Step.3 システム監査計画と監査実施計画

システム監査を実施するには、監査の目的、監査の方針、監査の範囲やスケジュール、実施方法等を事前にしっかり計画しておく必要があります。ここでは、システム監査を実施するための計画の立案について、説明します。

システム監査の計画には、当該年度の監査の段取りを記載した監査実施計画と、複数年度にわたり組織としての監査方針を示す監査計画があります。

複数年にわたる監査方針を示した監査計画は、第2編第8章に「PMOは、毎年度、監査対象の追加等のシステム監査計画書の見直し(次の3か年分の計画の作成)を行うものとする。」との記載があるとおり、3か年程度の監査計画を立てることになります。

複数年の監査計画を立てる

【標準ガイドライン関連箇所:第3編第10章第1節2)】

監査計画を立てるには複数の考え方があります。経済産業省の「システム監査基準」にも記載されているとおり、システム監査には様々な視点があります。一方、省内には複数のプロジェクトがあり、その目的やプロジェクトの状況も異なります。1年で全ての監査項目を全てのプロジェクトで実施することは現実的ではありません。したがって、各年度で監査テーマあるいは監査対象を絞って監査を実施していく必要があります。そのため、複数年にわたる監査計画を策定する必要があります。

具体的な監査計画の策定に当たっては、年度ごとに思いつきで監査対象や監査項目を選定したのでは、ITガバナンスを構築できているとは言えません。したがって、省内のプロジェクトの数や規模、進捗等の状況に応じ、解決したい課題や問題意識を議論し、監査に対する一定の方針を立てる必要があります。

例えば以下のような例が考えられます。

  • 予算、重要性ともに大規模プロジェクトが開始されるため、プロジェクトを滞りなく進捗するために、プロジェクトの各フェーズでリスクを最小化したい。この場合は、当該プロジェクトのフェーズに着目し、プロジェクトのライフサイクルに応じて監査を実施するように計画することになります。

  • 省内複数のプロジェクトにおいて運用経費が増加しつつあり、システム予算の多くの部分が運用費となっているという問題意識があるとすれば、運用フェーズのプロジェクトを選択し、複数年にわたり複数のプロジェクトに対して同じ監査項目(運用におけるサービスレベルの妥当性や、業務内容と運用役務の妥当性など)に着目して横並び比較や推移分析を行う監査を実施するべく計画を立てる。

  • PMOのITガバナンス強化のために、監査基準にある一通りの監査項目を複数年で実施するために、省内のシステムの改修等のロードマップと監査項目を鑑み、複数年で対象システムと監査項目を変えるように計画する。

そのほか、各省の状況に応じた方針が考えられます。

本ガイドライン第3編2章で記載されている「プロジェクト工程レビュー」もPMOが指定したプロジェクトに着目し、プロジェクトの進捗に応じた監査項目により監査を実施している、システム監査の一つと捉えることができます。

さらに、監査を実施する目的は、当該プロジェクトの継続的な改善活動を支援すること(PDCAのCに相当)ですから、一度だけ監査を行い、不備事項を指摘して終わり、というわけではありません。指摘事項を改善するための取り組みについてフォローアップして初めて実効的な監査となるわけです。したがって、複数年の監査計画には、必ずフォローアップの実施という項目が必要となることに留意が必要です。

  • 注記

「システム監査基準」(経済産業省 令和5年4月26日改訂)

ここで、監査計画を作成する際には、前述の監査の方針に加え、具体的な監査の観点等が必要となってきます。監査計画作成に当たっての具体的な事項等については、「システム監査基準」(経済産業省 令和5年4月26日改訂)を参照してください。なお、当該システム監査基準では、監査計画を「中長期」「年度」「個別」の3種類の監査計画を策定するとされていますが、本ガイドラインは「中長期監査計画」が「監査計画」、「個別監査計画」が「監査実施計画」に相当するものとして記載しており、「年度監査計画」については特に述べていません。しかし、各年度で実施する具体的な監査目的、対象、観点、スケジュール等の事項につては、「監査計画」あるいは「監査実施計画」に必要に応じて記載する事が望ましいと考えます。これは、「年度監査計画」を個別に作成することを妨げるものではありません。

  • 注記

「システム管理基準」(経済産業省 令和5年4月26日改訂)

具体的な監査計画の策定に当たり、実際の監査でどのような項目に着目して監査を実施するかについて検討し、監査方針を決定していく事が必要です。そのためには、より具体的な監査項目について理解する必要があると考えます。その際には、「システム管理基準」(経済産業省 令和5年4月26日改訂)に記載されている、システムライフサイクルにおける管理項目が参考になります。また、この「システム管理基準」に記載されている管理項目については、監査実施計画を策定する際の監査項目として利用できます。監査で確認する具体的な項目は、システムのライフサイクを通じ不変なものと、ライフサイクルの各段階で異なってくる項目があります。具体的に監査実施計画を策定する場合には、両者を意識して監査項目を設定する必要があるでしょう。

システム監査実施計画書を作る

【標準ガイドライン関連箇所:第3編第10章第1節2)】

監査体制の監査責任者は、監査計画に基づき、当該年度のシステム監査対象のプロジェクトに対して実施する監査の段取りを記載した監査実施計画を立案します。立案した監査実施計画は、監査実施計画書として取りまとめ、監査者と被監査対象者で内容を共有します。当該年度に複数の監査対象に監査を実施する場合は、原則監査対象ごとに監査実施計画書を作成することになります。この実践ガイドブックには、別添としてシステム監査実施計画書のひな形を示しています。

  • 様式例10-1

システム監査実施計画書のひな形

飽くまで、このひな形は例示ですので、内容に応じて記載内容を個別に追加、変更して構いません。ひな形を見ると、何をどのようなレベルで書くべきかの参考になると思います。

以降では、システム監査実施計画書を作成するときに、特に注意が必要なポイントについて説明していきます。

監査範囲が局所的にならないように注意する

監査対象となるプロジェクト、監査目的、監査範囲となる工程等は、PMOが作成する府省全体の計画である「システム監査計画」で示されます。個別の監査を実施するに当たっての監査範囲の設定は、個別監査の計画書である「システム監査実施計画」で記載します。そこでは、「システム監査計画」の項目の中で記載された監査範囲を、対象プロジェクトに合わせて具体化し記載します。

監査範囲を定義する際、監査範囲が局所的にならないように注意することが必要です。監査範囲は、監査の目的に則ったものでなくてはなりません。特に、プロジェクトの中に複数の情報システムやサブプロジェクトがある場合は、注意が必要です。

例えば、監査目的が費用対効果の妥当性検証のような場合、システム監査計画で対象工程や対象組織が定められている場合でも、プロジェクト全体で評価する必要があるかもしれません。そのような場合は、関連する他の情報システムやサブプロジェクトも監査の対象範囲として含める必要がないかを検討し、PMOと相談して対象範囲を決めてください。

監査実施方法に注意する

システム監査実施計画を立てる際に、特に気をつけるべき項目は、「監査実施方法」です。表面的なインタビューや資料の収集だけでは、プロジェクトが抱える問題にたどり着くことができません。そのプロジェクトの関係者はどのような人がいるのか、現在はプロジェクトがどのような工程にあるのか、といった情報を正確に把握するために、対象プロジェクトのプロジェクト計画書を入手した上で、PJMOへのヒアリング・調整を実施し、誤った情報や誤解に基づく判断とならないよう、必要な調査と評価の基準・方法を決めてください。その内容に基づき、全体のスケジュールを立案することが有効です。