool)

色々ありますね。

近年の傾向として、IoTの発展に伴い、管理・運用面の内部統制のみならず、セキュア設計、セキュアプログラミングを徹底することも求められる様になってきています。

侵入されることを前提にどの様に統制を確立するのか、という所がポイントとなってきます。

上記に紹介した基準は、数年置きに更新されます。先ほども記載しましたが、セキュリティ分野は日進月歩なので、更新された基準に適合しているかを定期的に見ていく必要があります。

但し、全ての基準への適合が必要なわけではなく、自社のリスクに応じた取捨選択が必要となってきます。

内部情報の種類

内部情報としては、システムリスクに係る社規を対象としましょう。場合によっては、BCPに係る規程や危機対策マニュアル等も対象となるでしょう。

規程に関しては、規程関連図を作成しておくと、対象選定がしやすくなります。

時々、規程を作りすぎて管理出来ず、既に規程間の関係性が崩れている企業もありますので、これを機に自社の規程について振り返るのも良いでしょう。特に合併を繰り返したことのある会社で、この傾向は強い様に思えます。

(筆者が見たことのある規程間の関係性が崩れていた例:ある規程Aの上位規程であるBに、Bの上位規程として定義されている規程Cが、Aの下位規程であるケース。)

その他、規程ではないですが、組織図、システム全体概要図、データモデルなどは、システム監査で使用することが多いので、常に最新化すると良いでしょう。

これらは、システム監査のみならず、新任者の教育にも有意に使用出来るので、最新化を意識しましょう。

年次点検とテーマ監査

システム監査する際には、年次点検とテーマ監査を実施すると良いでしょう。

イメージ的に、年次点検は健康診断のイメージでしょうか。テーマ監査はその年度でHotなトピックを選ぶと良いでしょう。

システムは年々増える傾向にあります。増えたシステムであったり、システムの改修内容が自社で定めたルールから逸脱していないか、年次点検で定期的に確認しましょう。

テーマ監査としては、(ベンチマーク等で判明した)自社の弱い領域であったり、法令改正があったタイミング、はたまた、重要と思われる領域については数年置きに検証する計画を立てるのも有効でしょう。

何よりも、自社が重視する外部規程と内部規程を踏まえ、その年度に必要とされるテーマを選定することが重要となります。

以上、システム監査のテーマ選定について、紹介しました。

監査対象のテーマ選定においては、適当に選ぶことが無いようにしましょう!

関連記事

【第3回】システム監査の評価方法

システム監査の評価の流れを解説します
システム監査の評価方法を知ることで、通常業務でNGとなる行為を把握しましょう。本記事では、大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきた知見から、システム監査の評価方法を具体的に解説していきます。
tinotankyu.com
2021.07.05

コメント

タイトルとURLをコピーしました