| 日時 |
平成12年10月27日 |
| 場所 |
労働スクエア東京 |
| 演題 |
「金融機関等のシステム監査について〜システム監査指針改訂を通して〜」 |
| 講師 |
(財)金融情報システムセンター
監査安全部研究員
山田 巌氏 |
|
(文責:No.526 富山伸夫) |
講演要旨
1.FISCの活動紹介
FISC(The Center for Financial Information Systems)は財団法人金融情報システムセンターの略称で、昭和59年設立、金融機関、保険会社、証券会社、コンピュータメーカ、監査法人等の851機関を会員とするシンクタンクである。
職員は49名、大半は会員企業からの出向者であり、金融情報システムの安全性確保、業務推進における情報システムの効果的活用等の重要な問題について調査・研究、必要に応じて、指針の提示、その他の提言を行うことを目的としている。
最近の活動として
- 金融機関等における個人データ保護のための取扱指針(H11.4改訂)
- 金融機関等コンピュータシステムの安全対策基準(H12.7改訂)
- 金融機関等のシステム監査指針(H12.7改訂)
などを提示する他、「統合的リスク管理研究会」「電子決済研究会」「金融EDI、貿易金融EDI研究会」などを行っている。
2.金融機関等のシステム監査
一般的に、金融機関等では、検査部という部門に、情報システムを専門的に監査するセクション(あるいは人)を配置するケースが多いが、監査人の数では大手行で10名程度、その他では1〜2名というところが多い。
検査と監査の違いについては、検査が定められた規定・マニュアルへの準拠性の側面が強いのに対し、監査は準拠性に加え、規定・マニュアルそのものを含めリスクがコントロール出来ているかを評価するところがある。
金融機関等のシステム監査は、情報システムの規模と役割が肥大化してくるなかで、データのインテグリティやコンピュータシステムの健全な運営という視点に留まらず、情報システム戦略の達成やリスク管理の実践といった視点にまで進化してきている。
リスクをコントロールする具体的な仕組みが内部統制システムであって、これの枠組みとしてCOSOレポートによる5つの構成要素がある。この5つの要素には、
- 統制環境
- リスクの評価
- 統制活動
- 情報と伝達
- 監視活動、
があって、指針作成のバックボーンとなっている。
金融機関等のシステム監査環境は、市場環境の変化、金融監督行政の変化を受けて大きく変わってきた。
3.「金融機関等のシステム監査指針」について
- 改訂の経緯とポイント
平成10年より「新しい金融環境におけるシステム監査研究会」発足させ、指針改訂を睨んだ論点整理を行い、具体的な改訂作業は、平成11年7月より着手した。そして、平成12年7月に「システム監査指針(改訂版)」を出版した。
改訂のポイントとしては、システム監査に関わる当事者の役割と責任を明確にすること、情報システムにリスクとコントロールという概念を導入し、システム監査の機能を定義した。また、本指針の位置付けとしては、基準ではなく指針(ガイドライン)であるので、監査実施のための参考書として使われるべきものとしている。
- システム監査の定義
「金融機関等のシステム監査とは、情報システムの有効性、効率性、信頼性、順守性及び安全性の達成を妨げようとする情報システムリスクの管理体制が適切かつ効果的であるかを、監査対象から組織的に独立したシステム監査人が把握、評価し、その結果を経営者に報告するものである。」
- 情報システムの目的と情報システムリスク(省略)
- 情報システムのコントロール目標(省略)
- システム監査の対象領域は殆んど全社・全階層
- システム監査の種類(省略)
- 実施体制
システム監査人の独立性を確保し、ITに通じたシステム監査人を確保することが必要として、システム監査人に求められる資質として、
- ビジネス能力
- 公正不偏な判断と職務上の秘密の厳守
- 専門知識とスキル(監査技術、IT、監査対象業務)
を挙げている。
- 実施手順は、次のように設定している
- 経営者からの指示
- 1st Step リスクの識別、評価(何がリスクなのか?)
- 2nd Step チェックポイント設定(何を診ればよいか?)
- 3rd Step 監査実施(証拠、テスト)
- 4th Step チェックポイントの判定(従前の検査はここで終わっていたのではないか)
- 5th Step リスクのコントロール状況の評価(最終的にここにたどりついて監査となるのではないか)
- 経営者への報告(監査報告書の提出)
- チェックポイント集
13の要点項目が、60の大項目に分かれ、さらに176の小項目に分けて、1022のチェックポイントの構成となっている。
一般的なリスクを想定してのものなので、大方の監査実施の際には掘り下げブレークダウンが必要であるが、そこは、各金融機関の情報システムの規模や運営形態、また監査人の力量による部分も大きいのではないかと感じて次第である。
4.今後の課題
海外の動向調査や、金融庁での「金融機関などにおける実効性のある内部監査・外部監査体制の確立に向けて」といったワーキンググループの立上げなど、を睨んで今後継続的に改訂のスキーム構築や情報収集の仕組み作り、リスクの評価や計量化方法の研究が必要で、ISACA,内部監査人協会、システム監査人協会などとの繋がりを持ってゆきたい。
(質疑)
金融庁はオブザーバーとして、作業部会そのものには出席された。但し、本指針が、即「金融検査マニュアル」対応という捉え方は、FISCとしては考えていない。
| Q: |
システム監査人の資質・専門能力はどこまで拡充が必要か |
| A: |
内部監査が前提となるが、どこまでを求めるかは個々の金融機関の課題と考える。 |
| Q: |
システムリスクの評価は情報システム部門の役割と思うが |
| A: |
監査部門はリスクのコントロール状況を評価するうえで、独自のメジャーを持つべきではないかと考える。(勿論、被監査部門のリスク評価の内容を評価し、それを是とするのであれば、使うことも可能と思う。) |
| Q: |
関連会社監査の根拠形成はどうする |
| A: |
外部委託契約に監査の権利を盛り込むような形を考えている。 |
| Q: |
取締役を監査の対象外とするのは奇異な感じがする |
| A: |
監査部門が、欧米では経営ボードの監査委員会に属するのに対し、日本では1ライン組織になっているので、経営者の意思決定そのものは内部監査の対象領域ではないと考えている。 |
| Q: |
「金融機関等のシステム監査指針」をFISC会員外が入手できるか |
| A: |
会員には1部無償配布、余部1万円。会員外は1部2万円で出せる。詳しくは、ホームページ
http://www.fisc.or.jp/ にて |
| Q: |
「指針」の位置付けは |
| A: |
金融機関等における有益なシステム監査実施のための参考書である。 |
| Q: |
金融監督庁の参画や同庁「検査マニュアル」との関係は |
| A: |
| Q: |
リスクの識別評価が難しいと思うが、なにかガイドがあるか |
| A: |
銀行により千差万別で難しい。(強いてあげるとすれば)棚卸的な網羅的な洗出し等が具体的な方法としては考えられるのではないか。 |
| Q: |
日米で意識差はあるか |
| A: |
FISCとしても今後の研究課題と考えている。具体的には、今年の11月に海外調査を計画している。 |
(感想)
ここ2〜3年、金融業界の激変には驚き放しであるが、金融検査、内部監査、内部統制、システム監査などの動向をしっかり受け止めて、指針改訂につなげて来られたFISCのご努力に感服しました。必要に迫られてのことでしょうが、システム監査の世界で一歩先に出た感じで、これからも実践例などをお聞きしたいものです。
|
