事業継続計画（BCP）

月刊監査研究2009年7月号に株式会社プロティビティジャパンの上原聖氏による「事業継続管理（BCM）における内部監査－事業継続マネジメントシステム（BCMS）適合性評価制度の運用を見据えて」という投稿がありました。
日本でのBCMのガイドラインの状況と英国におけるBCM認証規格「B S 25999」について解説されています。

今回はBCPについて書いてみます。

ご存知のように、BCPとはBusiness Continuity Planの略で、日本では経済産業省より「事業継続計画策定ガイドライン」が、内閣府中央防災会議より「事業継続ガイドライン第一版」が、中小企業庁より「中小企業BCP策定運用指針」が発表されています。内部監査関連では以前ご紹介したGTAG１０がBCPの解説になります。

様々なガイドラインがありますが、概ね以下のような構成になっています。

1. リスクシナリオの想定
2. ビジネスインパクトの分析（BIA）
3. 自社の重要業務の特定
4. 事業継続計画（BCP）の策定
5. 事業継続体制の構築・運用（BCM）
6. 改善

日本では特徴的に地震についてBCPが話題になりますが、米国ではテロも起こりうることとして想定されています。非常事態にならないと威力を発揮しないBCPですが、その準備は平時に行う必要があります。BCPは日常業務で頻繁に利用することがないだけに、その維持管理に果たす内部監査の役割は大きいと考えられます。

IT監査のガイドライン

月刊監査研究2009年7月号に日本セキュリティ監査協会副会長の喜入博氏の論稿「情報システムの信頼性向上のための監査の役割」が掲載されていました。

情報システムの障害の動向と経済産業省の「情報システムの信頼性向上に関するガイドライン」の概要、同ガイドラインを活用した監査について説明されています。本稿は非常に具体的な監査作業手順まで解説されているだけではなく、内閣官房の「重要インフラ各分野の安全基準等」についても解説されています。

今回はIT監査のガイドラインについて書いてみます。

IT監査（システム監査）のガイドラインは多方面から提供されています。主なガイドラインと概要は以下のとおりです。

１．COBIT
12月3日のエントリーでも紹介したITガバナンスを中心としたフレームワークです。ITと経営の関係について広く浸透しています。他のガイドラインもCOBITを参考にしていると思われるものが多くあります。
計画と組織⇒調達と導入⇒サービス提供とサポート⇒モニタリングと評価という統制サイクルで構成されています。


２． 経済産業省のシステム管理基準（含、システム監査基準）
システムのライフサイクルの監査を中心に基準が示されています。日本では最も浸透している基準と思われます。http://www.meti.go.jp/policy/it_policy/press/0005668/0/041008system.pdf
情報戦略⇒企画業務⇒開発業務⇒運用業務⇒保守業務の統制サイクルに加え、災害対策を含む
共通業務で構成されています。


３．金融機関等のシステム監査指針
金融情報システムセンターが提供するシステム監査指針です。具体的な監査手続きについてhttp://www.fisc.or.jp/publication/disp_target_detail.php?pid=188
システムのライフサイクルだけではなく情報セキュリティー等広範囲を網羅しています。チェック項目もかなり具体的です。

４．財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について
日本公認会計士協会が提供するJ-SOX向けの情報システムの監査指針です。財務報告に関わるITの監査が対象です。http://www.hp.jicpa.or.jp/specialized_field/images/00051-000043.pdf
ITに関する監査手続きの具体例にはCAAT（コンピュータ支援監査技法）についても言及されています。

上記の４つはそれぞれ重点を置いているところがフレームワークであったり、監査観点であったり、監査手法であったりしますが、共通する点も多くあります。いくつかに目を通しておくことでIT監査のポイントが見えてくるかも知れません。

ITガバナンスと監査（その３）

今回は「ITガバナンスと監査（その3）」として成熟度モデルについて書いてみます。

内部監査は統制のレベルにより監査の方法が変わるこ とを「内部監査テーマと監査手続」で触れました。統制レベルの目安として、COBITでは０～５までの６段階の成熟度モデルを提供しています。成熟度は以 下のような段階が設定されています。それぞれについ大まかな基準を付記しました。

０．不在

• 課題を管理する必要性が認識されていない。
• 事象の根本原因の特定も行われない。
  

１．初期/その場対応

• 課題を管理し、解決する手続の必要性が個人レベルで認識されている。
• 課題管理の実行責任は割り当てられていない。
  

２．再現性はあるが直感的：

• 課題を管理し、解決する手続の必要性は広く認識されている。
• 情報共有は非公式で、知識は体系化されていない。

３．定められたプロセスがある

• 課題管理を管理し、解決する手続の必要性が公式に認識され文書化されている。
• 公式な手続を使用するか否かは個人依存である。
  

４．管理され、測定可能である

• 課題を管理し、解決する手続が標準化され監視・測定可能である。
• 手続は継続的に改善されている。
  

５．最適化

• 外部のベストプラクティスと同等のレベルで管理されている。
• 手続は継続的に目標レベルまで改善される。
  

前々回紹介した吉田洋氏によれば、日本の企業は重要なプロセスの成熟度についてレベル３を当初の目標とすることが現実的だそうです。
監査は内部統制の成熟度に応じて観点・手法を変える必要があるので成熟度をよく理解することは重要だと考えられます。

ITガバナンスと監査（その２）

今回は「ITガバナンスと監査（その2）」としてGTAGについて書いてみます。

GTAGはGlobal Technology Audit Guidesの略です。GTAGはIT監査の適時なことがらがIIA(=Institute of Internal Auditors)により内部監査関係者や経営者向けに提供されているものです。ITに関する内部統制整備のポイントや監査テーマの選定に有用な内容に なっています。
2009年12月3日現在のGTAGは以下の13冊です。日本語のタイトルが付いているものは和文でのサマリー資料が日本内部監査協会のWebサイトにて入手可能です。

1. Information Technology Controls／ITコントロール
2. Change and Patch Management Controls: Critical for Organizational Success／組織の成功に不可欠な変更・パッチ管理のコントロール
3. Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment／継続的監査
4. Management of IT Auditing／IT監査のマネジメント
5. Managing and Auditing Privacy Risks／プライバシー・リスクのマネジメントと監査
6. Managing and Auditing IT Vulnerabilities ／IT脆弱性のマネジメントと監査
7. Information Technology Outsourcing／ITアウトソーシング
8. Auditing Application Controls／業務処理統制の監査
9. Identity and Access Management
10. Business Continuity Management
11. Developing the IT Audit Plan
12. Auditing IT Projects
13. Fraud Prevention and Detection in an Automated World

私は現在、CIAフォーラム※でGTAG10の翻訳のお手伝いをしていますが、GTAGは良くも悪くも米国を基準に書かれているため、単なる翻訳ではなく、日本の事情に合ったローカライズが必要だと考えています。

※CIA資格保持者の研鑽および相互交流を目的に(社)日本内部監査協会（IIA-JAPAN）の特別研究会

ITガバナンスと監査（その１）

月刊監査研究2009年6月号に吉田洋名古屋文理大学教授の巻頭論文「ＩＴ環境における内部統制・ガバナンスの動向」が掲載されていました。

企 業活動が、ＩＴ（情報技術）と密接に関連する現在、ＩＴへの対応が内部統制の有効性の判断基準のひとつとなっているという前提で、ＩＴガバナンスや監査の ガイドラインであるＣＯＢＩＴやＧＴＡＧ、ISO/IEC38500を紹介し、さらに、ＩＴ統制の成熟度について説明しています。

今回は「ITガバナンスと監査（その１）」としてCOBITについて書いてみます。

COBIT とはControl Objectives for Information and related Technologyの略です。2009年12月2日現在、Ver.4.1がISACA（=Information Systems Audit and Control Association）のWebサイトで公開されており、ダウンロード可能です。同サイトに日本語版もあります。
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

COBITと他のフレームワークとの関係が日本ITガバナンス協会のWebサイトに掲載されています。（http://itgi.jp/cobit/index.html）

出典：日本ITガバナンス協会

COBITの概要は以下のとおりです。

• COBITはCOSOのフレームワークと整合したIT のコントロールのフレームワークである。
• ビジネス目標とIT 目標とを関連付け、各目標の達成度を測定するための測定基準と成熟度モデルを提供する。
• ビジネスプロセスオーナとIT プロセスオーナの責務を特定する。

上記を実現するためCOBITでは、ITについて以下のように4つのドメインと34のプロセスを設定します。

（１）計画と組織（10プロセス）

• IT戦略計画の策定
• 情報アーキテクチャの定義
• 技術指針の決定
• ITプロセスと組織及びそのかかわりの定義
• IT投資の管理
• マネジメントの意図と指針の周知
• IT人材の管理
• 品質管理
• ITリスクの評価と管理
• プロジェクト管理

（２）調達と導入（7プロセス）

• コンピュータ化対応策の明確化
• アプリケーションソフトウェアの調達と保守
• 技術インフラストラクチャの調達と保守
• 運用と利用の促進
• IT資源の調達
• 変更管理
• ソリューションおよびその変更の導入と認定

（３）サービス提供とサポート（13プロセス）

• サービスレベルの定義と管理
• サードパーティのサービスの管理
• 性能とキャパシティの管理
• 継続的なサービスの保証
• システムセキュリティの保証
• コストの補足と配賦
• 利用者の教育と研修
• サービスデスクとインシデントの管理
• 構成管理
• 問題管理
• データ管理
• 物理的環境の管理
• オペレーション管理

（４）モニタリングと評価（4プロセス）

• IT成果のモニタリングと評価
• 内部統制のモニタリングと評価
• 外部要件に対するコンプライアンスの保証
• ITガバナンスの提供

さらに、各プロセスについて以下の4点を示します。

1. プロセスの説明
2. コントロール目標
3. プロセスのインプットとアウトプット、RACI チャート※、目標、および測定指標
4. プロセスの成熟度モデル

※どの権限を誰に委任すべきか定義するチャート

IT は、ともすると、ITのみの部分最適化（例えば必要以上の高性能サーバーの導入等）やITの脆弱さ（例えばコスト削減による情報セキュリティレベルの低 下）を起こしますが、COBITのフレームワークで整理をすることで経営計画とITの整合やバランスが実現しやすくなります。

内部監査テーマと監査手続

月刊監査研究2009年5月号に「日本における内部監査への期待-内部統制整備後の内部監査のあり方」という監査法人トーマツの野坂晃史氏による特別講演の内容が紹介されていました。

ポストJ-SOXの内部監査のあり方についてのお話で、J-SOX対応に追われた内部監査部門が今後どのように本来の監査業務を進めていくべきかについて説明しています。特に、内部監査テーマの選定と監査手続の選定について大変わかりやすい内容になっています。

今回は内部監査テーマと監査手続について書いてみます。

企業の全活動を内部監査でチェックするためには、少なくとも現場管理職と同数以上の内部監査人が必要となり、非現実的です。そこで、内部監査はテーマを絞って行うことになります。優先度の絞り方は通常リスクベースで行います。
リスクを考える場合、前回のエントリーで説明したCOSOキューブが役立ちます。

まず、業務の有効性と効率性、財務報告の信頼性、関連 法規の遵守、資産の保全の4つの目的についてこれらの達成を疎外するリスクを洗い出します。

次に、洗い出したリスクを評価します。評価は影響度×発生確率で算定します。その結果、以下の様な結果が得られるので、大→中→小の優先度で対応することになります。

↑＿中＿中＿大
影
響＿小＿中＿大
度
＿＿小＿小＿中

＿＿発生確率＿→

数値化できない項目は主観的な評価になりますが、なぜその監査テーマを選んだのかわかるようにすることが重要です。監査を受ける部門は被害者意識（「なぜ我々が監査されるのか?」）を持つケースがあるので、監査テーマの決定プロセスははっきりさせることが重要です。

ちなみに、野坂晃史氏の講演では優先すべきリスクのアンケート調査結果として以下のリスクが紹介されています。

人材流出、人材獲得の困難による人材不足
製品、サービス品質のチェック体制の不備
情報漏えい
地震・風災害等、災害対策の不備
顧客対応の不備
・・・・

選んだテーマに対する監査手続は、リスクに対する対処（コントロール）の状況により異なります。野坂晃史氏の講演では以下の様な整理が紹介されています。

高
↑＿コントロールの＿＿方針・体制の
リ＿＿運用確認＿＿＿＿確認
ス
ク＿効率性の確認＿＿分析状況の
↓＿＿＿＿＿＿＿＿＿＿確認
低
＿強＿←＿＿コントロール＿＿→＿弱

以上の様に、リスクを洗い出した上で、それらに対するコントロールの強度により監査手続を決めることができます。監査計画を立てる際に役立ちそうです。

COSOキューブ

月刊監査研究2009年4月号に「COSO『内部統制システムのモニタリングに関するガイダンス』について」という、駿河大学経済学部久持英司准教授による特別寄稿がありました。

COSOの『内部統制システムのモニタリングに関するガイダンス』では内部統制の5つの基本的要素（統制環境、リスク評価、統制活動、情報と伝達、モニタリング）のひとつであるモニタリングの概念を明確にすることを意図しているものだそうです。

今回はこのCOSOの内部統制モデルについて少し書いてみます。

COSO の内部統制モデルでは、いわゆるCOSOキューブという概念を掲げ、企業の事業や活動について3つの目的（業務の有効性と効率性、財務報告の信頼性、関連 法規の遵守）を達成するために、5つの内部統制の基本的要素（統制環境、リスク評価、統制活動、情報と伝達、モニタリング）を整備するというものです。
COSOキューブは立体ですが、以下のように平面（マトリックス）で考える方が理解しやすいかも知れません。


▼事業A
＿＿＿＿＿＿＿＿＿＿＿統制環境＿リスク評価＿統制活動＿情報と伝達＿モニタリング

業務の有効性と効率性＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・

財務報告の信頼性＿＿＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・

関連法規の遵守＿＿＿＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・


▼事業B

・・・・（以下同様）・・・・


内部統制の目的は比較的わかりやすいと思いますが、5つの基本的要素がわかりにくいかと思います。それぞれの具体的な内容は以下の様なものです。

1. 統制環境：経営者の方針が明確さやマニュアルの整備
2. リスク評価：目標を達成する際の不確定要素や危険性の想定と対処方法
3. 統制活動：数値の管理や職務の分離などのけん制等
4. 情報と伝達：会議や報告
5. モニタリング：進捗管理や経営者のレビューおよび監査
   

なお、日本版では目的に「資産の保全」が、内部統制の基本的要素に「ITへの対応」が加わります。

• 資産の保全：資産の取得や処分が正当な手続のもと行われること
• ITへの対応：IT化が進んでいること。

COSOキューブの概念を理解すると内部統制整備や内部監査のポイントが見えてきます。