今日、各企業においては、激しい競争を勝ち抜くため益々積極的に情報システム（IT）を活用していかなければ、ビジネス戦略の実現やビジネスプロセスの遂行は成り立たなくなってきています。その一方で、ITへの依存度が高まることによる、大規模なトラブルや情報漏洩が、企業に多大な損失を与えるとともに、場合によっては、事業の存続を危うくするようなケースも発生しています。そうした背景を踏まえ、各企業はシステムリスクや情報リスクの管理についても適切に行わなければ厳しい競争に勝てない時代になってきました。また、顧客、取引先、株主等の利害関係者、ならびに監督官庁からも情報システムの安全性、信頼性、効率性について厳しい目を向けられるようになってきており、適切なシステムリスクや情報リスクの管理並びに効率的なIT投資が行えない企業は、取引や投資の相手にしてもらえないばかりか、監督官庁から市場からの退場を要求される事態になりかねない時代になってきました。こうした背景を踏まえ、内部の監査部門や第三者による客観的な監査の重要性が広く認識されるようになっており、UFJISは既に多くの企業のシステム監査や内部監査部門の支援を実施してきています。

■高度で実践的なシステム監査サービスの提供

システム監査及び内部監査に関わる監査項目、監査技術、監査手法等は情報システムの進展に伴って益々複雑かつ専門的になってきています。UFJISではこのような環境を踏まえて次のような取組みをしており、最新レベルかつ実践的な監査サービスを提供いたします。 1. 最高レベルの情報収集 金融情報システムセンター（FISC）、情報システムコントロール協会、金融庁等から継続的に情報を収集しております。 2. 三菱東京UFJ銀行の情報を活用した実践的な監査の実施 内外の基準・指針をチェックポイントに、実際の金融検査での指摘事項などを踏まえて点検いたします。 3. 経験豊富な人材による監査の実施 金融機関のシステム監査経験の豊富な人材によるシステム監査を実施いたします。

■システム監査サービスの形態・種類

システム監査サービスにつきましては、必要とされる監査の形態・種類に応じてご提供させていただきます。

■システム監査の対象

システム監査にあたっては、FISCの金融機関等コンピュータシステムの安全対策基準を参照の上、監査を行います。その際、経済産業省の情報セキュリティ管理基準も併せて参照いたします。監査項目はFISCのシステム監査指針を参考にいたします。 1. 設備基準（137項目） 建物、部屋、内装、外装、各種配線、防犯設備、防災設備、照明設備、空調設備、電気設備、監視設備、通信設備等の仕様に関する基準 〜コンピューターセンター、サーバー室、端末等設置の本部支店、通信機器室 等 2. 技術基準（51項目） ハードウエア、ネットワーク、ソフトウエアの構成、機能、仕様に関する基準 〜データの正確性、完全性、プログラムの信頼性、システムの可用性、不正使用、漏洩、改竄、等に対する安全性障害等の監視、警報、原因調査、対策、回復機能等の妥当性、運用の容易性、災害に対する用意の合理性 等 3. 運用基準（107項目） 組織、規律・規定、業務管理、作業等の運営全般の基準 〜事故、不正等の防止（顧客データ、機密情報、情報資産等の保護）、法令、規律、規則等の遵守性リスク管理、セキュリティ管理の妥当性、合理性、システム化に対する業績評価、有効性評価の適切性システムの品質管理、効率管理等の有効性、業務継続に対する備えの有効性 等

■システム監査の手順　定例監査の例

システム監査は定例監査を例にとりますと、以下の手順に沿って実施してまいります。 1. 中長期および短期の監査方針の策定 〜監査方針 ●監査対象と優先順位 ●監査の概要とポイント ●監査体力、監査期間、監査時期、監査コスト ●外部監査の活用 等 2. 短期の監査方針に沿った監査計画の策定 〜監査計画は監査方針を明確にした基本計画書の位置付け（通常年単位に作成） 年度単位の監査計画に沿って年度内の個別の監査が計画・実施・報告される。 3. 個別監査計画に沿った監査の実施 〜監査手順、監査手法、監査技術等を明確にした監査プログラム（「監査手順書」）を作成 ●概要調査　　　　　監査対象の概要調査、監査計画の説明・調整 ●予備調査　　　　　業務等概要ヒアリング ●本調査　　　　　　書類等の確認、照合、分析 ●評価・意見交換　　意見構築と意見交換　 ●報告　　　　　　　報告・納品 4. 監査指摘事項の改善状況のフォロー実施 〜監査における指摘事項に対する改善状況を定期的にフォロー