Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
内容
• はじめに
• システム監査を振り返って
• ICTの発展とリスクの変化
• システム監査が抱えている課題
• システム監査人に必要な職業的懐疑心
• 監査技法の変革
• おわりに
Ⓒ2017 Yuji Shimada,CISA,CIA 2
システム監査との関わり
• 某ベンダーの研究会への参加
– システム監査基準に関する研究会
• システム監査技術者試験合格
– システム監査に取り組むきっかけ
• 協会や学会への参加
• システム監査の専門性を高めるきっかけ
• 学会発表など
• 論文や書籍の執筆
• 知識を体系化し、専門性を高める
Ⓒ2017 Yuji Shimada,CISA,CIA 4
ICTの発展とシステム監査
Ⓒ2017 Yuji Shimada,CISA,CIA 5
ICTの発展
システム監査の対象であるICTが大きく変化
システム監査に大きな影響
AI(Artificial Intelligence:人工知能)
ビッグデータ
IoT
VR(Virtual Reality:仮想現実), AR(Augmented Reality:拡張
現実) など
ICTの利用範囲、利用可能性の拡大
リスクに関する分析が必要
新たなコントロールの出現
新しい監査手法の検討が必要
システム監査人の必要性が増大
経済産業省「新産業構造ビジョン」
• 経済産業省産業構造審議会新産業構造部会事務局の「新産業構造ビジョン ⼀⼈ひとりの、世界の課題を解決する⽇本の未来」(2017年5月30日)では、「今、何が起こっているのか? 〜技術のブレークスルー〜」として、次の事項を挙げている。
– 実社会のあらゆる事業・情報が、データ化・ネットワークを通じて⾃由にやりとり可能に(IoT)
– 集まった⼤量のデータを分析し、新たな価値を⽣む形で利⽤可能に(ビッグデータ)
– 機械が⾃ら学習し、⼈間を超える⾼度な判断が可能に(⼈⼯知能(AI))
– 多様かつ複雑な作業についても⾃動化が可能に(ロボット)
• また、これによって、「 これまで実現不可能と思われていた社会の実現が可能に。これに伴い、産業構造や就業構造が劇的に変わる可能」と述べている。
Ⓒ2017 Yuji Shimada,CISA,CIA 6
システム監査の歴史
• 1957年 日本内部監査人協会設立(1958年日本内部監査協会に名称変更)
• 1967年 「EDP システム内部統制質問書-第7次案」 (日本公認会計士協会)
• 1969年 EDPAA(現ISACA)設立
• 1974年 JIPDECが「システム監査」という用語を使う。「コンピュータ監査実務 ガイド」(日本内部監査協会EDP監査技法開発委員会)
• 1978年 EDP ユーザ団体連合会(現:情報システムユーザ会連盟)にシステム監 査専門委員会が設立
• 1983年 同上「システム監査講演会」を開催(現在に至る)
• 1984年 EDPAA(現ISACA)東京支部設立
• 1984年 金融情報システムセンター(FISC)設立
• 1985年 『システム監査基準』(旧通産省) 『金融機関等コンピュータシステムの安全対策基準』
• 1986年 情報処理システム監査技術者試験(現:システム監査技術者)スタート
Ⓒ2017 Yuji Shimada,CISA,CIA 8
システム監査の歴史 続き
• 1987年 日本システム監査人協会設立 「コンピュータ利用監査技法の活用化研究」(日本内部監査協会情報シ ステム監査委員会)
• 1987年 『金融機関等のシステム監査指針』刊行
• 1994年 EDPAAがISACAに名称変更
• 1995年 『情報システム安全対策基準』
• 1996年 『システム監査基準』(旧通産省)改定 COBIT 発行
• 1998年 ITGI設立。COBIT 2 発行
• 1999年 『金融機関等におけるセキュリティポリシー策定のための手引書』 『金融機関等におけるコンティンジェンシープラン策定のための手引書』
• 2000年 COBIT 3 発行
Ⓒ2017 Yuji Shimada,CISA,CIA 9
システム監査の歴史 続き
• 2002年 日本システム監査人協会がNPO法人化
• 2003年 『情報セキュリティ監査基準』 『情報セキュリティ管理基準』 (経済産業省)
• 2004年 『システム監査基準』『システム管理基準』(経済産業省)が2度目の改定。2005年 ITG Japan設立。COBIT 4.0 発行
• 2007年 COBIT 4.1 発行
• 2008年 内部統制報告・監査制度(ITへの対応)
• 2012年 COBIT 5 発行、 ISACA福岡支部設立
• 2015年 「JISQ38500:2015情報技術-ITガバナンス」(ISOは、2008年)
Ⓒ2017 Yuji Shimada,CISA,CIA 10
内部監査の対象業務
0
10
20
30
40
50
60
70
80
2012
2013
2014
2015
Ⓒ2017 Yuji Shimada,CISA,CIA 12
出所 日本内部監査協会 『第60回内部監査実施状況調査結果-2015年度(2015年4月~2016年3月)における各社の内部監査テーマ・要点集』、『第59回内部監査実施状況調査結果-2014年度(2014年4月~2015年3月)における各社の内部監査テーマ・要点集』、『第58回内部監査実施状況調査結果-2013年度(2013年4月~2014年3月)における各社の内部監査テーマ・要点集』、『第57回内部監査実施状況調査結果-2012年度(2012年4月~2013年3月)における各社の内部監査テーマ・要点集』に基づいて作成
システム監査の実施状況
Ⓒ2017 Yuji Shimada,CISA,CIA
出所:日本内部監査協会「第54回内部監査実施状況調査結果-2009年度(2009年4月~2010年3月)における各社の内部監査テーマ・要点集」、月刊監査研究、2010年10月、p.3、及び 「第60回内部監査実施状況調査結果-2015年度(2015年4月~2016年3月)における各社の内部監査テーマ・要点集」、p.3から作成
13
37.2 3941.8 41.8 41.8 42.7
48.1 48.550.9 51.7 53.4
50.6 50.454.3
0
10
20
30
40
50
60
実施比率(%)
ICT発展のシステム監査への影響
Ⓒ2017 Yuji Shimada,CISA,CIA 15
ICTの発展
監査対象の変化
コントロールの変化
監査技法の変化
CAATs
AIを用いた監査
リアルタイム監査
システム開発手法の変化
AI、ビッグデータ、IoTなどを対象にした監査の必要性
ユーザの拡大
社外との関係
制御系システム
コントロールの自動化
AIを用いたコントロール
コントロールの対象範囲の拡大
監査対象の変化
• システム監査の対象は、ICTの発展と相俟って大きく変化した。
• 当初は、メインフレームが監査対象であり、そのうえで稼働する各種業務システムが監査対象であり、IT部門を中心に監査を実施。情報システムの利用者も組織体内が中心であった。
• その後、分散処理の時代を経て、インターネット時代を迎えることになり、監査対象範囲も組織体内だけではなく、業務の委託先へと拡大した。
• こうした過程でICTが支援する業務範囲が大幅に拡大し、ICTがなければ業務を遂行できない状況である。
• システム監査人には、新しいICTに関する知見が必要になる。
Ⓒ2017 Yuji Shimada,CISA,CIA 16
監査対象のリスクの変化
• 新たなICTを内部統制の手段として組み込むことによって、従来想定していないリスクが発生する。
• AIを利用した取引チェックやIoTを利用した生産活動等において、システム障害が発生すれば、業務運営に支障をきたす。
– ICTの発展によって、人間の判断の代替あるいは支援する手段としてICTが利用されるようになると、判断責任に係るリスクも発生
– AIの判断に誤りがあった場合の対応、AIのシステム障害などによって業務が遅滞・停止した際の対応(コンティンジェンシープラン)など
• ICTへの業務上の判断の依存度が高まれば高まるほど、システムの可用性に係るリスクが大きくなる。
• システム開発プロセスの変化
– 「要件定義→基本設計→詳細設計→開発→テスト→移行→稼働」という今までの開発プロセスが変化する。
– 例えば、AIを用いたシステム開発、アジャイル開発
Ⓒ2017 Yuji Shimada,CISA,CIA 17
AIのリスク
• ICTの発展の中でも特にAIの発展が新たな課題になりつつある。AIは従来の情報システムの機能や開発プロセスなどを大幅に変革させる可能性がある。
• AIに関しては、例えば、次のようなリスクに対応したシステム監査が必要になる。
(1)導入目的が達成されないリスク
(2)責任の帰属
(3)知的財産権の帰属
(4)機密保護
• また、AI開発原則を参考にしてシステム監査を実施することが考えられる。
Ⓒ2017 Yuji Shimada,CISA,CIA 18
IoTのリスク
• IoTの発展によって、制御系システムに係るリスクが増大している。様々な機器が“つながる” ことによって、ネットワークとの接続が適切に行われているかどうかを点検・評価することが重要になる。
• サイバー攻撃 – ボーイング777機内ネットワークへの侵入
• ウィルス感染 – 監視カメラ、ゲートウェイ、ネットワーク機器、太陽光発電システム
• 不正利用(例:自動車の鍵を不正に解錠)、不正設定(例:ネットワーク設定の変更)、情報漏えい(例:ユーザ情報等の漏洩)、盗聴(例:カーナビ情報の盗聴)、DoS攻撃(例:スマートキーに過剰な通信を行い操作できなくする)、偽メッセ―ジ(例:タイヤ空気圧監視システムに偽情報を流す)、ログ喪失(例:攻撃者のログを改ざん、証拠隠滅を図る)、不正中継(例:スマートキーの電波を不正に中継し遠隔で自動車の鍵を解錠する)、設定ミス(例:インフォテイメント機能をの設定を間違えて、情報が盗聴される)、ウィルス感染(インフォテイメント機能に感染したウィルスに感染)
参考文献:畠中伸敏編著『IoT時代のセキュリティと品質』、日科技連出版社、2017年。
Ⓒ2017 Yuji Shimada,CISA,CIA 19
ビッグデータのリスク
• ビッグデータの活用が拡大しているが、その際にはAIが導入される。
• システム監査では、ビジネス目標の達成との関係で新技術を捉えて、ビッグデータの利用目的は何かを考えて監査を実施する必要がある。
• ビッグデータのリスク及びコントロールについては、ビッグデータのライフサイクルの視点から整理して、監査する方法がある。
– ビッグデータの取得
– データ解析
– 解析結果の戦略及び戦術への活用
– 戦略及び戦術の実施
– データの廃棄
Ⓒ2017 Yuji Shimada,CISA,CIA 20
コントロールの変化
• コントロールの自動化に伴って、当該コントロールの有効性を点検・評価しなければならない。
• ICTの更なる発展に伴って、コントロールの自動化がさらに拡大すると考えられる。
• システム監査人は、自動化されたコントロールの意味、機能、有効性、弱点などを理解する必要がある。
– 例えば、内部統制の有効性評価において、自動化されたコントロールは一度評価すればよいとされているが、AIを用いたコントロールの有効性は一度評価すればよいというわけではないのではないか。
– サイバー攻撃など攻撃手法の変化によって、コントロールが無効になる可能性がある。
Ⓒ2017 Yuji Shimada,CISA,CIA 21
リスクの識別力強化
• IT化の発展に伴って、組織体及び個人においてICTへの依存度が増大している。組織体、個人、社会において、ICTに対する信頼性・安全性の確保が重要である。
• また、IT化は、ビジネス目的の達成のために実施されるので、IT化の目的達成を阻害するリスクに対する識別能力も求められる。
• モニタリングという立場からシステム監査の重要性は、今までになく増大する。
• システム監査人は、新しいICTに関するリスクを識別し、適切なコントロールを判断できる能力が求められており、より一層の研鑽が必要である。
Ⓒ2017 Yuji Shimada,CISA,CIA 23
監査技法の改革
• 監査対象のICT化が発展すると、システム監査人という人間の能力だけでは対応することが困難。
• CAATs(コンピュータ利用監査技法)の重要性がより増大。
• CAATsには様々なツールがあるが、CAATsの発展形としてAIを利用した監査技法の検討が必要。
• データ分析でもAIを利用した監査でも、どのような監査がよい監査なのか、つまりどのようなデータを発見することがよい分析なのかを設定することがカギ
• データの重要性
– 分析対象となるデータの選定も重要
– 疑義のあるデータを発見・抽出するためには、どのデータベースを対象にするのか検討することが重要になり、それが適切に行う能力がシステム監査人に必要。
Ⓒ2017 Yuji Shimada,CISA,CIA 24
人材確保とスキルアップ
• ICTの重要性を強調する経営者は多いが、ICTを点検・評価する役割を担うシステム監査人が少ないのが現状である。
• 厳しい経営環境の中で組織体が生き残るためには、ICTの導入・活用だけではなく、システム監査人の確保とスキルアップが不可欠である。
Ⓒ2017 Yuji Shimada,CISA,CIA 25
職業的懐疑心とは
• 公認会計士監査では、企業の会計不祥事などを契機として公認会計士の職業的懐疑心の重要性が叫ばれている。
• システム監査人にも、公認会計士と同様に職業的懐疑心、あるいは専門職としての懐疑心が求められている。
• 経済産業省『システム監査基準』では、「4.1 注意義務」として、「システム
監査人は、専門職としての相当な注意をもって業務を実施しなければならない。」とされている。
Ⓒ2017 Yuji Shimada,CISA,CIA 28
システム監査人に求められる 職業的懐疑心
• システム監査人に求められる職業的懐疑心は、公認会計士に求められる懐疑心と共通する部分もあるが、異なる部分もある。
• システム監査人の場合には、特に、ITリスクやコントロールに対する懐疑心が必要になる。
• 例えば、AIのリスクは何か、IoTのリスクは何か、またリスクを低減するた
めのコントロールはどのようなものが必要であり、それが存在し、機能しているか、ということを意識し、監査でそれを実践することが必要になる。
• また、システム監査は、ICTの利用について組織体の目標達成に貢献す
るかどうか、あるいは貢献しているかどうかを点検・評価する役割を担っているので、「目標達成に貢献していないのではないか?」という疑問をもって監査を行う必要がある。
Ⓒ2017 Yuji Shimada,CISA,CIA 29
ビジネスとの関係を重視
• リスクは、組織体やビジネスの目的(目標)と密接な関係をもっており、目
的を変えればリスクも増減する。そこで、リスクの前提となる目的に着目した「目的アプローチ」が重要になる。システム監査人は、「目的-リスク-コントロール」の関係を踏まえて、AI、IoTなどのICTの発展に対応した監査を実施する必要がある。
• これからのシステム監査では、様々な新技術について、ビジネスとの関係が明確にされ、目的が明確であり、目標設定が適切かどうかを監査することが求められており、システム監査人にはそれを実践できる見識と能力が必要になっている。
Ⓒ2017 Yuji Shimada,CISA,CIA 30
CAATsの活用
• 内部監査では、サンプリング調査ではなく、全数調査や継続的な監査を行うことが必要な場合がある。例えば、仕訳、購買、支払、受注等に関するデータの監査や、顧客データベースなどへのアクセス状況の監査においては、監査対象期間のデータの全てを対象として調査する場合がある。
• こうした要請に応えるために、CAATs(コンピュータ支援監査技法)を活用すれことが考えられる。CAATsを導入すれば、効率的で有効な監査が実現できる。 “現場にあまり行かない監査”、“往査部署を事前に決めない監査”
• CAATsを導入する場合には、自社にどのようなデータやデータベースがあるのかを把握し、何が異常(不正、不適切)なのかを検討することが重要である。
• CAATsに習熟してきたら、不正の発見だけではなく、データ活用の視点から監査を行うことにもチャレンジするとよい。
Ⓒ2017 Yuji Shimada,CISA,CIA 32
CAATsと他の監査との関係
• CAATsは、内部監査のうちどの監査に含まれるのか?
– システム監査
– 会計監査
– 業務監査
• システム監査と他の監査との関係は?
– 仕訳データを対象とする監査は、システム監査なのか、会計監査なのか
Ⓒ2017 Yuji Shimada,CISA,CIA 33
監査におけるAIの活用
• AIについて検討する場合には、監査対象として捉えるだけではなく、監査におけるAIの活用という視点も必要になる。
• CAATs(コンピュータ利用監査技法)
– データ分析用ツール
– 電子調書システム
– 表計算ソフトなども含む
• CAATsとAIの違いに関する研究が進んでいるわけではない。
– AIは、CAATsと捉えることもできるが、CAATsにおいては、データ分析の判断を監査人が行うのに対して、AIでは監査人の判断の一部あるいは大部分をAIに依存することになる。
• 監査でのAIの活用
– AIによる判断に誤りがあった場合には、監査責任の帰属がどのようになるのかという問題が生じる可能性がある。
– システム監査人は、監査判断において、AIに依拠するリスクを十分に認識したうえで、AIを監査に導入する必要がある。
Ⓒ2017 Yuji Shimada,CISA,CIA 34
ICTの発展に関心をもつこと
• システム監査人は、クラウドサービス、AI、IoT、RPAなどのICTの発展に注意するとともに、それに伴うリスクやコントロールの変化に関心をもつことが重要である。
• CAATsの利用に関心が集まっているが、それをさらに発展させてAIを監査に導入し、監査対象領域の拡大、監査品質の向上、監査のリアルタイム化などを推進して、監査の付加価値向上につなげてくことが重要である。
Ⓒ2017 Yuji Shimada,CISA,CIA 36
監査対象部門に対する姿勢
• 監査対象部門の身になって考える
– どうすれば残業が減るか
– どうすれば業務負荷が平準化するか
– 取引先とトラブルが発生しないようにする(発生した場合に損失を減らす)ためにはどうすればよいか
– どうすれば会社や部下を守ることができるか
– どうすれば被監査部門の課題を解決できるか
• 納得感を得ること
– 相手が納得すれば「改善提言」以上の改善を行ってくれる
– リスクを分かりやすく説明する(あなたの身にどのような不利なことが生じるか)
– 他社の状況や他部門の状況を紹介する(守秘義務に反しないように)
Ⓒ2017 Yuji Shimada,CISA,CIA 37
経営者に対する姿勢
• リスクを分かりやすく簡潔に説明する
– 図にしてリスク、コントロールを説明する
– 専門用語は避ける(平易な言葉で)
• タイムリーなテーマを選ぶ
– 経営者の関心事(戦略、施策の実施状況)
– 他社や社内のトラブル事例
– 法令等の制定、改廃
• 将来リスクを示す
– 経営者は半歩先、1歩先のリスクにも関心がある
• 改善提言は行えなくてもリスクは認識させる
– 改善が難しい問題や改善に時間がかかる問題があるが、内部監査人は少なくともリスクを伝えることが重要
38 Ⓒ2017 Yuji Shimada,CISA,CIA
システム監査の価値向上サイクル
•有効性、効率性向上のための助言、保証
•役に立つ監査報告
•経営者、監査対象部門からの評価の向上
•システム監査人の監査手法の向上
• ITに関する知識、他社情報の収集
•システム監査に関心をもつ人の増加
•社内公募
•社外からの採用
システム監査への関心の増大
システム監査人のスキルアップ
付加価値の高い監査
組織内での認知度の向上
Ⓒ2017 Yuji Shimada,CISA,CIA 39