第10章 システム監査

**PMOは、プロジェクトの目標を達成することを目的として、所管する情報システムにまつわるリスクに適切に対処しているかを客観的に評価するために、内部又は外部からの支援を得て、次のとおり監査を行う(1)**ものとする。

なお、各府省の体制等の状況によって、PJMO等が直接監査を行うことを妨げない(2)この場合においては、監査体制の確立、監査実施計画書の作成・調整・確定、監査の実施の主体はPJMO等とする(3)。

  1. 1. はじめに

システム監査(以下、単に「監査」ということがある。)は、情報システムにまつわる様々なリスクに適切に対処しているかどうかを、独立かつ専門的な立場の監査体制により客観的に評価し、そこで発見された問題点の指摘やその改善案の提示を行うことにより、プロジェクト目標の達成に貢献するものである。

プロジェクトの活動は、情報システムの企画、設計・開発の段階に留まらず、情報システムの運用、保守の段階までを含めるものであり、プロジェクト目標を確実に達成するためには、運用及び保守段階をも対象とした監査を実施する必要がある。

監査を効果的かつ効率的に実施するために、リスク・アプローチ(「システム監査基準(経済産業省令和5年4月26日)」参照) に基づいて実施する。リスク・アプローチとは、すべての項目に対して総括的に監査を行うのではなく、プロジェクトが持つ特性や置かれている状況を踏まえて、不正が発生しやすい等のリスクが高い項目に重点的に監査資源(要員、時間等)を充てることにより、効果的かつ効率的に監査を行う方法である。

本書では、システム監査とプロジェクトの他の活動との関係を図10-1のように想定している。

  • 図10-1
  1. 2. 解説

「PMOは、プロジェクトの目標を達成することを目的として、所管する情報システムにまつわるリスクに適切に対処しているかを客観的に評価するために、内部又は外部からの支援を得て、次のとおり監査を行う」

「所管する情報システムにまつわるリスクに適切に対処しているかを客観的に評価する」とは、各府省の定めるシステム監査計画に基づいて、所管する情報システムにまつわるリスクに対してプロジェクトが適切に対処しているかを、デジタル・ガバメント推進標準ガイドライン、各府省の規則・手順、プロジェクトの標準化ルール等に対する準拠性や妥当性の観点から客観的に点検・評価・検証することを指す。

なお、情報セキュリティリスクは「情報システムにまつわるリスク」に含まれることから、情報セキュリティ監査は、システム監査におけるテーマの一つである。システム監査と情報セキュリティ監査の関係については、標準ガイドライン「第2編第8章1.システム監査計画の策定」を参照すること。

「内部又は外部からの支援を得て、次のとおり監査を行う」とは、PMOが主体者として、監査対象からの独立性及び客観性を担保した府省内の組織や者、外部委託事業者から監査体制を組成し、システム監査を行うことを指す。

なお、各府省において既に監査に関わる体制が確立・運用されている場合には、その体制の下、標準ガイドラインで求める内容を満たす監査を実施することができる。

標準ガイドラインにおける監査の全体体制は、次のとおりである。

  • 図10-2

「各府省の体制等の状況によって、PJMO等が直接監査を行うことを妨げない」

「PJMO等」とは、PJMOに加え、府省により設置されている内部の監査部門を指す。

「PJMO等が直接監査を行うことを妨げない」とは、システム監査の体制は、独立性と客観性を保つため、監査対象の一部であるPJMOとは独立した組織が監査を行うことが望ましいことから、標準ガイドラインでは、PMOが実施することを想定して記載している。ただし、既に府省に設置されている監査部門や、人材確保等の実情を踏まえ、監査責任者及び監査実施者に一定の独立性を確保することを条件に、PJMO等が主体となって監査を行うことを許容するものである。

「この場合においては、監査体制の確立、監査実施計画書の作成・調整・確定、監査の実施の主体はPJMO等とする」

「監査体制の確立、監査実施計画書の作成・調整・確定、監査の実施」とは、図10-2で示したシステム監査の全体体制のうち、PJMO等が実施主体となって監査体制が実施する役割を担うことを指す。このときにおいても、監査実施計画書及び監査結果について、PMOへ報告を行うことが必要である。

システム監査

PMOは、システム監査計画(「第2編第8章 システム監査の計画・管理」参照)に基づき、次のとおり監査を行うものとする。なお、**システム監査計画に定めがない場合であっても、PMOが監査を行う必要があると判断したときは、監査を行う(1)**ものとする。

  1. 1. 趣旨

システム監査は、ITガバナンスの視点で計画されたシステム監査計画に基づいて、効果的かつ効率的に実施する必要がある。

このため、PMOは、システム監査計画に基づいて、監査対象と指定されたプロジェクトに対して監査体制を組成して監査を実施するとともに、指摘事項に対する改善が確実行われるよう、PJMOに対してフォローアップする。

システム監査で行う作業と作成ドキュメントの全体像を、次に示す。

  • 図10-3

ドキュメントの概要は次のとおりである。

  • 表10-1

システム監査で使用するドキュメントの概要

なお、監査調書は、PMOや監査対象からその監査結果についての根拠を求められた場合に必要なものである。また、次回以降の監査を効果的かつ効率よく実施するためにも用いられる。監査後においては、入手又は閲覧した資料の一覧を作成し、指摘事項と関係する監査証拠等のひも付けができるように、監査調書の整理を行っておく。

  1. 2. 解説

「システム監査計画に定めがない場合であっても、PMOが監査を行う必要があると認めたときは、監査を行う」

「PMOが監査を行う必要があると認めたとき」とは、例えば、次のような場合において、PMOがシステム監査の実施を判断することを指す。

  • 工程レビューにおいて重大な問題が発見され、その対応についてシステム監査で確認した方が良いと思われる場合

  • プロジェクト管理において、重大なリスク、課題等が挙げられた場合

  • 情報システムの形態や、その利用する技術等が同様である他のプロジェクトにおいて重大な問題が発生した場合

  • デジタル統括責任者等から指示を受けた場合

また、PJMOも、同様に必要と認めた場合には、自主的に監査を実施できる。

監査体制の確立

PMOは、監査の独立性及び客観性の確保の観点から、監査実施前に、少なくとも次のアからエまでに掲げる事項を満たす監査体制を確立するよう努めるものとする。

ア 監査責任者及び監査実施者

**監査体制は、監査責任者及び監査実施者により構成する(1)**こと。

イ 独立性

監査体制の構成員は、監査対象となるプロジェクトや情報システムに関する業務等に関与していないこと(2)。なお、監査対象となるプロジェクト、情報システムに関する業務等に関与した者は、自らが監査対象となる業務の監査を行うことはできないこと。

ウ 監査能力

監査体制の構成員のうち少なくとも一人は、監査の実務経験を有すること(3)

エ 専門性

監査体制の構成員のうち少なくとも一人は、監査目的に応じた技術的な知識及び実務経験を有すること(4)

  1. 1. 趣旨

システム監査において客観的な点検・評価・検証を行うためには、システム監査を行う体制が監査対象から独立した立場であるという外観を確保する必要がある。

このため、PMOは、監査対象に対する独立性と客観性を確保することを目的として、本節に規定する監査体制の要件を満たすよう、監査体制を確立する。

  1. 2. 解説

「監査体制は、監査責任者及び監査実施者により構成する」

「監査体制」とは、PMOの下で監査実施計画書を作成し、それに基づき監査を実施する体制をいう。監査体制は、監査責任者1名と監査実施者(監査責任者の兼務可)により構成される。大規模プロジェクト等の場合には、サブチームを置き、それぞれにサブリーダを置く。

「監査責任者」とは、監査実施計画書を作成し、それに基づき監査の実施を監査実施者に指示し、監査結果の取りまとめを行う者を指す。監査責任者は、本項目の「イ 独立性」の要件を満たす者を選任することが望ましい。また、監査を外部委託する場合においても、監査責任者として府省内の者を置く。

「監査体制の構成員は、監査対象となるプロジェクトや情報システムに関する業務等に関与していないこと」

「監査対象となるプロジェクト、情報システムに関する業務等に関与していない」とは、現在及び過去において当該プロジェクトのPJMOのメンバーでなく、当該情報システムの企画、設計・開発、運用、保守等のいかなる業務にも従事していないという意味である。なお、構成員が過去にPJMOのメンバーであったり、情報システムの業務に従事していたりする場合においても、業務従事時から1年以上経過している等、監査目的、監査対象期間等から構成員が客観的な評価を行うことができると考えられる場合は関与していないものとみなすことができる。

また、監査対象となるプロジェクト、情報システムに関する業務等に関与している構成員についても、監査手続の実施において、自らがインタビューを受ける立場になり得る、又は自らが作成等した証跡(自らが作成した資料・記録及び自らの行為・操作等を記録したログ等)が監査の対象となり得る場合には、当該監査手続の作成・実施、並びに監査調書及び監査報告書の作成に関与してはならない。

「監査体制の構成員のうち少なくとも一人は、監査の実務経験を有すること」

「監査の実務経験を有する」とは、システム監査(情報セキュリティ監査を含む。)について、監査計画書の立案、監査手続の作成・実施、及び監査報告書の作成までの一貫した経験を有することをいう。

「監査体制の構成員のうち少なくとも一人は、監査目的に応じた技術的な知識及び実務経験を有すること」

「監査目的に応じた技術的な知識及び実務経験を有すること」とは、監査目的を達成するために、専門的な技術知識(クラウドサービス、ネットワーク、情報システムの設計・開発手法等)や情報システムの整備業務に携わった経験(当該業務の監査経験を含む。)が必要と考えられる場合には、構成員のうち少なくとも一人は、その知識及び業務経験を有する者とすることを規定したものである。

監査実施計画の策定

監査責任者は、システム監査計画書に基づいて、**次のとおり監査実施計画書を作成する(1)**ものとする。

ア 監査実施計画書の記載内容

監査実施計画書には、原則として次の[1]から[7]までに掲げる事項を記載する。

  1. 監査対象

  2. 監査目的

  3. 監査範囲

  4. スケジュール

  5. 監査体制

  6. 監査実施方法

  7. その他

イ 監査実施計画書の調整・確定

監査責任者は、あらかじめ監査実施計画書の案をPJMOと調整し、PMOに報告する(2)

PMOは、監査実施計画書を確認し、確定するものとする。

なお、状況の変化等を勘案して監査実施計画書に変更が必要と判断されるときは、監査責任者は、PMOと相談して見直しを行うものとする(3)

  1. 1. 趣旨

システム監査計画は府省全体のシステム監査についての計画であり、実際のシステム監査に当たっては、効果的かつ効率的な監査が行えるよう、監査対象ごとに監査計画を具体化・詳細化する必要がある。

このため、監査責任者は、システム監査の実施に先立ち、監査対象ごとの監査実施計画書の案を作成し、監査対象のPJMOと調整の上、PMOに計画を報告し、内容を確定する。

  1. 2. 解説

「次のとおり監査実施計画書を作成する」

「監査実施計画書」とは、システム監査計画に定められた監査対象ごとに作成する監査の実施計画書を指す。

  • 表10-2

監査実施計画書の記載内容

監査実施計画書の記載事項には、次の事項を記載する。

「あらかじめ監査実施計画書の案をPJMOと調整し、PMOに報告する」

「監査実施計画書の案をPJMOと調整し」とは、PMOと監査実施計画書の内容を確定する前に、PJMOに内容を共有し、監査を実施する上で支障となる要因を把握し、それらを排除するためのスケジュール変更や事前手続の実施等を指す。なお、監査実施計画書は、PJMOとの調整及びPMOへの報告に要する期間を踏まえて、計画的に作成することに留意する。

「状況の変化等を勘案して監査実施計画書に変更が必要と判断されるときは、監査責任者は、PMOと相談して見直しを行うものとする」

「状況の変化等」とは、「システム監査基準(経済産業省令和5年4月26日)」によると、監査対象のリスクや重要性等の変化を指す。監査実施計画は、監査対象のリスクや重要性に基づいて作成するものであり、監査対象の状況の変化に応じて、適時適切に見直し、変更することが重要である。

監査対象のリスクとは、組織の目的の達成において、情報システムが果たすべき目標(あるべき姿)と実態(現状)との間で差異が発生する可能性とその影響の大きさを指す。監査対象のリスクは、固有リスク、統制リスク、残存リスクに分けられる。

監査の実施

監査責任者及び実施者は、次のアからキに示す手順で作業を行うものとする。

監査実施者は、監査手続書を作成した上で監査を行うものとし、その結果について監査調書(指摘事項等の監査証拠を添付すること。)を作成するものとする。

監査責任者は、監査結果について、PMOに報告するものとする。

ア 予備調査(2)

監査実施者は、監査対象を理解するために、監査対象である組織、業務、情報システムの概要について把握するための予備調査を実施する。

イ 監査手続書の作成(3)

監査実施者は、予備調査結果等に基づき、監査の手続(入手する監査証拠及びその入手方法等)を定めた監査手続書を作成する。

ウ 実地調査(4)

監査実施者は、監査対象先に赴いて、監査手続書に基づき監査を実施する。監査体制は、実施結果、入手した監査証拠、及び監査の実施に際し監査実施者が気付いた点等をまとめた監査調書を作成する。

エ 監査報告書案の作成(5)

監査実施者は、監査調書等を基に、監査結果や指摘事項等をまとめた監査報告書案を作成する。

オ 指摘事項の監査対象への確認(6)

監査実施者は、監査報告書案の指摘事項について、監査対象の担当者等に確認を行い、監査報告書に修正が必要な箇所を修正する。

カ 監査報告書の提出(7)

監査責任者は、PMOに監査報告書を提出した上で、PJMOに通知する。また、監査責任者は、監査結果を合議制機関等に報告するものとする。(「第2編第8章 3.システム監査結果の報告」参照)

キ 監査調書の整理(8)

監査責任者は、監査調書を閲覧しやすいように整理する。

  1. 1. 趣旨

効果的かつ効率的にシステム監査を行い、適切な問題点の指摘及び改善案の提示を行うためには、結論を裏付けるために必要となる適切な監査証拠を十分に入手し、証拠に基づいて合理的な結論を導くとともに、その証拠及び結論に至った過程を明らかにする必要がある。

このため、監査責任者は、監査の実施に当たって、適切な監査証拠を入手するための監査手続書を作成し、監査手続書に従って証拠を入手するとともに、監査調書として確実に記録を残し、監査報告書をまとめ、PMOに結果を報告する。

  1. 2. 解説

「予備調査」

「予備調査」とは、監査実施者が監査対象を理解するために、監査対象である組織、業務、情報システムの概要、プロジェクト推進に係るリスクなどについて把握するため、実地調査(監査対象のある場所に赴いて監査を行うこと。)を行う前に実施する調査のことを指す。

予備調査の方法は、プロジェクト計画書、業務分析資料、要件定義書等の各種文書を査閲するのが一般的な方法であるが、監査対象の担当者にインタビューを行う方法もある。

また、監査手続書を作成するために、監査実施者は監査対象に関わる規定等の文書やプロジェクト推進に係るリスクなどを確認する。さらに、監査対象からどのような監査証拠を入手できるかを確認するため、監査対象における監査証跡(監査証拠になる可能性のある記録類等)を把握する。

「監査手続書の作成」

「監査手続書の作成」とは、実地調査に使用するため、各監査項目についての監査を行うための手続(入手する監査証拠及びその入手方法等)を監査手続書に記述することを指す。

なお、監査手続書は、次の手順で作成する。

  • 表10-3

監査手続書の作成手順

「実地調査」

「実地調査」とは、監査実施者が監査対象先に赴き、監査手続書に基づいて監査を実施することを指す。監査を実施した結果、入手した監査証拠、及び監査の実施に際し監査実施者が気付いた点等を監査調書にまとめる。

「監査報告書案の作成」

「監査報告書案の作成」とは、監査実施者が監査調書等を基に監査結果をまとめ、監査報告書案を作成することを指す。

監査報告書には、監査の実施概要、監査結果の概要(総論)、指摘事項、改善提案を記述する。

  • 表10-4

監査報告書の記載内容

「指摘事項の監査対象への確認」

「指摘事項の監査対象への確認」とは、監査体制が作成した監査報告書案の指摘事項について、監査実施者が監査対象の担当者等に確認を行うことを指す。確認するのはあくまで事実関係であり、指摘事項の記載の可否や記述の仕方ではないことに留意すること。

監査実施者は、確認結果に誤りがある場合は、確認結果に基づき、監査報告書案を修正する。

「監査報告書の提出」

「監査報告書の提出」とは、監査責任者がPMOに、監査報告書を提出することを指す。監査報告書の提出に当たっては、PMO、監査対象のPJMO、及び関係者等を集めて報告会を行う等により、監査結果の内容や指摘事項等が適切に理解されるよう努める。

合議制機関等に対する監査結果の報告は、標準ガイドライン「第2編第8章3.システム監査結果の報告」を参照のこと。なお、監査資源の不足、監査対象である情報システムのスケジュール遅延等によりシステム監査計画に記載された監査又はPMOから指示した監査が実施できなかった場合には、その旨を合議制機関等に報告する。

「監査調書の整理」

「監査調書の整理」とは、監査責任者が、事後の監査結果の検証や、次回以降の監査における今回の監査結果の活用等に向け、監査調書を閲覧しやすいように整理することを指す。

指摘事項への対応

PJMOは、**監査結果により指摘された事項については、これを課題として認識の上、改善計画を立案し、監査責任者及びPMOに報告する(1)ものとする。また、PJMOは、改善計画に基づいて、指摘事項への対応を行い、当該対応の結果について、監査責任者及びPMOに報告する(2)**ものとする。

なお、指摘事項への対応を行った結果、プロジェクト計画書との差異が発生した場合は、プロジェクト推進責任者は、プロジェクト計画書に反映し、当該計画書の内容を更新する。

  1. 1. 趣旨

監査責任者より報告された指摘事項は、プロジェクトの目標達成を確実なものとするため、監査報告書の改善提案の内容を踏まえて、監査対象において適切かつ確実に対応される必要がある。

このため、PJMOは、指摘事項に対する改善計画を立案し、責任を持って対応し、対応結果を監査責任者及びPMOに報告する。

  1. 2. 解説

「監査結果により指摘された事項については、これを課題として認識の上、改善計画を立案し、監査責任者及びPMOに報告する」

「改善計画を立案し、監査責任者及びPMOに報告する」とは、PJMOが、監査結果の指摘事項に対する改善計画を策定し、監査責任者及びPMOに報告することを指す。また、システム監査計画に基づく監査又はPMOの指示による監査の場合にあっては、PMOに改善計画書を提出し、承認を受ける。PJMOは、改善計画書の内容について監査責任者に確認し、必要な助言を受ける。

  • 表10-5

改善計画の記載内容

改善計画の記載事項を、次に示す。

「当該対応の結果について、監査責任者及びPMOに報告する」

「当該対応の結果について、監査責任者及びPMOに報告する」とは、PJMOが、改善計画書に記載された事項の対応を全て完了したとき、監査責任者及びPMOにその旨を報告することを指す。ただし、当該完了日が監査報告書の受領日から起算して3か月を超えるときは、3か月単位で途中経過の報告を行う。

フォローアップ

システム監査計画に基づく監査又はPMOの指示による監査の場合は、PMOは、**当該監査の結果への対応について、フォローアップを行う(1)**ものとする。

  1. 1. 趣旨

指摘事項に対する改善内容は、指摘した問題が確実に対処されている必要があるため、対応内容及び対応結果は、客観的に評価される必要がある。

このため、PMOは、PJMOの作成した改善計画の内容、対応状況、対応結果をフォローアップし、対応が確実に行われるようにする。

  1. 2. 解説

「当該監査の結果への対応について、フォローアップを行う」

「フォローアップ」とは、指摘事項に対する対応状況や対応結果を確認し評価することを指す。

指摘事項のフォローアップを、次に示す。

  • 表10-6

フォローアップの種類

システム監査に関する調達の特例

PMOは、監査業務を委託する場合、「第6章 調達」の規定に従うものとする。このほか、特例として、監査に関する調達仕様書を作成するときは、次の1)から3)までに掲げる事項を盛り込むものとする。

  1. 作業の実施に当たっての遵守事項

監査事業者等は、監査結果及び監査で知り得た情報を監査体制の構成員以外の者と共有してはならないこと(1)

  1. 入札制限

監査対象である情報システムの調達案件(監査業務案件を除く。)に関与した事業者は、監査の独立性及び客観性の確保の観点から、当該情報システムの監査に関する調達案件の入札に参加できないものとすること(2)(「第6章2.1)クb) 入札制限」参照)。

  1. 再委託に関する事項

原則として、監査業務の再委託は行ってはならないこと(3)

  1. 1. 趣旨

監査業務を委託する場合は、業務の特性から、「第6章 調達」で規定された内容に加え、特例を盛り込む必要がある。

このため、監査業務に係る調達仕様書には、情報の守秘義務の範囲や、監査業務を調達する際の入札制限について規定する。理由としては、監査実施者が監査対象の情報システムの開発事業者であるなど、何らかの利害関係を有する場合、監査報告書の独立性及び客観性に疑義が生じることになるからである。

また、監査業務においては、機密情報に触れる場合も多いため、関係する事業者をできるだけ限定すべく、再委託の制限についても規定する。

  1. 2. 解説

「監査結果及び監査で知り得た情報を監査体制の構成員以外の者と共有してはならないこと」

「監査結果及び監査で知り得た情報」とは、情報セキュリティインシデントに繋がる情報や非常に秘匿性の高い情報等を指す。したがって、委託先の監査事業者等においても、当該情報を第三者に漏らしてはならないのみならず、事業者内における情報共有には必要最低限の範囲内にとどめるといった細心の注意を払わせる必要がある。

よくあるケースでは、監査の改善提案を作成する場合に、当該改善案に関係する技術的な知識を有する者で監査体制の構成員以外のものに支援を求めることがある。このような場合においても、機密情報の開示を行わないのみならず、委託元名、具体的な業務、情報システム構成等を伏せた上で、助言を求めることとする。

「監査対象である情報システムの調達案件(監査業務案件を除く。)に関与した事業者は、監査の独立性及び客観性の確保の観点から、当該情報システムの監査に関する調達案件の入札に参加できないものとすること」

「監査対象である情報システムの調達案件(監査業務案件を除く。)に関与した事業者」とは、当該情報システムの企画(調査、要件定義等)、開発、運用、保守等の業務のいずれかに携わった事業者を指し、プロジェクト管理支援事業者を含む。

なお、監査対象が情報システムの運用、保守業務であった場合、当該情報システムの開発事業者は、一見、監査の独立性及び客観性を脅かさないようにも考えられる。しかし、監査の実施において開発段階での瑕疵等が発見される場合もあるため、直接、監査対象の業務に関係しない開発事業者等であっても入札制限の対象とすべきである。

「原則として、監査業務の再委託は行ってはならないこと」

「原則として、監査業務の再委託は行ってはならない」とは、監査業務を調達する場合において、受託事業者が再委託を行うことを禁止することをいう。監査業務においては、機密情報に触れる場合も少なくないため、関係する事業者をできるだけ限定する必要がある。また、システム開発等の調達と異なり、監査業務においては、多くの要員は不要であることから再委託を行う必要性が高くない。

ただし、単独の事業者で監査目的を達成することが難しい場合、又は、単独の事業者で実施する場合よりも再委託を行って実施した方が監査の品質を高めることができる場合には、例外として、監査業務の再委託を認める。

例えば、「情報セキュリティ対策の適切性を確認する」という監査目的を達成するために、脆弱性検査、ペネトレーションテスト(侵入テスト)等の特殊な技術を用いた実証的な監査手続を実施した方が良い場合がある。監査サービスを提供する事業者の中には、脆弱性検査、ペネトレーションテストを行っていない事業者も多い。よって、一般的な監査が得意な事業者と技術的な監査が得意な事業者を組み合わせて監査を行った方が、より品質の高い監査を実施することができると考えられる。