第10章 システム監査
デジタル・ガバメント推進標準ガイドライン 実践ガイドブック
第10章 システム監査
目次Step.1 システム監査の全体の流れ
Step.2 システム監査の理解
1 システム監査とは何かを理解する
A. 監査の種類を理解する
B. システム監査は問題解決の近道となる
C. システム監査基準・システム管理基準を理解する
2 システム監査の全体像を理解する
3 適切な監査が行える体制を作る
Step.3 システム監査計画と監査実施計画
1 複数年の監査計画を立てる
2 システム監査実施計画書を作る
A. 監査範囲が局所的にならないように注意する
B. 監査実施方法に注意する
Step.4 システム監査の実施
1 予備調査を踏まえ監査手続を具体化する
A. 監査手続書を作成するまでの流れを掴む
2 根本原因を究明し改善点を発見する
A. インタビュー時には情報を上手に引き出す
B. 改善提案は報告の場で具体例を混ぜながら行う
C. システム監査報告書の様式を把握する
Step.5 指摘事項を踏まえた改善
1 改善計画を立て改善を行う
事例・参考の一覧
参考:経済産業省 システム監査基準・システム管理基準
事例:職員が中心となりCIO補佐官の助言を得ながら監査する
様式例:システム監査実施計画書のひな形
事例:変更管理の妥当性を監査する手続を検討する
事例:ある省でのシステム監査の効果向上への取り組み
様式例:システム監査報告書のひな形
Step.1 システム監査の全体の流れ
PJMOの皆さんは、プロジェクトの目標達成に向けて、日々課題やリスクの管理をしていることでしょう。しかし、日々のプロジェクト管理等に忙殺されると、そもそもの管理方法が適切かどうか、といった観点での改善まで至らない、又は気づかないことが多いのも実情です。
システム監査は、各プロジェクトの取り組みが、その目標達成に正しく向かっているのか、プロジェクトの各フェーズでの実施プロセスは適切か、仕様どおりに機能しているか、目的に照らして適切な仕様となっていたのか、といった観点から現状を調査し、改善すべき点がないかを第三者の視点で客観的に点検・評価する活動です。システム監査を行うことにより、プロジェクトの目標達成を阻む様々な問題が抽出され、種々のリスクへ適切に対応できるようなり、結果としてプロジェクトの成功(プロジェクトの目的達成)への近道になります。
ここでは、システム監査に向けた準備や実施に際して必要となる作業について説明します。
本ドキュメントの構成は、次のとおりです。
Step.2 システム監査の理解
システム監査を行う前に、理解すべき監査の目的・活動や、必要な事前準備の内容について説明します。
Step.3 システム監査の実施計画
監査体制は、府省全体のシステム監査計画を基に対象のプロジェクトを監査するための実施計画を立案しますが、立案において気をつけるポイントについて説明します。
Step.4 システム監査の実施
監査体制は、システム監査実施計画に則りシステム監査を実施しますが、具体的にどのように進められているかを実際の事例を基にご説明します。
Step.5 指摘事項を踏まえた改善
PJMOは、PMO等、監査実施者からのシステム監査報告書の指摘を踏まえて改善を行いますが、改善の際に気をつけるポイントについて説明します。
Step.2 システム監査の理解
「システム監査」と言われても、携わったことのない方にはどのようなことをするのかイメージが湧きにくいかもしれません。ここでは、標準ガイドラインで扱うシステム監査の目的や全体像と、監査する側の準備について、説明します。
1 システム監査とは何かを理解する
【標準ガイドライン関連箇所:第3編第10章第1節】
A. 監査の種類を理解する
「監査」と聞くと、会計検査院が実施する会計検査や、会社法、金融商品取引法に基づく財務諸表監査を思い出す人も少なくないと思います。これらは、会計監査に当たりますが、標準ガイドラインで扱うシステム監査は、業務監査の一部に位置付けられます。また、監査人が誰かにより監査が分類されることもありますが、その分類においては内部監査に当たります。
また、システム監査と混同しがちな監査に、情報セキュリティ監査があります。情報セキュリティ監査は、元々はシステム監査における監査テーマの一つであり、近年、情報漏えい等の多くの情報セキュリティに関する事件・事故が多発してきた結果として、情報セキュリティに特化した監査として定着してきているものです。
これらの関係を示せば、次のようなイメージとなります。
図10-1 一般的な内部監査における各監査の関係性
では、システム監査は何のために行うものでしょうか?
B. システム監査は問題解決の近道となる
標準ガイドラインでは、システム監査の目的を次のように示しています。
PMOは、プロジェクトの目標を達成することを目的として、所管する情報システムにまつわるリスクに適切に対処しているかを客観的に評価するために、内部又は外部からの支援を得て、次のとおり監査を行うものとする。 (標準ガイドライン「第3編第10章 システム監査」) |
システム監査は、プロジェクトの目標を達成するための活動です。日々のプロジェクト管理作業に追われていると、近視眼的に作業効率を重視するあまり、本来の目的を見失ってしまい、当初の目的から外れた活動(手段が目的化してしまう等)になったりしてしまうことが少なくありません。これらを是正せずに作業を続けた場合、情報システムが意図したとおりに構築・改修されない、不必要な機能構築や人件費の積算、不適切な業務・システムの運用の定着、情報漏えい等の様々なリスクが顕在化することにより、プロジェクト目標が達成されないおそれがあります。これらを未然に防止するために、客観的な視点からプロジェクトの活動を点検・評価し改善していく活動がシステム監査です。PDCAサイクルにおける「C」チェックに相当します。
そのため、システム監査では、例えば、「不具合が多く発生しているから問題である」という現象を評価するのではなく、不具合を発生させている原因についての言及する、例えば「不具合を収束させるためのプロセスや体制に問題がある」、「不具合が組み込まれやすいプロセスになっている」というような評価をすることになります。
なお、どのような目的で監査を行うか、何を評価するかは、PMOが定め、システム監査の府省全体の計画である「システム監査計画書」としてまとめます。監査の対象となるプロジェクトもこの中で定められます。
監査対象に選ばれたプロジェクトは、本システム監査が問題解決のきっかけになりますので、監査結果による指摘への対応を含め、ぜひ前向きに捉えて取り組んでください。
システム監査の準備や実施には、監査する側も受ける側も、ともに時間を要します。効率的にシステム監査を進められるよう、PMO等の監査実施者の求めに応じ、監査対象となったプロジェクトの皆さんの協力が必要となります。例えば、システム監査の実施計画を立案するために必要な日程・関係者等の調整や、必要な資料の提供、インタビューへの出席、質問への回答等がありますので、監査対象のPJMOは積極的に協力してください。
C. システム監査基準・システム管理基準を理解する
「システム監査基準」及び「システム管理基準」は、経済産業省が策定・公表した、システム監査を適切に行うための基準です。
「システム監査基準」とは、システム監査の品質を確保し、有効かつ効率的に監査することを目的とした、監査体制(監査責任者及び監査実施者)の行為規範及び監査手続の規則等を規定したものです。この基準は、様々な視点での監査をカバーし、また様々な組織が利用できるよう、汎用性のある内容になっています。
「システム管理基準」とは、監査の効率的・効果的遂行を可能にする判断の尺度を規定したものです。この基準は、情報システムの管理において共通して留意すべき基本的事項を体系化・一般化したものですので、対象となるプロジェクトの目的や業務の特性、情報システムの特性等に照らして適切な項目の取捨選択や対応内容を修正するなどを適宜行いながら活用してください。
参考10-1 経済産業省 システム監査基準・システム管理基準
参考:経済産業省 システム監査基準・システム管理基準
このドキュメントは、以下のURLで公開されています。 https://www.meti.go.jp/policy/netsecurity/sys-kansa/h30kaitei.html |
2 システム監査の全体像を理解する
【標準ガイドライン関連箇所:第3編第10章第1節】
システム監査には、いくつかの役割が存在します。大きく分類すると、監査計画・報告に関する承認(合議制機関(府省の情報化推進委員会等)など)、監査の指示(PMO)、監査の実施主体(監査体制)、監査対象(PJMO)の4つに分かれます。
以下の図にてシステム監査の体制と関係を示します。
図10-2 システム監査の全体体制
PJMOが監査を指示する場合であっても、監査を行う監査体制は、PJMOとは独立した体制とすること(客観的な評価が行えること)がとても大切です。監査体制については、「3 適切な監査が行える体制を作る」で詳しく触れます。
次に、監査のおおまかな流れをご紹介します。
図10-3 システム監査の流れ
具体的な内容は、以降で触れていきますので、ここでは、システム監査の大まかな流れをつかんでいただければ結構です。
3 適切な監査が行える体制を作る
【標準ガイドライン関連箇所:第3編第10章第1節1)】
監査体制は、監査対象となるプロジェクトの体制や進め方を客観的に点検・評価する趣旨から、原則として、そのプロジェクトの利害に関係しない及びしたことがない者で構成されることが望ましいです。これは、利害関係者が関与した場合、問題点の抽出や見直しを客観的に実施できない可能性があるためです。場合によって、一部の作業を外部事業者に委託し、監査を実施することも可能です。
さらに、監査体制には、業務に詳しい者とITに詳しい者の両者が必要となります。監査は、その実施に当たり、情報システムの目的すなわち、情報システムを活用した業務で達成すべき目的あるいは目標が実現されているかが主要な観点となるため、業務の視点からの課題の抽出、助言の実施は欠かせないものとなります。また、当然にITに関する知見がないと、情報システム上の課題や助言ができない事になりますので、どちらかの視点が欠けても、課題の抽出や提示する改善案の内容の網羅性(業務及び情報システムの両方の視点)を網羅、担保できない可能性が高くなります。
なお、監査体制にCIO補佐官が加わることも有効です。CIO補佐官が持つ様々な知見から、効果的な確認観点の抽出や効率的な実施方法の選定等をスムーズに行うことができます。
事例:職員が中心となりCIO補佐官の助言を得ながら監査する
ある省では、ITガバナンス強化のため、管理プロセスの標準ガイドラインに対する準拠性と費用対効果の妥当性を評価することを目的としたシステム監査を実施することにしました。その省には監査を専門とする部署がなかったため、PMOは、プロジェクトとは直接関係のない部署の職員で監査体制を組織することで、客観的な評価が行えるようにしました。 しかし、監査を担当する職員の中には、システム監査や情報システム開発に関する理解度が高くない職員も見受けられたことから、正確な評価を行うことができず、形だけの監査になってしまう懸念がありました。 そこで、PMOは、監査に先立って、監査手続書のひな形やチェックリスト等を整備し、確認漏れを防止し、適切な監査手順で評価が行えるようにしました。また、CIO補佐官が監査体制をサポートできるようにし、特に費用の妥当性評価等の専門的なIT知識が必要な場面で監査体制に助言を行いました。 結果、監査体制は、適切な評価や改善提案を行うことができ、翌年度以降も同様の仕組みで継続的に監査を行っています。 |
システム監査に必要な人員が確保できない場合、監査体制そのものをPJMOが担うこともあります。ただしそのような場合でも、これまでの説明の趣旨に則り、できる限り、客観的な評価ができるよう心掛けてシステム監査を実施してください。
Step.3 システム監査計画と監査実施計画
システム監査を実施するには、監査の目的、監査の方針、監査の範囲やスケジュール、実施方法等を事前にしっかり計画しておく必要があります。ここでは、システム監査を実施するための計画の立案について、説明します。
システム監査の計画には、当該年度の監査の段取りを記載した監査実施計画と、複数年度にわたり組織としての監査方針を示す監査計画があります。
複数年にわたる監査方針を示した監査計画は、第2編第8章に「PMOは、毎年度、監査対象の追加等のシステム監査計画書の見直し(次の3か年分の計画の作成)を行うものとする。」との記載があるとおり、3か年程度の監査計画を立てることになります。
1 複数年の監査計画を立てる
【標準ガイドライン関連箇所:第3編第10章第1節2)】
監査計画を立てるには複数の考え方があります。経済産業省の「システム監査基準」にも記載されているとおり、システム監査には様々な視点があります。一方、省内には複数のプロジェクトがあり、その目的やプロジェクトの状況も異なります。1年で全ての監査項目を全てのプロジェクトで実施することは現実的ではありません。したがって、各年度で監査テーマあるいは監査対象を絞って監査を実施していく必要があります。そのため、複数年にわたる監査計画を策定する必要があります。
具体的な監査計画の策定に当たっては、年度ごとに思いつきで監査対象や監査項目を選定したのでは、ITガバナンスを構築できているとは言えません。したがって、省内のプロジェクトの数や規模、進捗等の状況に応じ、解決したい課題や問題意識を議論し、監査に対する一定の方針を立てる必要があります。
例えば以下のような例が考えられます。
・予算、重要性ともに大規模プロジェクトが開始されるため、プロジェクトを滞りなく進捗するために、プロジェクトの各フェーズでリスクを最小化したい。この場合は、当該プロジェクトのフェーズに着目し、プロジェクトのライフサイクルに応じて監査を実施するように計画することになります。
・省内複数のプロジェクトにおいて運用経費が増加しつつあり、システム予算の多くの部分が運用費となっているという問題意識があるとすれば、運用フェーズのプロジェクトを選択し、複数年にわたり複数のプロジェクトに対して同じ監査項目(運用におけるサービスレベルの妥当性や、業務内容と運用役務の妥当性など)に着目して横並び比較や推移分析を行う監査を実施するべく計画を立てる。
・PMOのITガバナンス強化のために、監査基準にある一通りの監査項目を複数年で実施するために、省内のシステムの改修等のロードマップと監査項目を鑑み、複数年で対象システムと監査項目を変えるように計画する。
そのほか、各省の状況に応じた方針が考えられます。
本ガイドライン第3編2章で記載されている「プロジェクト工程レビュー」も府省重点プロジェクトに着目し、プロジェクトの進捗に応じた監査項目により監査を実施している、システム監査の一つと捉えることができます。
さらに、監査を実施する目的は、当該プロジェクトの継続的な改善活動を支援すること(PDCAのCに相当)ですから、一度だけ監査を行い、不備事項を指摘して終わり、というわけではありません。指摘事項を改善するための取り組みについてフォローアップして初めて実効的な監査となるわけです。したがって、複数年の監査計画には、必ずフォローアップの実施という項目が必要となることに留意が必要です。
ここで、監査計画を作成する際には、前述の監査の方針に加え、具体的な監査の観点等が必要となってきます。監査計画作成に当たっての具体的な事項等については、「システム監査基準」(経済産業省 平成30年4月20日改訂)を参照してください。なお、当該システム監査基準では、監査計画を「中長期」「年度」「個別」の3種類の監査計画を策定するとされていますが、本ガイドラインは「中長期監査計画」が「監査計画」、「個別監査計画」が「監査実施計画」に相当するものとして記載しており、「年度監査計画」については特に述べていません。しかし、各年度で実施する具体的な監査目的、対象、観点、スケジュール等の事項につては、「監査計画」あるいは「監査実施計画」に必要に応じて記載する事が望ましいと考えます。これは、「年度監査計画」を個別に作成することを妨げるものではありません。
具体的な監査計画の策定に当たり、実際の監査でどのような項目に着目して監査を実施するかについて検討し、監査方針を決定していく事が必要です。そのためには、より具体的な監査項目について理解する必要があると考えます。その際には、「システム管理基準」(経済産業省 平成30年4月20日改訂)に記載されている、システムライフサイクルにおける管理項目が参考になります。また、この「システム管理基準」に記載されている管理項目については、監査実施計画を策定する際の監査項目として利用できます。監査で確認する具体的な項目は、システムのライフサイクを通じ不変なものと、ライフサイクルの各段階で異なってくる項目があります。具体的に監査実施計画を策定する場合には、両者を意識して監査項目を設定する必要があるでしょう。
2 システム監査実施計画書を作る
【標準ガイドライン関連箇所:第3編第10章第1節2)】
監査体制の監査責任者は、監査計画に基づき、当該年度のシステム監査対象のプロジェクトに対して実施する監査の段取りを記載した監査実施計画を立案します。立案した監査実施計画は、監査実施計画書として取りまとめ、監査者と被監査対象者で内容を共有します。当該年度に複数の監査対象に監査を実施する場合は、原則監査対象ごとに監査実施計画書を作成することになります。この実践ガイドブックには、別添としてシステム監査実施計画書のひな形を示しています。
様式例:システム監査実施計画書のひな形
システム監査実施計画書のひな形を本章別紙としてまとめています。 |
飽くまで、このひな形は例示ですので、内容に応じて記載内容を個別に追加、変更してかまいません。ひな形を見ると、何をどのようなレベルで書くべきかの参考になると思います。
以降では、システム監査実施計画書を作成するときに、特に注意が必要なポイントについて説明していきます。
A. 監査範囲が局所的にならないように注意する
監査対象となるプロジェクト、監査目的、監査範囲となる工程等は、PMOが作成する府省全体の計画である「システム監査計画」で示されます。個別の監査を実施するに当たっての監査範囲の設定は、個別監査の計画書である「システム監査実施計画」で記載します。そこでは、「システム監査計画」の項目の中で記載された監査範囲を、対象プロジェクトに合わせて具体化し記載します。
監査範囲を定義する際、監査範囲が局所的にならないように注意することが必要です。監査範囲は、監査の目的に則ったものでなくてはなりません。特に、プロジェクトの中に複数の情報システムやサブプロジェクトがある場合は、注意が必要です。
例えば、監査目的が費用対効果の妥当性検証のような場合、システム監査計画で対象工程や対象組織が定められている場合でも、プロジェクト全体で評価する必要があるかもしれません。そのような場合は、関連する他の情報システムやサブプロジェクトも監査の対象範囲として含める必要がないかを検討し、PMOと相談して対象範囲を決めてください。
B. 監査実施方法に注意する
システム監査実施計画を立てる際に、特に気をつけるべき項目は、「監査実施方法」です。表面的なインタビューや資料の収集だけでは、プロジェクトが抱える問題にたどり着くことができません。そのプロジェクトの関係者はどのような人がいるのか、現在はプロジェクトがどのような工程にあるのか、といった情報を正確に把握するために、対象プロジェクトのプロジェクト計画書を入手した上で、PJMOへのヒアリング・調整を実施し、誤った情報や誤解に基づく判断とならないよう、必要な調査と評価の基準・方法を決めてください。その内容に基づき、全体のスケジュールを立案することが有効です。
Step.4 システム監査の実施
監査体制の構成員である監査責任者及び監査実施者は、Step.3にて立案した監査実施計画に基づき、予備調査及び監査手続書にて具体的に決定した上で監査を行い、その結果について監査調書及び監査報告書を作成し、PMOに報告します。
ここでは、システム監査の実施について、説明します。
1 予備調査を踏まえ監査手続を具体化する
【標準ガイドライン関連箇所:第3編第10章第1節3)】
監査実施計画書にて大まかな進め方や評価の方針等を定義しました。その計画書に基づき、予備調査を行いながら、監査項目、監査を行うために必要な証拠、実際の監査の方法、サンプリング数等を具体的に決め、監査手続書としてまとめていきます。
予備調査では、監査実施者が監査対象を理解するため、プロジェクト計画書や業務分析資料、要件定義書等の各種文書を確認して現状を把握し、監査の内容や方針を決定するための情報を収集します。
A. 監査手続書を作成するまでの流れを掴む
ここでは、ある省のシステム監査の様子を見ながら、どのように監査手続を決めていくかを具体的に見ていきます。
事例10-2 変更管理の妥当性を監査する手続を検討する
なお、工程レビューを実施しているプロジェクトを監査する場合は、工程レビュー時に提出を求めた資料や自己点検の内容を予備調査に活用することができます。
2 根本原因を究明し改善点を発見する
【標準ガイドライン関連箇所:第3編第10章第1節3)】
監査手続書の作成が完了したら、実地調査を実施し、評価結果をシステム監査報告書としてまとめます。ここでは、監査の実施に関するノウハウをご紹介します。
A. インタビュー時には情報を上手に引き出す
実地調査でPJMOにインタビューをする際には注意が必要です。システム監査を受けるPJMOは、システム監査で指摘を減らしたいために、当たり障りのない回答をして実情を隠そうとすることもあります。目に見える問題における表面的な原因はすぐにわかりますが、的確に改善を行っていくためには、問題を深掘りして根本的な原因を見つけることが大切です。
そのため、インタビューでは、次の点に注意してください。
インタビュー時の注意点
・「はい」、「いいえ」で答えられる質問のみにしない
・曖昧な解答で済ませない。重要な事項については質問を深掘りする
・複数の人からの回答を得る
・回答しやすい環境を作る
インタビュー時の心得
・一度にたくさんの質問をしない
・曖昧な質問をしない
・誘導的な質問をしない
・監査実施者が長く話さない(できるだけ回答者に長く話させる)
・相手の話の腰を折らない(回答者の話をしっかりと聞く)
・相手の答えに対して批判しない
・相手と議論しない
・横柄な態度やいらいらした姿勢をとらない
・卑屈な態度をとらない
・わかっていないのにわかったと言わない(わからないことは聞く)
B. 改善提案は報告の場で具体例を混ぜながら行う
実地調査が完了し監査報告書をまとめた後は、多くの場合、PJMOに指摘内容を共有します。システム監査は問題解決によりプロジェクトの目標達成に近づくことが目的ですので、PJMOが指摘内容の改善を検討する際に表面的な解決にとどまることなく、より効率的かつ効果的な管理となるような助言を心掛けましょう。
そのためには、監査を実施する際に、例えば、「ルールを逸脱しているかどうか」だけではなく、「なぜルールどおりにやっていないのか」の原因を探ることが、とても大切です。そうしてつかんだ根本原因に対して、他のプロジェクトの好事例等を踏まえながら具体的に提案を行うことが効果的です。
事例:ある省でのシステム監査の効果向上への取り組み
ある省では、プロジェクトの管理プロセスが標準ガイドライン及び省で定めたルールに準拠しているかを評価するシステム監査を実施しています。 過去のシステム監査では、PJMOのシステム監査に対する理解が低いことやプロジェクトが多忙であることから、監査に前向きではなく、指摘に対しては表面上の改善が行われるだけ、というようなことが散見されました。 そこで、PMOは、次のような取り組みを行いました。 【改善提案の工夫】 この監査では、監査結果報告書にてルールに対する不適合を指摘することとなりますが、改善提案では単なる是正にとどまらず、現状よりも効率的かつ効果的な管理となるような提案とすることを心掛けます。PJMOとの監査結果の共有の場では、PJMOが改善案をイメージできるよう、他のプロジェクトのやり方や改善施策等を具体的に伝えたり、CIO補佐官等の持つ知見を伝えたりすることで、PJMOが前向きな改善を行えるようにします。 【報告ルートの明確化】 PJMOに対して、監査結果の報告先が府省CIOや情報化推進委員会等であることを明確にします。これは、監査責任者を通して現場の課題感を直接幹部に伝えられるという点で、PJMOにとってもメリットがあります。 また、上記以外にも、研修等を通して、PJMOにシステム監査の必要性や効果を伝えるよう努めています。 |
C. システム監査報告書の様式を把握する
システム監査報告書の様式を使用して、作成の時間を削減しましょう。各府省で様式が提供されている場合はそれを使用し、提供されていない場合は、以下の様式を活用してください。
様式例:システム監査報告書のひな形
システム監査報告書のひな形を本章別紙としてまとめています。 |
Step.5 指摘事項を踏まえた改善
PJMOは、システム監査報告書で指摘された内容を踏まえて改善計画を立て、改善を進めていきます。
ここでは、システム監査の改善に関わるノウハウを、紹介していきます。
1 改善計画を立て改善を行う
【標準ガイドライン関連箇所:第3編第10章第1節4)】
システム監査報告書には、指摘事項が記載されています。そこには、PJMOの皆さんが気付いていない問題点もあれば、気付いていたものの、なかなか解決に至らない問題点もあるかもしれません。報告書には、指摘事項に対して改善提案も記載されていますので、その内容を踏まえて改善計画を立てましょう。
システム監査が運用・保守業務を対象とする場合、システム監査の指摘だけでなく、運用・保守で発生している他の問題も含めて対応の優先順位を検討する必要があります。以下の図では、運用・保守業務を対象としたシステム監査と他の章との関係を示します。
図10-4 運用・保守業務を対象としたシステム監査と他の章との関係
改善計画を立てる際は、もし、監査報告書の改善提案よりも有効な改善策があれば、必ずしも改善提案に記載されているとおりに計画する必要はありません。
なお、内容によっては、改善が定着するまで時間がかかる可能性がありますので、それらを踏まえた改善計画を立て、定着の度合いも継続的にモニタリングする必要があります。改善の内容に応じて、プロジェクト計画書の見直しも実施してください。
PJMOは、改善計画や改善結果、改善状況について、監査責任者及びPMOに報告してください。報告内容をPMOが確認・評価し、PJMOはPMOより的確な助言等を受けることができます。