ナレッジ

金融機関のシステムリスク監査

監査法人等が行う外部監査としてのシステムリスク監査

金融庁は、システムリスク管理態勢に関する整備・確立状況の検証ポイントを定め、検査官の手引書として位置付けるとともに、各金融機関に対しては、このマニュアルを踏まえ、規模・特性にあった管理態勢を構築することを求めている。多くの金融機関が実施している監査法人等が行う外部監査としてのシステムリスク監査について説明する。

システムリスク監査の背景

金融庁は、金融検査マニュアル「オペレーショナル・リスク管理態勢の確認検査用チェックリスト」(以下「チェックリスト」という)において、システムリスク管理態勢に関する整備・確立状況の検証ポイントを定め、検査官の手引書として位置付けるとともに、各金融機関に対しては、このマニュアルを踏まえ、規模・特性にあった管理態勢を構築することを求めている。さらにチェックリストにおいては、構築されたシステムリスク管理態勢に対するモニタリング機能として、「内部監査部門の体制整備」及び「外部監査の活用」を求めている。

 

監査法人等が行う外部監査としてのシステムリスク監査(以下「システムリスク監査」という)は、このような背景から多くの金融機関が実施している。

 

一方、金融機関からシステムを受託しているアウトソーシングベンダー等においても、金融庁の求める管理態勢に沿った運営が行われているかを客観的にチェックすることにより、委託者である金融機関への報告や、問題点の改善を目的として「システムリスク監査」が活用されている。

金融検査マニュアルの種類

現在、金融庁、証券取引等監視委員会が業態別に制定した金融検査マニュアルは下記のとおりとなっている。(各マニュアルは、金融庁のホームページにおいて閲覧及びダウンロードが可能となっている。)「システムリスク監査」では、金融庁、証券取引等監視委員会のこれらの金融検査マニュアルをベースに、監査対象となるシステムの特性を考慮し、監査手続を作成し、実施することになる。

 

金融庁

•預金等受入金融機関に係る検査マニュアル(平成11年7月制定)

•保険会社に係る検査マニュアル(平成12年6月制定)

•金融持株会社に係る検査マニュアル(平成15年7月制定)

 

証券取引等監視委員会

• 金融商品取引業者等検査マニュアル(平成19年9月制定)

 

なお、「システム統合リスク管理態勢の確認検査用チェックリスト」が平成14年12月別途制定されている。

 

チェックリストの項目

「システムリスク監査」のベースとなる金融検査マニュアルは業態別に策定されており、「チェック項目」について若干の違いがある。

ミニマム・スタンダードとベスト・プラクティス

金融検査マニュアルにおけるチェック項目の語尾は、「しているか」、「なっているか」、「望ましい」となっており、その語尾によって意味が異なってくる。「しているか」または「なっているか」の項目は、全ての金融機関に対して求められるミニマム・スタンダードとなっており、「望ましい」の項目は、ベスト・プラクティスとしての位置付けになっている。

 

しかし、ミニマム・スタンダードの項目であっても、「金融機関の規模や特性を十分踏まえ、機械的かつ画一的な運用に陥らないように配慮する必要がある。」としており、合理的な対応を求める内容になっている。「システムリスク監査」においても、発見された問題点に対する改善提案は、同様の観点から行われることになる。

財務諸表監査のためのシステムレビューとの違い

財務諸表監査のためのシステムレビューにおいては、勘定残高の信頼性を確保するための情報システムによる内部統制として下記の監査目標に重点をおいており、対象とする情報システムは主に勘定系システムとなる。

■実在性       実在する取引だけが記帳される

■網羅性       すべての発生した取引が記帳される

■正確性       金額、単価、料率などが正確に記帳される

■期間帰属      決算期間内で発生した取引はその期間内に記帳される

■評価の妥当性    資産や債権などの評価が状況を反映して適切に実施される

 

一方、金融検査マニュアルに定めるシステムリスクは下記のとおりである。

■コンピュータシステムのダウン又は誤作動等

■システムの不備等に伴い金融機関が損失を被るリスク

■コンピュータが不正に使用されることにより金融機関が損失を被るリスク

 

従って、「システムリスク監査」では、勘定系システムだけでなく、情報系システムや部門システム等全てのシステムが監査の対象となる。また、システムリスク管理態勢には、財務諸表監査のためのシステムレビューにおける5つの監査目標に係わる内部統制(管理態勢)を含め、更に広い範囲の管理態勢が対象となる。

監査アプローチと実施方法

監査アプローチ

 「システムリスク監査」の実施にあたっては、金融検査マニュアルがベースとなるが、監査アプローチとしては、より大きなシステムリスクが存在すると考えられる対象に対して、重点的に監査を行うことにより、効果的なシステムリスク監査を実施することが可能となる。

 

実施方法

 添付図のように、監査項目に関する関連資料等の閲覧を中心に行い、不明な点についてヒアリングし、運用状況を確認するためにサンプリング検証を実施する。当該手続によって、システムリスク管理態勢の課題を識別し、検討事項・改善提案を立案する。

「整備状況の把握」と「運用状況の検討」

システムリスク管理態勢をチェックし課題を識別するには、まず、想定されるリスクに対する内部統制(コントロール)は有るのか、有るならばどのようなコントロールかを把握し、評価するために「整備状況の把握」を実施する。

 しかし、「整備状況の把握」だけでは不十分である。ルールを作っても、そのルールが遵守されなければ、リスクはコントロールできない。ルールが有効に機能しているかについて「運用状況の検討」を実施することによって、内部統制の有効性を評価することが「システムリスク監査」として必要になる。

お役に立ちましたか?