✡️ 🦑 📗 情報技術を監査するための主要な国際標準とベストプラクティス 🐰 👴🏻 🐞

前世紀の60年代に、商業部門での会計のための情報システムの導入が始まり、ITの分野での新しい専門職、つまりIT監査人が出現しました。すぐに、IT監査人の最初の専門家協会が設立されました。その目標は、IT監査を実施するための標準とベストプラクティスを開発することでした。

それ以来、IT監査の専門職の重要性は大幅に高まっています。今日、IT統制の監査はすべての独立した財務監査の必須部分であり、IT監査サービスは市場で需要があり、大企業はITプロセスを定期的に監視し、改善に役立つ独自のIT監査ユニットを持っています。同時に、確立された標準とベストプラクティスに従うことが、最適な方法で高品質の監査を実施するための前提条件です。

この記事の目的は、さまざまな種類の情報技術監査を実施する際に使用される、IT監査の分野における主要な関連標準およびガイドラインを提示することです。この記事は、IT監査と情報セキュリティの分野でキャリアを開始する専門家を対象としています。この記事は、既存のIT監査標準に精通したいと考えている財務/内部監査人にとっても興味深いものです。

この記事では、国際機関ISACA 、内部監査機関（IIA）、 ISO / IEC 、 IAASB（国際監査および保証基準委員会）、 PCAOBなどによって開発された標準およびガイドラインについて説明します。各標準について、その構造と機能使用します。

1.「IT Audit Framework 2nd Edition」（ITAF）-組織ISACAからIT監査を実施するための国際標準

最新版は2013年7月にリリースされました。この規格の対象読者は、IT監査の分野の専門家です。この規格は、情報システムとITインフラストラクチャの正式な監査の実施に使用することを目的としています。

標準では以下を定義しています：

•IT監査の分野の専門家に固有の基本的な用語と概念。

•情報システムの監査を実施する専門家のスキルと知識の最小要件。

•情報システムの監査を実施し、監査レポートを作成する主要な段階。

•情報システムを監査するための作業基準、作業プログラム、およびツールをサポートするガイドラインのリスト。

ITAFは、情報システムの個別監査の実施と、財務および業務監査の一環として情報システムの監査の実施の両方に適用できる標準として開発されました。

ITAF標準は3つの部分で構成されています。

1.一般基準-情報システムの監査の分野の専門家向けのガイドラインが含まれます。独立性、客観性、職業倫理の維持、知識、能力、スキルの維持です。

2.監査を実施するための基準-監査の計画と管理の実践、監査の一環としての作業範囲の決定、リスクと重要性の境界の管理、リソースの動員、プロジェクト管理、監査証拠の収集と保存、専門家の評価方法の使用を含む。

3.レポート標準-レポートの種類、レポートツール、および表示される情報の種類の説明が含まれます。

ISACAは、標準の各部分について、説明されている監査手順の実施をサポートするガイドライン、作業プログラム、および指示を開発しました。ガイド、作業プログラム、および手順は、協会の公式ウェブサイトで入手できます。

執筆時点では、ITAF標準はIT監査員にとって最も包括的な情報源であり、ITシステムおよびITプロセスの監査のすべての段階を記述しています。

2.「Cobit 5 for Assurance」-COBIT v.5に準拠した監査ガイダンス

マニュアルの最新版は、2013年7月にISACAによって発行されました。このマニュアルは、 COBIT 5ベストプラクティスコレクションに従って情報システムの監査を実施する際に、IT監査、ITリスク、およびIT管理の分野の専門家が使用することを目的としています。 COBITのベストプラクティスコレクションの以前のバージョン（v。4.1）は2007年にリリースされ、現在、プロの環境で広く使用されています¹ 。

保証のためのコビット5：

•COBIT 5を使用して企業の内部IT監査機能を整理および維持するための詳細なガイダンスを提供します。

•COBIT 5に記載されているプロセスと要因（*イネーブラー）に従ってIT監査を実施するための構造化されたアプローチが含まれています。

•IT監査の実施にCOBIT 5を使用する特定の例を示します。

ITAFと比較して、Cobit 5 for Assurance Managementは、監査手順の形式化の程度が低く、ベストプラクティスに従ってITプロセスを編成することに関連する問題をより広範囲にカバーしています。

3.「内部監査基準のための国際専門家実践フレームワーク（IPPF）」

内部監査人協会（IIA）による内部監査の国際基準。現在のエディションは2013年にリリースされました。標準の対象読者は内部監査スタッフです。

この規格の目的は以下を決定することです：

•内部監査の基本原則。

•内部監査慣行の標準セット。

•内部監査手順の有効性を評価するための基本的な指標。

この標準はIT監査標準として開発されたものではありませんが、内部財務および運用監査の実施と情報技術の内部監査の実施の両方に使用できる普遍的な原則とアプローチを定義しています。

IT監査の実施に関する規格の方法論的サポートのために、IIAはITリスクの評価（ITリスクの評価のガイド）および情報技術の監査（グローバルテクノロジー監査ガイド）の詳細なガイドラインを開発しました。

ITリスク評価ガイド（GAIT）は、ビジネスリスク、ビジネスプロセスに組み込まれた主要なコントロール、自動化されたコントロール、重要なIT機能、およびIT一般コントロール^{2の関係を説明してい}ます。

GAITガイドには、次の出版物が含まれています。

1）GAIT方法論（GAIT方法論）-サーベンス・オクスリー法のセクション404に準拠するために必要な内部統制システムの管理の評価の一部として、一般的なIT統制の定義と評価に対するリスクベースのアプローチを説明します。

2）IT一般統制欠陥評価（GAIT）のためのGAIT-サーベンス・オクスリー法404適合性評価の一部として特定された一般IT統制欠陥の重要性と重要性を決定するアプローチについて説明します。

3）ビジネスおよびITリスク評価のためのGAIT（ビジネスおよびITリスクのためのGAIT）-組織のビジネス目標および目標を達成するために重要な主要なITコントロールを識別する手順を説明します。

情報技術監査ガイドであるGlobal Technology Audit Guide（GATG）は、情報システムの監査に使用されるプロセス、手順、および手法を説明する15の出版物で構成されています。

1. ITのリスクと管理（情報技術のリスクと管理）

2.変更を行ってITシステムを更新するプロセスのコントロール（変更およびパッチ管理コントロール）

3.継続監査のプロセス（継続監査）

4. IT監査プロセスの管理（IT監査の管理）

5. ITアウトソーシング（情報技術アウトソーシング）

6.自動化されたコントロールの監査（アプリケーションコントロールの監査）

7. IDおよびアクセス管理

8.ビジネス継続性管理

9. IT監査計画の作成

10. ITプロジェクトの監査（ITプロジェクトの監査）

11. ITテクノロジーの使用に関連する不正の検出と防止（自動化された世界での不正防止と検出）

12.ユーザー開発アプリケーションの監査

13.情報セキュリティガバナンス

14.情報分析技術（データ分析技術）

15. ITガバナンスの監査

これらの標準の詳細とビジネス指向は、その強みです。それにもかかわらず、標準およびサポートガイドラインは、ITの深いバックグラウンドを持たない専門家が使用するために作成されているため、使用される用語はIT監査を実施する技術的側面を必ずしも正確に説明しません。また、いくつかのマニュアルは数年間更新されていません。

4.国際規格「ISAE No. 3402「および」SSAE No. 16 "

「ISAE No. 3402「国際会計士連盟（IFAC、国際会計士連盟）の一部である国際組織IAASB（国際監査および保証基準委員会）によって開発された監査サービス組織の国際基準。

標準「SSAE No. 米国公認会計士協会（AICPA）により発行された16”（旧SAS 70）は、国際規格ISAE No.3402のアメリカ版に適合したものです。

ISAE番号の目的 3402」は、信頼できる財務諸表の作成という観点から、サービス組織の内部統制システムの有効性を評価するための統一されたアプローチの提供です。規格によれば、評価中にIT管理の有効性の検証が必要です。

標準「ISAE No. 3402」、承認された監査組織は、内部統制システムの有効性に関する正式な監査報告書を発行する場合があります。これらの調査結果は、2回目の監査を必要とせずに、第三者が利用できる場合があります。

サービス組織の内部統制システムで十分なレベルの信頼/信頼を得るには：

1）サービス組織は、ITの側面を含め、監査対象期間の内部統制システムの構造を明確に記述する必要があります。

2）組織の内部統制システムの説明における統制目標に関連する統制は、リスク（財務、運用、ITなど）を適切にカバーするのに十分な方法でモデル化（計画）する必要があります。

3）組織の内部統制システムの説明に示された統制目標が監査期間に達成されたという十分なレベルの信頼を確保するために、統制は監査の範囲に含まれ、効率的に実施されるべきである

この標準への準拠の監査は、米国とヨーロッパでは非常に一般的ですが、ロシアではまだ広く使用されていません。

5. PCAOB監査基準番号 5「財務諸表の監査と統合された財務報告に関する内部統制の監査」

この標準の最新版は、2007年に公開会社会計監視委員会（PCAOB）によって開発および発行されました。

公開会社会計監視委員会（PCAOB）は、独立監査意見を作成する投資家の利益を保護するために、米国取引所に上場している企業の監査を監視する非営利組織として2002年にSarbanes-Oxleyによって作成されました。 PCAOBの創設により、Sarbanes-Oxley Actは歴史上初めて、民間監査会社に独立した監視を義務付けました。これに先立ち、米国の監査人の職業は自主規制でした。

監査標準PCAOB番号 5「財務諸表の監査と統合された財務報告の内部統制の監査」は、外部財務監査を実施する際に必須の監査手順の範囲にITプロセスとITシステムのチェックを含めるための要件を定義します。

基準によれば、財務諸表の作成に関連する統制の監査を実施する場合、監査人は、使用されている情報システムと技術が財務諸表の作成プロセスにどのように影響するかを理解する必要があります。監査人は、どの制御が手動で実行され、どの制御が情報システムのレベルで実装されているかを理解する必要があります-自動制御、自動制御の効果的な運用に重要な一般的なIT制御の実行方法を含む。情報システムで処理される財務情報の歪みのリスクを評価する際には、この情報を考慮する必要があります。

6.「ISO / IEC 27007：情報セキュリティ管理システム管理のガイドライン」および「ISO / IEC TR 27008：情報セキュリティ管理システム管理のガイドライン」

2011年に国際組織ISO / IECによって公開された標準。

標準の対象読者は、情報セキュリティおよびIT監査計画の分野の専門家であり、ISO27001およびISO27002の要件に準拠するためのコンプライアンス監査を実施します。

規格の目的は、監査対象の組織/部門がISO / IEC 27001およびISO / IEC 27002で定められた要件に準拠しているかどうかを評価することです。

標準には、監査の次の側面の説明が含まれています。

1.監査管理（監査範囲の決定、監査チームの編成、監査リスクの管理、監査証拠の保管、監査プロセスの改善）。

2.直接監査（計画、実施、サンプリングと分析を含む主要な活動、報告、および実装のその後の監視）。

3.監査チームの管理（能力とスキルの維持、チームメンバーの評価）。

これらの標準の欠点は、リスク評価の欠如と、監査の計画と実施における管理の優先順位付けです。ただし、この規格は、ISO / IEC 27001およびISO / IEC 27002に準拠するためのコンプライアンス監査の準備に便利です。

IT監査の実施に使用できるその他の標準とガイドライン

場合によっては、IT監査を実施する際に、直接的な監査標準ではない国際標準とベストプラクティスを使用できますが、ITプロセスの成熟度と有効性のレベルを評価するには便利です。

そのような標準の例：

1. ISO 20000-ITサービスの管理と保守のための国際標準。

2. ITIL（IT Infrastructure Library）-ITサービスの提供に関与する部門または企業の作業を整理するための最良の実用的な方法を記述するライブラリ。

3. PCI DSSは、国際決済システムVisa、MasterCard、American Express、JCB、およびDiscoverによって確立された、決済カード業界のデータセキュリティ標準です。

4.情報セキュリティに関するNIST 800-xxシリーズの出版物。

5.情報セキュリティのISFグッドプラクティス標準-国際機関の情報セキュリティフォーラム（ISF）からの情報セキュリティリスクを管理するためのビジネス指向の実践ガイド。

_（1） _{ISACAの観点からは廃止されているため、この記事ではCobit 4.1を取り上げていません。}

_（2） _{一般的なIT管理-システム開発、修正、セキュリティなど、ITプロセスおよびサービスに含まれる一般的な管理手段。一般的なIT管理の目的は、アプリケーションの信頼性のある開発と実装を確保し、アプリケーションと情報の整合性とセキュリティを確保することです。自動操作も同様です。}

情報技術を監査するための主要な国際標準とベストプラクティス