『システム監査指針』（第3版）改訂に向けたヒア …2012FISCAllrights reserved 『システム監査指針』（第3版）改訂に向けたヒアリング結果について

Ⓒ2012 FISC All rights reserved

『システム監査指針』（第3版）改訂に向けたヒアリング結果について

公益財団法人金融情報システムセンター

監査安全部

主任研究員市川千尋

2012年7月20日

日本システム監査人協会近畿支部様資料


本講演内容について

本講演は、公益財団法人金融情報システム

センターの機関誌『金融情報システム』（平成

24年春号）に掲載された調査レポート

「『金融機関等のシステム監査指針』

（第3版）改訂に向けて -平成23年度金融

機関ヒアリング調査結果について- 」

をもとに作成したものです。

2

3Ⓒ2012 FISC All rights reserved

本日のアジェンダ本日のアジェンダ

■■ FISCFISCについてについて ■■

ⅠⅠ．．『『FISCFISCシステム監査指針システム監査指針』』についてについて

ⅡⅡ．．『『FISCFISCシステム監査指針システム監査指針』』発刊の背景発刊の背景と経緯と経緯

ⅢⅢ．．『『FISCFISCシステム監査指針システム監査指針』』改訂に向けたヒアリングの実施改訂に向けたヒアリングの実施

ⅣⅣ．．『『FISCFISCシステム監査指針システム監査指針』』改訂に向けて改訂に向けて


■ FISCについて ■


FISCの概要

公益財団法人金融情報システムセンター（FISC：The Center For Financial Industry Information Systems）

◆ 金融機関・生損保・証券・コンピュータメーカー等の出捐により大蔵大臣（当時）の

許可を得て設立（1984年11月）された団体。

2011年4月1日に内閣総理大臣の認定を受け、公益財団法人に移行。

◆ 金融情報システムに関連する諸問題につき総合的な調査研究を行うとともに、

金融情報システムの安全性確保のための施策を推進することにより、

我が国金融情報システムの安全性、信頼性及び効率性を高めることを目的とする。

◆ 会員 649機関（2011年3月31日現在）

都市銀行、地方銀行、第二地方銀行、信用金庫、信用組合、信託銀行、外国銀行、

ネット銀行、信金中央金庫、全国信用協同組合連合会、農林中央金庫、商工組合

中央金庫、労働金庫連合会、各都道府県信用農業協同組合連合会、生命保険会社、

損害保険会社、証券会社、銀行系カード会社、日本クレジット産業協会、メーカー、

電気通信・情報通信会社、情報システム会社他

◆ 金融機関・生損保・証券・コンピュータメーカー等の出捐により大蔵大臣（当時）の

許可を得て設立（1984年11月）された団体。

2011年4月1日に内閣総理大臣の認定を受け、公益財団法人に移行。

◆ 金融情報システムに関連する諸問題につき総合的な調査研究を行うとともに、

金融情報システムの安全性確保のための施策を推進することにより、

我が国金融情報システムの安全性、信頼性及び効率性を高めることを目的とする。

◆ 会員 649機関（2011年3月31日現在）

都市銀行、地方銀行、第二地方銀行、信用金庫、信用組合、信託銀行、外国銀行、

ネット銀行、信金中央金庫、全国信用協同組合連合会、農林中央金庫、商工組合

中央金庫、労働金庫連合会、各都道府県信用農業協同組合連合会、生命保険会社、

損害保険会社、証券会社、銀行系カード会社、日本クレジット産業協会、メーカー、

電気通信・情報通信会社、情報システム会社他

5


金融情報システムの安全性、信頼性及び効率性を高めることに貢献

FISCの主な活動

調査研究活動

社会に還元

金融情報システムに関連する諸問題（技術、利活用、管理

態勢、脅威と防衛策等）の国内外における現状、課題、

将来への発展性とそのための方策等についての調査研究

金融情報システムに関連する諸問題（技術、利活用、管理

態勢、脅威と防衛策等）の国内外における現状、課題、

将来への発展性とそのための方策等についての調査研究

整理・分析・評価のプロセスを経て、『金融機関等コンピュー

タシステムの安全対策基準』を始めとする各種ガイドライン

等や調査レポートとして結実し、各種刊行物やセミナーを

通じて社会に還元

整理・分析・評価のプロセスを経て、『金融機関等コンピュー

タシステムの安全対策基準』を始めとする各種ガイドライン

等や調査レポートとして結実し、各種刊行物やセミナーを

通じて社会に還元

6


FISCが刊行する主なガイドライン

FISCは、会員企業や学識経験者等の皆様の協力を得て、金融情報システムの安全性確保や金融業務の安定的遂行のための自主基準を策定しています。これらは、金融機関や、金融機関に情報システムを提供するコンピュータメーカー等で広く用いられています。

金融情報システムに関する自主基準（ガイドライン）策定

◆ 金融機関等コンピュータシステムの安全対策基準・解説書（初版1985.12 第８版2011.3）

（第８版対応英訳版 2012.3）

◆ 金融機関等におけるコンティンジェンシープラン策定のための手引書（初版1994. 1 第３版2006.3 第３版追補2009.11）

◆ 金融機関等のシステム監査指針（初版1987. 7 第３版2007.3）

◆ 金融機関等におけるセキュリティポリシー策定のための手引書（初版1999. 1 第２版2008.6）

◆ 金融機関等コンピュータシステムの安全対策基準・解説書（初版1985.12 第８版2011.3）

（第８版対応英訳版 2012.3）

◆ 金融機関等におけるコンティンジェンシープラン策定のための手引書（初版1994. 1 第３版2006.3 第３版追補2009.11）

◆ 金融機関等のシステム監査指針（初版1987. 7 第３版2007.3）

◆ 金融機関等におけるセキュリティポリシー策定のための手引書（初版1999. 1 第２版2008.6）

7


FISCの主な刊行物、セミナー

【主な刊行物】◆ 機関誌「金融情報システム」

調査研究成果を取りまとめた論文集です。

◆ 「金融情報システム白書」

内外の金融情報システムの現状を概説しています。

◆ 「FINANCIAL INFORMATION SYSTEMS IN JAPAN」

日本における金融情報システムの概要や当センターの各種ガイドラインを英語にて概説しています。

◆ 「ガイドライン検索システムCD-ROM」

パソコン上でシステム監査指針、安全対策基準、金融庁検査マニュアル等の関連性を簡単に参照・

検索・出力できます。

【主なセミナー】◆ FISC講演会

有識者の方を講師に迎え、行政・ITのテーマを中心に取り上げます。

◆ セキュリティセミナー

セキュリティに関するテーマを中心に取り上げます。

◆ 地区別セミナー

「金融情報システム」に掲載したテーマを中心に説明します。

◆ 安全対策基礎セミナー

安全対策基準の基礎的知識習得に向け、わかりやすく説明します。

◆ システム監査セミナー

システム監査の実務習得を目指すものです。

【主な刊行物】◆ 機関誌「金融情報システム」

調査研究成果を取りまとめた論文集です。

◆ 「金融情報システム白書」

内外の金融情報システムの現状を概説しています。

◆ 「FINANCIAL INFORMATION SYSTEMS IN JAPAN」

日本における金融情報システムの概要や当センターの各種ガイドラインを英語にて概説しています。

◆ 「ガイドライン検索システムCD-ROM」

パソコン上でシステム監査指針、安全対策基準、金融庁検査マニュアル等の関連性を簡単に参照・

検索・出力できます。

【主なセミナー】◆ FISC講演会

有識者の方を講師に迎え、行政・ITのテーマを中心に取り上げます。

◆ セキュリティセミナー

セキュリティに関するテーマを中心に取り上げます。

◆ 地区別セミナー

「金融情報システム」に掲載したテーマを中心に説明します。

◆ 安全対策基礎セミナー

安全対策基準の基礎的知識習得に向け、わかりやすく説明します。

◆ システム監査セミナー

システム監査の実務習得を目指すものです。

8


FISCホームページ URL：http://www.fisc.or.jp/

9

http://www.fisc.or.jp/


Ⅰ．『システム監査指針』について

Ⓒ2012 FISC All rights reserved 11

FISCシステム監査指針FISCFISCシステム監査指針システム監査指針

エグゼクティブサマリーエグゼクティブサマリーエグゼクティブサマリー

フレームワークフレームワークフレームワーク

チェックポイント集チェックポイント集チェックポイント集

エグゼクティブサマリー（小冊子）

フレームワーク編（小冊子）

経営層向け

経営層向け

実務者向け

実務者向け

システム監査指針

リスクコントロール

チェックポイント

ＦＩＳＣシステム監査指針の構成


エグゼクティブサマリー～経営者のためのガイド～

本書の利用にあたって

第１部フレームワーク

第Ⅰ章システム監査の概念

第Ⅱ章システム監査の実践

第Ⅲ章システム監査実施上のポイント

第２部チェックポイント集

チェックポイント集について

チェックポイント集一覧表

用語解説

要点項目１情報システムの計画と管理

要点項目２情報システムリスクの管理

要点項目３情報セキュリティ

要点項目４システム開発

エグゼクティブサマリー～経営者のためのガイド～

本書の利用にあたって

第１部第１部フレームワークフレームワーク




第２部第２部チェックポイント集チェックポイント集

チェックポイント集について

チェックポイント集一覧表

用語解説

要点項目１情報システムの計画と管理

要点項目２情報システムリスクの管理

要点項目３情報セキュリティ

要点項目４システム開発

要点項目５システム運用

要点項目６システム利用

要点項目７入出力等の処理

要点項目８ネットワーク

要点項目９システム資産・資源管理

要点項目１０外部委託

要点項目１１コンティンジェンシープラン

要点項目１２ドキュメンテーション

【資料編】

資料１安全対策基準に基づくリスク分析表（例）

資料２システム監査中長期計画書（例）

資料３システム監査基本計画書（例）

資料４システム監査個別計画書（例）

資料５システム監査調書（例）

資料６システム監査報告書（例）

資料７参考文献・関連Ｗｅｂ

要点項目５システム運用

要点項目６システム利用

要点項目７入出力等の処理

要点項目８ネットワーク

要点項目９システム資産・資源管理

要点項目１０外部委託

要点項目１１コンティンジェンシープラン

要点項目１２ドキュメンテーション

【資料編】

資料１安全対策基準に基づくリスク分析表（例）

資料２システム監査中長期計画書（例）

資料３システム監査基本計画書（例）

資料４システム監査個別計画書（例）

資料５システム監査調書（例）

資料６システム監査報告書（例）

資料７参考文献・関連Ｗｅｂ

FISCシステム監査指針の構成



１金融機関等の経営からみたシステム監査の重要性

－経営トップの関与の重要性－

２システム監査の概念

３情報システムに係るコントロールとシステム監査

４システム監査の新たな対応


１実施体制の構築

２監査計画の策定

３システム監査の実施

４監査報告

５フォローアップ

６年次総括監査報告書の作成

第第ⅠⅠ章章システム監査の概念システム監査の概念

１金融機関等の経営からみたシステム監査の重要性

－経営トップの関与の重要性－

２システム監査の概念

３情報システムに係るコントロールとシステム監査

４システム監査の新たな対応

第第ⅡⅡ章章システム監査の実践システム監査の実践

１実施体制の構築

２監査計画の策定

３システム監査の実施

４監査報告

５フォローアップ

６年次総括監査報告書の作成


１システム監査の対象領域ごとのポイント

・情報システムの計画と管理

・情報システムリスクの管理

・情報セキュリティ・システム開発・システム運用

・システム利用・入出力等の処理・ネットワーク

・システム資産資源管理・外部委託

・コンティンジェンシープラン・ドキュメンテーション

・個別アプリケーション・ＥＵＣと簡易システム

２部門別システム監査のポイント

３開発プロジェクト監査のポイント

４共同利用型システム監査のポイント

第第ⅢⅢ章章システム監査実施上のポイントシステム監査実施上のポイント

１システム監査の対象領域ごとのポイント

・情報システムの計画と管理

・情報システムリスクの管理

・情報セキュリティ・システム開発・システム運用

・システム利用・入出力等の処理・ネットワーク

・システム資産資源管理・外部委託

・コンティンジェンシープラン・ドキュメンテーション

・個別アプリケーション・ＥＵＣと簡易システム

２部門別システム監査のポイント

３開発プロジェクト監査のポイント

４共同利用型システム監査のポイント

新任監査人の学習、ベテラン監査人の知

識・理論の整理を想定して記述

本編と、エグゼクティブサマリー、資料編を

抜き出し、「フレームワーク編」の冊子とし

ても提供

第１部フレームワークの構成


内部統制の定義内部統制の定義

内部統制の構成要素内部統制の構成要素

フレームワーク編P21～23

フレームワーク編P21～23

・統制環境

・リスク評価

・統制活動

・情報と伝達

・監視活動（モニタリング）

日常的監視活動・独立的評価

・統制環境

・リスク評価

・統制活動

・情報と伝達

・監視活動（モニタリング）

日常的監視活動・独立的評価

内部統制とは、以下の目的の達成に関して合理的な保証を

提供することを意図した、事業体の取締役会、経営者及び

その他の構成員によって実施される1つのプロセスである。

・業務の有効性と効率性

・財務報告の信頼性

・適用される法令の遵守性

内部統制とは、以下の目的の達成に関して合理的な保証を

提供することを意図した、事業体の取締役会、経営者及び

その他の構成員によって実施される1つのプロセスである。

・業務の有効性と効率性

・財務報告の信頼性

・適用される法令の遵守性監視

統制環境

統制活動

リスクの評価と対応

情報と伝達

情報と伝達

ITへの対応（情報システムに係るコントロール）


情報システムのコントロールと内部統制


有効性情報システムが経営方針、経営戦略の策定及び実現に対して、効果的な情報や業務処理機能を提供していること。

効率性情報システムによる情報やサービスの提供が、生産性や経済性の高い方法で行われていること。

信頼性情報システムが提供する情報やサービスが、信頼できるものであること。

安全性情報システムが災害、障害、犯罪、不正行為、その他の脅威から保護されていること。

遵守性情報システム及び関連する業務プロセスが、法令、規制、あるいは当該金融機関等の方針及び手続き等を遵守していること。

【被監査部門】・情報システムが備えていなければならない

機能要件（＝コントロール目標）

【被監査部門】・情報システムが備えていなければならない

機能要件（＝コントロール目標）

【監査部門】・システム監査を実施する場合の着眼点・立証すべき監査目標

【監査部門】・システム監査を実施する場合の着眼点・立証すべき監査目標

コントロール目標と着眼点



シ

ス

テ

ム

監

査

の

対

象

領

域

情

報

シ

ス

テ

ム

・・・情報システム部門利用部門本部各部門

３．情報セキュリティ

４．システム開発

５．システム運用

６．システム利用

７．入出力等の処理

８．ネットワーク

９．システム資産・資源管理

１０．外部委託

１１．コンティンジェンシープラン

１２．ドキュメンテーション

個別アプリケーション、EUC

１．情報システムの計画と管理

２．情報システムリスクの管理有効性有効性

効率性効率性

信頼性信頼性

遵守性遵守性

安全性安全性

対象領域対象領域

関連部門関連部門監査の着眼点監査の着眼点

システム監査実施に関する３つの視点第１部フレームワークの構成


本利有効信安遵

部用効率頼全守

各部性性性性性

部門

企画開発運用門

A.経営戦略に沿った情報システム戦略の策定

◎ ○ ◎

B.情報システム運営委員会

◎ ○ ○ ○ ○ ◎

A.情報システム部門の組織

◎ ○ ○ ◎ ○ ○ ○ ○

B.ユーザー部門等の組織体制

◎ ◎ ◎ ○ ○ ○ ○

A.情報システム中長期計画の策定

◎ ○ ◎ ○

B.情報システム短期計画の策定と実施

◎ ○ ◎ ○

A.情報システム部門における評価

◎ ○ ○ ◎ ○ ○ ○ ○

B.ユーザー部門等における評価

◎ ◎ ◎ ○ ○ ○ ○

5.最新技術の調査と研究 A.最新技術の調査と研究 ◎ ○ ○ ○ ◎ ○ ○ ○ ○

A.予算計画の策定 ◎ ○ ○ ○ ◎

B.実績管理 ◎ ○ ○ ○ ◎

システム監査の着眼点

3.情報システム計画

4.有効性評価

2.全社的な情報システム組織

小項目大項目

システム監査対象部門

情報システム部門要点項目

1.情報システムの計画と管理

1.情報システム戦略

6.投資及び予算管理

◎：主要な監査対象部門○：必要に応じて対象とすべき部門

◎：主にどのようなコントロール目標に着目したか

○：関連のあるコントロール目標

12項目 57項目 169項目

チェックポイント総数：1,101項目


関連部門関連部門

監査の着眼点監査の着眼点

対象領域対象領域


リスク

各監査項目（小項目）において、一般的に想定される主要なリスク各監査項目（小項目）において、一般的に想定される主要なリスク

コントロールコントロール


各監査項目（小項目）における、コントロールの具体的なチェック項目。実際の監査に際してはこれらのチェックポイントを参考にしながら、さらに具体的な点検項目として細分化し、また具体的な手順を明確にした監査手続を作成する必要がある。チェックポイントには、できるだけ例示を付した。

要点項目要点項目

関連資料被監査部門から入手すべき資料等を例示。全体に係る場合は「・」、特定のチェックポイントを指し示している場合は「＊番号」にて表記。

補足事項必要に応じて補足説明等を記述。全体に係る補足事項の場合は「・」、特定のチェックポイントを指し示している場合は「注番号」にて表記。

本指針における、12の要点項目名本指針における、12の要点項目名

各要点項目を、主要な監査対象に区分したもの各要点項目を、主要な監査対象に区分したもの大項目

小項目小項目各監査対象（大項目）における、具体的な監査項目を区分したもの各監査対象（大項目）における、具体的な監査項目を区分したもの

リスクに対する主要なコントロールリスクに対する主要なコントロール



リスク

・不正アクセス（無権限アクセスを含む）の発

見が遅れること。

・不正アクセス（無権限アクセスを含む）の発

見が遅れること。



1．システムや保有する情報の重要度に応じて、次のようなアクセス履歴が記録され、

一定期間保管されているか。

1）ユーザーID

2）ログイン及びログオフの日時

3）端末識別番号及び設置場所

4）操作内容及び取引内容

（次頁へつづく）

要点項目要点項目３．情報セキュリティ３．情報セキュリティ

５．アクセスコントロール５．アクセスコントロール大項目

小項目小項目Ｅ．アクセスの監視Ｅ．アクセスの監視

・システムへのアクセス状況を監視すること

・アクセス履歴を管理し、不正なアクセス等がないか分析を行うこと。

・システムへのアクセス状況を監視すること

・アクセス履歴を管理し、不正なアクセス等がないか分析を行うこと。

19

（システム監査指針P139）




（前頁からのつづき）

2．前項において、次のようなアクセスは特に注意して監視されているか。

例：

1）失敗アクセス

2）長期間使用されていないユーザーIDの再使用

3）特権的なアクセス権限を有するユーザーIDの割当てと使用状況

4）外部からの不正なネットワークアクセス等

3．重要システムについては必要に応じてアクセス履歴を分析しているか。

4．アクセス履歴等の正確性確保のため、コンピュータに内蔵されている時計は正しく

設定されているか。

関連資料・アクセス履歴一覧

補足事項・アクセス履歴の記録については、財務報告に係る経営者評価において留意すること。

20

（システム監査指針P139）



（1）各金融機関がシステム監査を実施する際の参考となる手引書

（2）自主基準ではあるが、金融機関のスタンダード・ガイドラインとして広く活用

されている

（3）金融機関等が、自社のシステム監査を計画、実施する際に考慮すべきポ

イントを記載したもの

（4）「監査指針」に書かれているチェックポイントを遵守しなければならないもの

ではない

（5）システム監査を実施する際は、チェックポイントの取捨選択や読み替えを

行って活用していただくもの

（6）全てのチェックポイントを網羅し、クリアしたからといって、情報システムリス

クの管理体制が万全であることを保証するものではない

金融機関等のシステム監査指針

FISCシステム監査指針の位置付け・利用方法


Ⅱ．『システム監査指針』発刊の背景と経緯


・昭和49年｢株式会社の監査等に関する商法の特例に関する法律｣

・昭和50年代（第2次オンラインシステム時代）に入り、金融機械化システム

が進展。オンラインシステムを利用した不祥事件等が相次いで発生。

・昭和59年金融機械化懇談会「金融機械化システムの安全対策」報告

⇒同年11月FISC設立

・昭和49年｢株式会社の監査等に関する商法の特例に関する法律｣

・昭和50年代（第2次オンラインシステム時代）に入り、金融機械化システム

が進展。オンラインシステムを利用した不祥事件等が相次いで発生。

・昭和59年金融機械化懇談会「金融機械化システムの安全対策」報告

⇒同年11月FISC設立

背景背景

・システム部門の現状から大きく乖離しないように配慮をしつつ、あるべき

姿を織り込むよう心がけられている。

・コンピュータシステムの管理運営の要点について、組織別ではなく、監査

目的や管理目標が明確になるよう要点別に記述。

・チェックポイントについては、使い易さの観点から9つの業務別にまとめて

記述。

・システム部門の現状から大きく乖離しないように配慮をしつつ、あるべき

姿を織り込むよう心がけられている。

・コンピュータシステムの管理運営の要点について、組織別ではなく、監査

目的や管理目標が明確になるよう要点別に記述。

・チェックポイントについては、使い易さの観点から9つの業務別にまとめて

記述。

内容内容

昭和62年7月発刊

チェックポイント数560項目

【初版】

①FISCシステム監査指針【初版】


昭和60年３月：システム監査の実態把握のためアンケート調査を実施

昭和60年10月：システム監査訪米調査団を結成し、米国調査を実施

（会員企業14名、FISC3名、ｺｰﾃﾞｨﾈｰﾀ1名）

－米国訪問先連邦準備制度理事会（FRB)、連邦預金保険公社（FDIC)、

連邦通貨監督官事務所（OCC)、米国金融機関検査協議会（FFIEC)

－米国金融機関検査協議会（FFIEC）作成「EDP Examination Handbook」の日本における正式窓口機関として受領翻訳許諾を受ける。（昭和61年６月「EDP検査ハンブック」として発刊）

昭和61年８月：「システム監査専門委員会（総勢27名）」と

「システム監査専門委員会作業部会（総勢15名）」を設置

昭和62年７月31日：『金融機関等のシステム監査指針』を発刊

①FISCシステム監査指針【初版】


【第2版】

平成12年7月発刊


・平成4年・6年「内部統制の総合的枠組み」（通称COSOレポート）

⇒平成9年「銀行組織における内部管理体制のためのフレームワーク」

平成10年「金融検査マニュアル」

・金融情報システムの小型・分散システム化、オープンネットワーク化

・平成4年・6年「内部統制の総合的枠組み」（通称COSOレポート）

⇒平成9年「銀行組織における内部管理体制のためのフレームワーク」

平成10年「金融検査マニュアル」

・金融情報システムの小型・分散システム化、オープンネットワーク化

背景背景

・情報システムに関して、自社を取り巻く脅威を認識し、そのリスクに対して

コントロールはどうあるべきかをチェックポイントとして取り上げる。

・システム監査計画の立案から実施、報告およびそのフォローアップまでの

一連の流れをより実践的に解説。

・経営者、被監査部門の共通理解の為に「エグゼクティブサマリー」を作成。

・システム監査の対象領域を、小型・分散化、EUCや外部委託形態の多様

化等IT環境変化を加味し、13の要点項目に分類しチェックポイントを作成。

・情報システムに関して、自社を取り巻く脅威を認識し、そのリスクに対して

コントロールはどうあるべきかをチェックポイントとして取り上げる。

・システム監査計画の立案から実施、報告およびそのフォローアップまでの

一連の流れをより実践的に解説。

・経営者、被監査部門の共通理解の為に「エグゼクティブサマリー」を作成。

・システム監査の対象領域を、小型・分散化、EUCや外部委託形態の多様

化等IT環境変化を加味し、13の要点項目に分類しチェックポイントを作成。

内容内容

②FISCシステム監査指針【第2版】


金融機関等のシステム監査指針第２版平成12年7月発刊金融機関等のシステム監査指針第２版平成12年7月発刊

金融機関等のシステム監査指針第２版構成

システム監査指針の使い方

第１部エグゼクティブサマリー

第２部フレームワーク

第３部チェックポイント集

１．情報システムの計画と管理（39項目）８．ＥＵＣ（34項目）

２．情報システムリスクの管理（18項目）９．ネットワーク（35項目）

３．情報セキュリティ（122項目）１０．システム資産・資源管理（26項目）

４．システム開発（225項目）１１．外部委託（35項目）

５．システム運用（141項目）１２．コンティンジェンシープラン（116項目）

６．システム利用（111項目）１３．ドキュメンテーション（37項目）

７．入出力等の処理（83項目）

付録内部統制の考え方

金融機関等のシステム監査指針第２版構成

システム監査指針の使い方

第１部エグゼクティブサマリー

第２部フレームワーク

第３部チェックポイント集

１．情報システムの計画と管理（39項目）８．ＥＵＣ（34項目）

２．情報システムリスクの管理（18項目）９．ネットワーク（35項目）

３．情報セキュリティ（122項目）１０．システム資産・資源管理（26項目）

４．システム開発（225項目）１１．外部委託（35項目）

５．システム運用（141項目）１２．コンティンジェンシープラン（116項目）

６．システム利用（111項目）１３．ドキュメンテーション（37項目）

７．入出力等の処理（83項目）

付録内部統制の考え方

当時の状況平成４年ＣＯＳＯレポート平成10年銀行組織における内部管理のフレームワーク

（バーゼル銀行監督委員会）平成11年金融検査マニュアル（金融監督庁）

リスクとコントロールの概念を導入



システム監査指針第3版

○金融機関等コンピュータシステムの安全対策基準・解説書（第７版）（第5版、第6版、6版追補、6版追補2）

○金融機関等におけるコンティンジェンシープラン策定のための手引書（第３版）

システム監査指針第2版

○法律・制度変更への対応個人情報保護法、預金者保護法、金融商品取引法等

○技術・社会情勢の変化への対応オープン系システムの普及、外部委託業務の多様化、金融庁・経済産業省等のマニュアル、ガイドラインの公表等

○事件・犯罪への対応大規模システム障害、偽造・盗難カード犯罪、インターネット取引犯罪等

平成12年平成12年平成19年平成19年



【第3版】

平成19年3月発刊


・平成17年「個人情報保護法」、平成18年「預金者保護法」等

・大規模システム障害、偽造・盗難キャッシュカード、ネット取引犯罪

・オープンネットワークの進展、外部委託・共同センター利用の拡大

・平成17年「個人情報保護法」、平成18年「預金者保護法」等

・大規模システム障害、偽造・盗難キャッシュカード、ネット取引犯罪

・オープンネットワークの進展、外部委託・共同センター利用の拡大

背景背景

・システム監査指針が「COSOレポート」をベースにした依然有効な枠組み

であったため、全体構成等の大幅な見直しは行わないものの、環境の

変化に合わせて内容を見直し。

・コーポレートガバナンスやITガバナンスに対応し、経営に対するシステム

監査の重要性、特に経営トップの関与の重要性を強調。

・システム構成の変化を意識し、共同利用型システムの監査等の留意点

について解説。

・他の項目と重複するため、EUCの要点項目を廃止し、12の要点項目で

チェックポイントを整理。

・システム監査指針が「COSOレポート」をベースにした依然有効な枠組み

であったため、全体構成等の大幅な見直しは行わないものの、環境の

変化に合わせて内容を見直し。

・コーポレートガバナンスやITガバナンスに対応し、経営に対するシステム

監査の重要性、特に経営トップの関与の重要性を強調。

・システム構成の変化を意識し、共同利用型システムの監査等の留意点

について解説。

・他の項目と重複するため、EUCの要点項目を廃止し、12の要点項目で

チェックポイントを整理。

内容内容

③FISCシステム監査指針【第3版】


金融機関等のシステム監査指針第３版平成19年３月発刊金融機関等のシステム監査指針第３版平成19年３月発刊

チェックポイントは１１０１項目（第ニ版 1022項目）＜基本精神＞

・金融情報システムが経営や金融サービス提供の基幹インフラとなっており、その信頼性を確保しつつ安定的な運用を図ることは最高の経営課題であることの認識に立ち、課題実現のためには情報システムに起こり得るリスクを的確に把握・管理する全社的システムを構築・運用することが不可欠であるが、これを現実に担保するのが経営トップに直結したシステム監査である。

・法制度の変更、ATM取引やインターネットバンキング等の不正取引への対応、外部委託や共同センター利用の進展等の金融機関の情報システムの運営をめぐる変化への対応等について、最新動向を踏まえ監査項目とした。

・経営陣が責任を持つITガバナンスやCOSO-ERM等の最新の考え方をシステム監査のフレームワークとした。

・「個人情報保護法」の全面施行（平成17年4月）、「金融商品取引法」成立によるJ-SOXの導入（平成18年6月）等の法制面の展開。

・経営統合による大規模システム障害や情報技術を悪用した新しいタイプの犯罪事例等、対応を要する事象も発生。こうした状況下、金融庁は金融機関に対してシステムリスク管理を重要視し、執行部門からの独立し経営陣に直結したシステム監査態勢の整備を要請。

①時代背景

②改訂内容

フレームワーク編とエグゼクティブサマリーも発刊

③FISCシステム監査指針【第3版】


FISCシステム監査指針改訂のプロセス

検討部会

検討方針案策定

検討方針承認

システム監査専門委員会

改訂案審議・承認

システム監査専門委員会

【改訂までの流れ】

改訂改訂改訂

改訂原案検討・作成

ＦＩＳＣ会員企業の代表者や有識者から構成されるシステム監査専門委員会と検討部会が検討・審議。（非常設機関）

＜第３版専門委員会、検討部会メンバー＞日本銀行、都銀、地銀、第二地銀、信託銀行、信金中金、

全信協、労金連、農林中金、商工中金、生保、損保、証券、クレジットカード

コンピュータメーカー、システムインテグレータ大学教授、研究者金融庁（オブザーバー）

ＦＩＳＣ会員企業の代表者や有識者から構成されるシステム監査専門委員会と検討部会が検討・審議。（非常設機関）

＜第３版専門委員会、検討部会メンバー＞日本銀行、都銀、地銀、第二地銀、信託銀行、信金中金、

全信協、労金連、農林中金、商工中金、生保、損保、証券、クレジットカード

コンピュータメーカー、システムインテグレータ大学教授、研究者金融庁（オブザーバー）

第３版検討部会《検討期間》平成18年７月～19年１月《検討部会》７回開催

環境変化環境変化／／諸課題諸課題

【構成メンバー】


Ⅲ．『システム監査指針』を取巻く現状と動向


金融機関等

各種ガイドラインの改訂

大規模システム障害

スマートフォン

サイバー犯罪の増加

安全対策基準第8版の刊行

外部委託管理（クラウドサービス）

東日本大震災

情報システム

新型インフルエンザ

FISCシステム監査指針を取巻く動向【国内】

33Ⓒ2012 FISC All rights reservedⒸ2012 FISC All rights reserved

17の原則

Control Environment（統制環境）について１．組織は健全性と倫理的価値への関与を実践すること２．取締役会は内部統制機能の開発とパフォーマンス向上を監視すること３．管理者は取締役会監視の下、権限及び責任体制を樹立すること４．個人能力の向上に関与すること５．内部統制の説明責任を確立すること

Risk Assessment（リスクアセスメント）について６．リスクの識別とアセスメントを可能にするため、妥当な目的を指定すること７．リスクを識別し、分析すること８．不正リスクを評価すること９．著しい変化を識別し、分析すること

Control Activities（統制活動）について10．リスク削減に寄与するコントロール活動を選び、向上させること11．ITテクノロジーに関しての一般的なコントロールを選び、開発すること12．統制方針と統制手続を通してコントロールを配備すること

Information and Communication（情報と伝達）について13．内部統制に関連する情報を使うこと14．内部のコミュニケーションを図ること15．外部へのコミュニケーションを図ること

Monitoring（モニタリング）16．内部統制は有効かどうか確認するため、進行中かつ（または）個別の

評価を実行すること17．内部統制不足を自ら評価し、伝達すること（出所）COSOホームページ http://www.coso.org/

内部統制フレームワーク

FISCシステム監査指針を取巻く動向【国外】

http://www.coso.org/


Ⅳ．『システム監査指針』改訂に向けたヒアリング調査の実施


１、前回の改訂から5年が経過し、その間安全対策基準第8版の刊行、東日本大震災の発生、クラウド等外部委託の多様化などの状況が生じている。

２、そのため、各金融機関においてシステム監査指針の改訂の必要性を感じているのか確認していくために、個別にヒアリングを行い、忌憚ない意見を吸収したい。

ヒアリング調査について

平成21年度に実施した個別ヒアリングの対象先を元に、「システム監査指針」を頻繁に利用していると考えられる地域金融機関の会員、システム監査セミナーの参加会員やシステム監査普及連絡協議会に積極的に参加している会員等に対して実施。

ヒアリング結果をもとに、今後のシステム監査指針の改訂是非を検討するとともに、把握した内容で会員企業に有益と思われる情報は、機関誌などで情報を提供。

調査の主旨調査の主旨

調査の対象調査の対象

調査の結果調査の結果


ヒアリング調査訪問箇所一覧

1社共同センター

2社ITベンダー

2社証券

8社信用金庫

18社地方銀行

計31社

＜第１フェーズ＞平成23年6月～9月 23先（１）地方銀行、信用金庫、ITベンダーを中心に、システム監査指針の

利用頻度が高い業態を考慮して選定。（２）前回のヒアリング調査に協力頂いた地域金融機関、

セミナー参加金融機関等

＜第２フェーズ＞平成23年11月～12月 8先（１）東北の地域金融機関より選定。（２）安対アンケート結果から調査対象を選定（３）その他第1フェーズで訪問未済先等

36


ヒアリング質問項目について

FISC『金融機関等のシステム監査指針(第３版)』は刊行から４年が経過していますが、次回改訂で考慮すべき状況の変化がありますでしょうか？想定されている変化をお聞かせ下さい。

２、システム監査指針の改訂について

貴行（社）において、最近システム監査に関し何か大きな状況の変化があればお教え下さい。６、その他

システム監査指針の改訂が行われるとしたら、貴社（行）では具体的にどのような影響が出るでしょうか？

５、移行の影響について

近年、外部委託（クラウドサービスを含む）の活用が話題となっていますが、『システム監査指針』は外部委託を管理する上で参考になりますでしょうか？

４、外部委託について

FISC『金融機関等のシステム監査指針(第３版)』第２部では、システム監査の対象領域ごとに、チェックポイントを例示していますが、現在のチェックポイントで不足していると感じる対象領域は何ですか？

FISC『金融機関等のシステム監査指針(第３版)』第２部のチェックポイント集にご要望はありますか？ご要望がある場合は、どのような点についてですか？

システム監査のチェックポイントは、PDCAサイクルによる見直しをどのくらいの頻度で行っていますか？

チェックポイント集はどのように利用していますか？

FISC『金融機関等のシステム監査指針(第３版)』第２部のチェックポイント集を利用していますか？

３、チェックポイント集について

金融庁の各種「金融検査マニュアル」及び FISCの各種ガイドライン（『金融機関等のシステム監査指針(第３版)』、『金融機関等コンピュータシステムの安全対策基準・解説書(第８版)』、『金融機関等におけるコンティンジェンシープラン策定のための手引書(第３版)』等）以外で、システム監査の基準としているものは何ですか？

１、システム監査の基準について

質問項目


金融庁の各種「金融検査マニュアル」及び FISCの各種ガイドライン（『金融機関等のシステム監査指針(第３版)』、『金融機関等コンピュータシステムの安全対策基準・解説書(第８版)』、『金融機関等におけるコンティンジェンシープラン策定のための手引書(第３版)』等）以外で、システム監査の基準としているものは何ですか？

① FISCシステム監査指針

28%

② FSA金融庁検査マニュ

アル19%

③ METIシステム管理基準、監督基準

3%

④ ISACAまたはCOBIT

3%

⑤ ①と②6%

⑥ ②と③と④9%

⑦ 独自に作成32%

・『システム監査指針』は、広く金融機関等で使用されていた。

・他に監査の基準となるものでは、金融庁の「金融検査マニュアル」、経済産業省の「システム管理基準」等があった。また、独自に基準を定めているという回答もあった。

システム監査の基準


FISC『金融機関等のシステム監査指針(第３版)』は刊行から４年が経過していますが、次回改訂で考慮すべき状況の

変化がありますでしょうか？想定されている変化をお聞かせ下さい。

① 安全対策基準第８版刊行

18%

② 東日本大震災29%

③ 外部委託サービスの多様化

22%

④ 法制度の改正7%

⑤ 大規模システム障害7%

⑥ ITガバナンスの変化3%

⑦ オフショア開発の進展

2%

⑧ その他10%

⑨ 特にない2%

・システム監査指針改訂の際に考慮に入れて欲しい状況の変化として、主に東日本大震災の影響、大規模なシステム障害、外部委託の多様化（クラウドサービスを含む）、『安全対策基準（第８版）』等があった。

改訂の要因



FISC『金融機関等のシステム監査指針(第３版)』第２部のチェックポイント集を利用していますか？

① 利用している91%

② 利用していない9%

・『システム監査指針』のチェックポイント集は

広く利用されていた。

チェックポイント集の利用


チェックポイント集はどのように利用していますか？

① そのまま使用3%

② 取捨選択54%

③ 取捨選択し内容変更33%

④ その他10%

・チェックポイント集の利用方法では、そのまま使用しているという回答は少なく、取捨選択して使用している、または取捨選択した上で内容を変更して使用しているという回答が多かった。

チェックポイント集利用方法


システム監査のチェックポイントは、PDCAサイクルによる見直しをどのくらいの頻度で行っていますか？

① 都度57%

② １年毎13%

③ ２年毎3%

④ ①および②10%

⑤ していない17%

・システム監査チェックポイント（監査実施の際のチェックリスト等）の見直しでは、監査の都度、被監査部門の業務内容に合わせ項目を見直しているとの回答や、法改正や状況の変化に合わせて、１～２年毎に定期的に見直しを行っているとの回答が多かった。

システム監査チェック項目見直しの頻度


FISC『金融機関等のシステム監査指針(第３版)』第２部のチェックポイント集にご要望はありますか？ご要望がある場

合は、どのような点についてですか？

① 網羅性の確保9%

② 重要度（優先順位）がない20%

③ 各基準へのリンクがない16%

④ システム事故・障害事例を反映する

4%

⑤ 最新の動向（外部委託・技術）を反映する

22%

⑥ 構成が悪い（分冊化）

7%

⑦ 代替コントロールの例示2%

⑧ リスクとコントロールの関連付けなし

2%

⑨ 業態別にチェックポイントを表示2%

⑩ 有効性・実効性の確認手段がない

2%

⑪ その他9%

⑫ 現状で十分5%

・チェックポイントの内容重要度他のガイドラインとのリンクタイムリーな見直し最近の事故・障害事例

からの教訓

・チェックポイント集の体裁携帯化や分冊化

43

チェックポイント集の要望


①

②

③


FISC『金融機関等のシステム監査指針(第３版)』第２部では、システム監査の対象領域ごとに、チェックポイントを例示

していますが、現在のチェックポイントで不足していると感じる対象領域は何ですか？

① 情報システムのリスクの管理4%

② 情報セキュリティ17%

③ システム開発7%

④ システム運用4%

⑤ ネットワーク10%

⑥ システム資産・資源管理7%

⑦ 外部委託28%

⑧ コンテンジェンシープラン4%

⑨ ＥＵＣを追加4%

⑩ システム変更・移行を追加

11%

⑪ システム廃止を追加4%

・不足を感じている対象領域外部委託（クラウド含む）

共同利用型センター情報セキュリティシステム変更・移行・廃棄ネットワーク

44

不足を感じている対象領域



近年、外部委託（クラウドサービスを含む）の活用が話題となっていますが、『システム監査指針』は外部委託を管理する上で参考になりますでしょうか？

① 非常に参考になる

10%

② 参考になる34%

③ あまり参考にならない56%

④ 全く参考にならない0%

・外部委託について外部委託の形態、例えば共同利用型サービスやクラウドサービスによって分類されておらず対応が必要・・

外部委託の導入・運用から廃棄までの流れでチェックポイントが示されていればわかりやすい・・

等

外部委託のチェックポイントは


システム監査指針の改訂が行われるとしたら、貴社（行）では具体的にどのような影響が出るでしょうか？

① 監査チェックリストの再作成

36%

② 要員の再教育5%

③ 被監査部門への周知徹底

5%

⑤ 経営層への説明3%

⑥ その他13%

⑦ 改訂の影響はない38%

・『システム監査指針』の改訂に伴う影響については、大きな影響は無いとの回答が多かった。

システム監査指針改訂の影響


貴行（社）において、最近システム監査に関し何か大きな状況の変化があればお教え下さい。

① システム移行

11%

② 業務高度化への対応8%

③ 大規模システム障害

8%

④ 東日本大震災に伴うＢＣＰの見直し

19%⑤ 実効性のある監査への

取組み

6%

⑥ システム監査担当者の

育成11%

⑦ 外部委託先の管理

17%

⑧ 携帯型情報端末の導入

6%

⑨ その他14%

47

懸念する事項


①

②

③


Ⅵ．システム監査指針改訂に向けて


FISCシステム監査指針の改訂に向けて

１、全体の構成について

（１）目次構成・エグゼクティブサマリー＋フレームワーク（第１部）＋チェックポイント集（第２部）

⇒この目次構成に変更を求める声は聞かれなかった。

（２）装丁・分冊化（別冊）、バインダー形式、コンパクト化の要望

⇒第２版ではバインダー形式であったが不評システム監査の現場でどのように使用されるかは各金融機関等によって相違利用者の意見が一致する解答を見出すのが難しい問題。

（３）リンク付け・『FISCガイドライン検索システム』（Ver.5）の使用を想定

・システム監査指針より安全対策基準（第８版）以外のリンクを付与してほしい⇒上記システムの更改時、システムの要件や安全対策基準等の改訂も

視野に入れ、必要であれば開発を進める必要がある。

（４）用語解説・内容が陳腐化し、現状に合わない

⇒用語解説の改訂が記載内容の陳腐化に追いつかない懸念あり。記載する用語をシステム監査の基本用語に限定する等の対応が必要。


２、フレームワーク編について

（２）考慮すべき改訂要因・COSOの改訂（「17の原則」の追加）・JIS化されたISO19011:2011(監査国際基準)・バーゼルⅢの影響・フレームワーク編とチェックポイント集の関連説明

等⇒影響調査の上、必要性があれば追記等の措置が必要。

（１）経緯・システム監査指針（第３版）改訂の際、大幅な見直しを実施

⇒内容が大変参考になるという意見も多い。



リスク

各監査項目（小項目）において、一般的に想定される主要なリスク

各監査項目（小項目）において、一般的に想定される主要なリスク



各監査項目（小項目）における、コントロールの具体的なチェック項目。実際の監査に際してはこれらのチェックポイントを参考にしながら、さらに具体的な点検項目として細分化し、また具体的な手順を明確にした監査手続を作成する必要がある。チェックポイントには、できるだけ例示を付した。

要点項目要点項目

関連資料被監査部門から入手すべき資料等を例示。全体に係る場合は「・」、特定のチェックポイントを指し示している場合は「＊番号」にて表記。

補足事項必要に応じて補足説明等を記述。全体に係る補足事項の場合は「・」、特定のチェックポイントを指し示している場合は「注番号」にて表記。

本指針における、12の要点項目名本指針における、12の要点項目名

各要点項目を、主要な監査対象に区分したもの各要点項目を、主要な監査対象に区分したもの大項目

小項目小項目各監査対象（大項目）における、具体的な監査項目を区分したもの各監査対象（大項目）における、具体的な監査項目を区分したもの

リスクに対する主要なコントロールリスクに対する主要なコントロール

３、チェックポイント集について

（１）考慮すべき改訂要因・安全対策基準第８版の刊行・東日本大震災・外部委託（クラウド等）の対応等

⇒影響調査の上、必要性があれば追加等の措置が必要。

（２）リスク・リスクの見直し

⇒現状に合わせ、改めてリスクを見直す必要あり。（重要）

（３）コントロール・コントロールの代替案記載

⇒各金融機関等で実情に合わせ考える必要があるのではないか？

（４）チェックポイント・網羅性の確保

⇒改訂の際に網羅性を高める必要がある。・重要度付け

⇒各金融機関等の利便性からも、今後考慮が必要。

（５）関連付け・「リスク」、「コントロール」、「チェックポイント」の関連

⇒各金融機関等の利便性からも、関連について今後考慮が必要。



ＦＩＳＣ監査安全部市川

ＴＥＬ：０３－５５４２－６０７３

E-mail：[email protected]

ご清聴ありがとうございました。

mailto:[email protected]

Documents

『システム監査指針』（第3版） 改訂に向けたヒア …2012FISCAllrights reserved 『システム監査指針』（第3版） 改訂に向けたヒアリング結果について

『システム監査指針』（第3版）改訂に向けたヒア …2012FISCAllrights reserved 『システム監査指針』（第3版）改訂に向けたヒアリング結果について