SAAJ近畿支部 第134回定例研究会報告(報告者:山中修治)

by .

報告者:No985 山中修治

1. テーマ :FISC『システム監査指針』(第3版)改訂に向けたヒアリング結果について
2.講師  :公益法人金融情報システムセンター(FISC)監査安全部 
        主任研究員 市川千尋 氏
3.開催日時:2012年7月20日(金) 18:30~20:30
4.開催場所:大阪大学 中之島センター 2階 講義室201

5.講演概要
Ⅰ.「システム監査指針」について
① 金融機関等の「システム監査指針」とは、監査実施時の参考となる手引書の位置付けで、自主基準だが、スタンダードガイドラインとして広く活用されている。但し、「監査指針」のチェックポイントを順守せねばならないとはされておらず、反対に、それらを全てクリアしたからと言って、情報システムリスクの管理体制を保証するものでもない。
② 全体として、エグゼクティブサマリー、フレームワーク、チェックポイント集から構成されている。
・「エグゼクティブサマリー」は、経営者の為のガイドに相当。
・「フレームワーク」は、システム監査の概念、監査の実践及びその実施上のポイントから成り、主に、新任監査人の学習と、ベテラン監査人の知識・理論の整理を想定して記述されている。なお、フレームワークの概念図は、COSOのキューブに対し、三角形で表現されている。
・「チェックポイント集」は、標準ポイント総数1,101項目(要点項目、大項目、小項目)で、各金融機関の実情に合わせて、実際の利用に際し増減が行われる。

Ⅱ.「システム監査指針」発刊の背景と経緯
① 昭和50年代のオンラインシステム利用の不祥事件多発を契機に、昭和59年にFISCが設立、昭和62年に米国金融機関検査協議会(FFIEC)作成の「EDP検査ハンドブック」を基に「システム監査指針」初版が発行(チェックポイント数560項目)。
② その後の「COSO」レポート発行や、金融情報システムの小型・分散化、オープンネットワーク化の動きに対応する為に、平成12年に第2版を発行(チェックポイント数1,022項目)。リスクとコントロールの概念を導入し、また、新たにエグゼクティブサマリーを追加した。
③ 現在の第3版は平成19年に発刊。第2版と内容的に大きな変更はないが、その後の環境変化(個人情報保護法、J-SOX)に合わせて内容を見直し。更に、使いにくいバインダー形式から1冊製本形式に変更。

Ⅲ.「システム監査指針」を取巻く現状と動向
① 国内では、東日本大震災、サイバー犯罪増加、スマートフォン普及等の動きにより、監査のより厳しい実施が要求され、また、海外では、COSOの改訂があり、実装でのより厳しいチェックが求められる動きがある。
Ⅳ.「システム監査指針」改訂に向けたヒアリング調査の実施
① 平成21年調査時の個別ヒアリング実施対象先、及び地域金融機関会員、システム監査セミナー参加会員等に対し、前回改定からの環境変化に伴って、監査指針改定の必要性について意見調査。地方銀行18行、信用金庫8行、証券、ITベンダー、等、計31社。
② 調査結果
・取捨選択や内容変更を行う等、そのままの形の利用ではないが、「システム監査基準」は広く使用されている(特に、チェックポイント集)。
・東日本大震災等の大規模な障害への対策や、クラウドを始めとする、外部委託サービスの多様化等への対応が、次回の改訂の主要な要因と考えられる。

Ⅴ.「システム監査指針」改訂に向けて
① フレームワークは、COSO改訂、ISO19011:2011、バーゼルⅢを考慮の上、改訂が必要。
② チェックポイント集についても、項目追加(安全対策、外部委託等)、リスク見直し、コントロールの代替案記載、チェックポイントの網羅性向上と重要度付け、及び、リスク、コントロール、チェックポイントの相互の関連性明示等、検討が必要
③ 平成25年中を目途に改訂を予定。

6.所感
金融機関の業務において情報システムの重要度が極めて大きいことや、万一、障害が発生した場合の、社会全般や市民生活に対する影響度が大きいことが、一般に認知されている為、金融機関等のシステム監査に否定的な意見は殆ど無いと考えられる。
また、金融機関の情報システムの規模は、一般企業と較べて、格段に大きいことが普通と考えられるが、一方、その業務手続内容や処理の流れは、取扱商品の種類が多彩とは言え、その個々のものについては、国際的にみても、共通性が高く、高度に標準化・定型化されていると考えられるので、監査手続き的には、監査を受ける側も、監査する側にとっても、ある程度、こなれたものになると想像できる。
更に、金融機関は、一定以上の規模が必要な業種であり、例外を除いて、資金的にも、人材的にも比較的恵まれているケースが多く、監査はかなり効率的に実施が可能で、結果として、費用対効果面で考えても高いのではないかとの印象を持っている。監督官庁の強い指導力もあって、金融機関のシステム監査はやはり、別格と思われる。
これに対して、システム監査一般で考えてみれば、日本でシステム監査が提唱されてから、相当の年数になるが、大企業を除けば、未だに、システム監査が十分な市民権を得ているとは思われない。
全くの個人的意見で恐縮だが、システム監査の制度化については、法令による強制実施化推進はもちろん重要だが、監査を受ける主体やその利害関連者に対して、効果・メリットが判り易い客観性や計量化(金額評価、確率やカバレッジ)によって、有用性を具体的にアピールできることも重要ではないかと思う。

以上