米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案
こんにちは、丸山満彦です。
米国のGAOが連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案を公表し、意見募集をしていますね。。。
基本は政府監査基準にもとづいてつくっているので、公認会計士の監査に近い概念でマニュアルが作られています。そういう意味では、SOXに馴染みがある方には理解がしやすいと思います。
ただ、400ページ以上もありますので、読むのは大変だと思います。。。が、実はNISCが立ち上がる時に政府統一基準に基づいた監査を考える際に、当時のものを読みました。。。しかしながら、レベエルが高すぎるので、採用は諦めました。。。あれから20年たっているので、そろそろ日本の会計検査院、NISCでも、このくらいのレベルの監査ができるようになっていると期待しています(^^)
⚫︎ U.S. GAO
・2023.07.20 Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft
Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft | 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案 |
Fast Facts | 概要 |
We are proposing to update our Federal Information System Controls Audit Manual (FISCAM). This update reflects changes in auditing standards, guidance, control criteria, and technology. | 連邦情報システム管理監査マニュアル(FISCAM)の更新を提案する。この更新は、監査標準、ガイダンス、統制基準、技術の変化を反映したものである。 |
We are seeking public comment on the update. Please send written comments using our fillable form to FISCAM@gao.gov no later than Oct. 18, 2023. | この更新に関するパブリック・コメントを求めている。2023年10月18日必着で、FISCAM@gao.gov 宛てに、記入可能な書式を用いて書面にてご意見をお寄せいただきたい。 |
Information in computer systems is essential to practically every aspect of government operations. FISCAM guides auditors in using government standards to evaluate the effectiveness of controls over these systems. Effective controls can help safeguard data, prevent the disruption of government services, and much more. | コンピュータシステム内の情報は、実質的に政府運営のあらゆる側面に不可欠である。FISCAMは、監査人が政府標準を使用してこれらのシステムに対するコントロールの有効性を評価する際の指針となっている。効果的なガバナンスは、データを保護し、政府サービスの中断を防ぐなど、多くのことに役立つ。 |
Highlights | ハイライト |
GAO invites comments on the proposed changes to the Federal Information System Controls Audit Manual (FISCAM). The FISCAM 2023 exposure draft updates FISCAM to (1) address responses received through focus groups and interviews with internal and external officials, stakeholders, and users and (2) reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. | GAOは連邦情報システム統制監査マニュアル(FISCAM)の変更案についてコメントを募集している。FISCAM 2023公開ドラフトは、(1)フォーカス・グループや内外関係者、利害関係者、利用者へのインタビューを通じて得られた回答に対応し、(2)前回改訂以降の関連する監査標準、ガイダンス、管理基準、技術の変化を反映するために、FISCAMを更新するものである。 |
The FISCAM 2023 exposure draft proposes four sections that include new and existing content from chapters 1 and 2 of extant FISCAM. Section 100, Introduction, provides an overview of the FISCAM methodology. Section 200, Planning Phase, includes auditor requirements, guidance, and procedures for planning an information system (IS) controls assessment, including identifying relevant IS control objectives. Section 300, Testing Phase, includes auditor requirements, guidance, and procedures for identifying IS controls for testing and determining the nature, extent, and timing of IS control tests. Section 400, Reporting Phase, includes auditor requirements and guidance for communicating the results of the IS controls assessment. | FISCAM 2023の公開草案では、現行FISCAMの第1章と第2章に含まれる新内容と既存内容を含む4つのセクションが提案されている。セクション100「序文」は、FISCAMの手法の概要を提供している。セクション200「計画フェーズ」では、関連するIS統制の目的の識別を含む、情報システム(IS)統制の評価を計画するための監査人の要求事項、ガイダンス及び手順を記載している。セクション300「テストフェーズ」には、テストするIS統制を識別し、IS統制テストの性質、範囲及び時期を決定するための監査人の要求事項、指針及び手順が含まれる。セックション400「報告フェーズ」には、IS統制アセスメントの結果をコミュニケーションするための監査人の要求事項及びガイダンスが含まれる。 |
The FISCAM 2023 exposure draft proposes the following three appendixes included as section 500: | FISCAM2023のエクスポージャーでは、セクション500として以下の3つの附属書が提案されている: |
Appendix 500A, FISCAM Glossary, updates extant FISCAM appendix XI, Glossary. | 附属書 500A「FISCAM用語集」は、現行のFISCAM附属書XI「用語集」を更新するものである。 |
Appendix 500B, FISCAM Framework, updates the tables containing critical elements, control activities, control techniques, and suggested audit procedures from extant FISCAM chapters 3 and 4. | 附属書 500B「FISCAM フレームワーク」は、現行の FISCAM 第 3 章及び第 4 章の重要な要素、管理活動、管理技法、及び推奨される監査手続を含む表を更新するものである。 |
Appendix 500C, FISCAM Assessment Completion Checklist, provides new content that assists auditors with determining whether the FISCAM methodology was followed. | 附属書 500C「FISCAM評価完了チェックリスト」は、監査人がFISCAMの手法に従ったか否かを判断する際に役立つ新しい内容を提供している。 |
A summary of major proposed changes is included in enclosure I of the FISCAM 2023 exposure draft. | 主な変更案の概要は、FISCAM 2023年版公開草案の附属書Ⅰに記載されている。 |
・[PDF]
目次...
100 | INTRODUCTION1 | はじめに |
110 | Purpose and Applicability | 目的と適用性 |
120 | IS Control Concepts | IS統制の概念 |
130 | Overview of the FISCAM Methodology | FISCAM手法の概要 |
140 | Applicable Auditing and Attestation Standards and Requirements | 適用される監査及び認証の標準と要求事項 |
150 | Applicable Criteria | 適用基準 |
160 | Overview of the FISCAM Framework | FISCAMフレームワークの概要 |
200 | Planning Phase | 計画フェーズ |
210 | Overview of the Planning Phase | 計画フェーズの概要 |
220 | Perform Preliminary Engagement Activities | 予備的な監査活動の実施 |
230 | Understand the Entity’s Operations, and Identify and Understand Significant Business Processes | 事業体の業務を理解し、重要なビジネスプロセスを識別・理解する |
240 | Identify Areas of Audit Interest and Understand Business Process Controls | 監査対象領域を識別し、ビジネスプロセス統制を理解する |
250 | Understand the Entity’s Information Security Management Program | 事業体の情報セキュリティ管理プログラムを理解する |
260 | Assess IS Risk on a Preliminary Basis | IS のリスクを予備的にアセスメントする |
270 | Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls | 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する |
280 | Prepare Planning Phase Documentation | 計画フェーズの文書を作成する |
300 | Testing Phase | テストフェーズ |
310 | Overview of the Testing Phase | テストフェーズの概要 |
320 | Select IS Control Activities for Testing | テスト対象のIS統制活動を選択する |
330 | Determine the Nature, Extent, and Timing of IS Control Tests | IS統制テストの性質、範囲、タイミングを決定する |
340 | Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies | IS統制テストを実施し、IS統制の不備の重大性を含む結果を評価する |
350 | Prepare Testing Phase Documentation | テストフェーズの文書作成 |
400 | Reporting Phase | 報告フェーズ |
410 | Overview of the Reporting Phase | 報告フェーズの概要 |
420 | Determine Compliance with FISCAM | FISCAMへの準拠の判断 |
430 | Draft Report | ドラフト報告書 |
440 | Prepare Reporting Phase Documentation | 報告フェーズ文書の作成 |
500 | ANNEX | 附属書 |
500A | FISCAM Glossary | FISCAM用語集 |
500B | FISCAM Framework | FISCAMフレームワーク |
500C | FISCAM Assessment Completion Checklist | FISCAM評価完了チェックリスト |
セクション 100までの仮対訳...
To Federal Officials and Others Interested in the Federal Information System Controls Audit Manual | 連邦政府関係者および連邦情報システム管理監査マニュアルに関心のあるその他の方々へ |
GAO invites your comments on the proposed changes to the Federal Information System Controls Audit Manual (FISCAM). This letter identifies the major proposed changes and provides instructions for submitting comments on the proposed methodology. | GAOは連邦情報システム管理監査マニュアル(FISCAM)の変更案について意見を募集する。本レターは、提案されている主な変更点を特定し、提案されている方法論に関す るコメント提出のためのインストラクションを提供するものである。 |
GAO first issued FISCAM in 1999 and last issued a revision in February 2009. When issued in final form, this revision will supersede the February 2009 revision. The effective date for this revision will be included when it is issued in final form. | GAOは1999年にFISCAMを最初に発行し、2009年2月に最終改訂版を発行した。最終版が発行されれば、この改訂版は2009年2月の改訂版に取って代わる。本改訂の発効日は、最終版が発行された時点で記載される。 |
The proposed changes in the 2023 exposure draft update FISCAM to (1) address responses received through focus groups and interviews with internal and external officials, stakeholders, and users and (2) reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. Enclosure I to this letter contains a summary of the major proposed changes. In addition, GAO is developing a separate performance audit guide to focus on assessing controls designed, implemented, and operated to mitigate cybersecurity risks. | 2023年公開草案で提案されている変更は、(1)フォーカス・グループや社内外の関係者、利害関係者、利用者へのインタビューを通じて得られた回答に対応し、(2)前回改訂以降の関連する監査標準、ガイダンス、管理基準、技術の変化を反映するために、FISCAMを更新するものである。この書簡の同封物Iには、主な変更案の概要が記載されている。加えて、GAO は、サイバーセキュリティ・リスクを軽減するために設計、実施、運用されるコントロールのアセスメントに焦点を当てた、別のパフォーマンス監査ガイドを開発中である。 |
We are requesting comments on this draft from federal, state, and local government officials; managers and auditors at all levels of government; professional organizations; public interest groups; and other interested parties. To assist you in developing your comments, specific questions are presented in enclosure II to this letter along with a link for a fillable form. We encourage you to respond to these questions and comment on any additional issues that you note. | 本ドラフトについて、連邦政府、州政府、地方政府関係者、あらゆるレベルの政府管理者・監査人、専門家団体、公益団体、その他関係者からの意見を要求する。コメント作成の参考となるよう、具体的な質問をこの書簡の附属書類IIに示し、記入可能な書式へのリンクを掲載する。これらの質問に回答し、さらに気づきの点があればコメントしていただきたい。 |
Please send your comment letters to our FISCAM inbox, FISCAM@gao.gov, no later than October 18, 2023. If you need additional information, please contact me at (202) 512-3406 or FISCAM@gao.gov. | コメントレターは、2023年10月18日までに、FISCAMの受信箱(FISCAM@gao.gov)までお送りいただきたい。追加情報が必要な場合は、(202) 512-3406またはFISCAM@gao.gov。 |
Dawn B. Simpson | ドーン・B・シンプソン |
Director, Financial Management and Assurance | 財務管理・保証部長 |
Enclosures – 2 | 同封 2 |
Enclosures I | 同封 I |
This exposure draft updates the Federal Information System Controls Audit Manual (FISCAM) to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. The summary of major proposed changes below focuses on those changes that meaningfully affect the FISCAM methodology and does not include minor editorial changes. | 本ドラフトは、前回の改訂以降の関連する監査標準、ガイダンス、管理基準、技術の変化を反映し、連邦情報シス テム管理監査マニュアル(FISCAM)を更新するものである。以下の主な変更案の要約は、FISCAMの手法に重大な影響を与える変更に焦点を当て、編集上の小さな変更は含まれていない。 |
Changes to the Format, Design, and Organization | 書式、デザイン、構成の変更 |
Enhance the usability of the manual. The 2023 FISCAM exposure draft proposes to reformat, redesign, and reorganize FISCAM to enhance its usability. The major proposed changes to the format include the use of numbered sections, numbered paragraphs, and subheadings. Other major proposed changes to the design and organization of the manual are discussed below. | マニュアルの使いやすさを向上させる。2023年FISCAM公開草案では、FISCAMの使い勝手を向上させるため、書式の変更、デザインの変更、再編成が提案されている。書式に関する主な変更案としては、番号付きセクション、番号付き段落、小見出しの使用が挙げられる。マニュアルのデザインと構成に関するその他の主な変更案については後述する。 |
• The 2023 FISCAM exposure draft proposes four sections that include new and existing content from chapters 1 and 2 of extant FISCAM. Section 100, Introduction, provides an overview of the FISCAM methodology. Section 200, Planning Phase, includes auditor requirements, guidance, and procedures for planning an information system (IS) controls assessment, including identifying relevant IS control objectives. Section 300, Testing Phase, includes auditor requirements, guidance, and procedures for identifying IS controls for testing and determining the nature, extent, and timing of IS control tests. Section 400, Reporting Phase, includes auditor requirements and guidance for communicating the results of the IS controls assessment. | ・2023年版FISCAMの公開草案では、現行のFISCAMのセクション1章とセクション2章から、新しい内容と既存の内容を含む4つのセクションを提案している。セクション 100 「序文」では、FISCAM の手法の概要を説明している。セクション200「計画フェーズ」では、関連するIS統制の目的の識別を含む、情報システム(IS)統制の評価を計画するための監査人の要求事項、指針及び手順を記載している。セクション300「テストフェーズ」には、テストするIS統制を識別し、IS統制テストの性質、範囲及び時期を決定するための監査人の要求事項、ガイダンス及び手順が含まれる。セクション400「報告フェーズ」には、IS統制評価の結果をコミュニケーションするための監査人の要求事項及びガイダンスが含まれる。 |
• The 2023 FISCAM exposure draft proposes the following three appendixes included as section 500: | ・2023年版FISCAMの公開草案では、セクション500として以下の3つの附属書が提案されている: |
o Appendix 500A, FISCAM Glossary, updates extant FISCAM appendix XI, Glossary. | o 附属書 500A「FISCAM 用語集」は、現行の FISCAM 附属書 XI「用語集」を更新するものである。 |
o Appendix 500B, FISCAM Framework, updates the tables containing critical elements, control activities, control techniques, and suggested audit procedures from extant FISCAM chapters 3 and 4. | o 附属書 500B「FISCAM フレームワーク」は、現行の FISCAM セクション3 章及びセクション4 章の重要な要素、管理活動、管理技法、及び推奨される監査手続を含む表を更新するものである。 |
o Appendix 500C, FISCAM Assessment Completion Checklist, provides new content that assists auditors with determining whether the FISCAM methodology was followed. | o 附属書500C「FISCAM評価完了チェックリスト」は、監査人がFISCAMの手法に従っ ているかどうかを判断する際に役立つ新しい内容を提供している。 |
• Given the potential for revisions to address public comments, the 2023 FISCAM exposure draft does not include figures, such as those included in extant FISCAM. However, we anticipate the final product will include figures derived from the final product content. We are requesting feedback on the types of information that may be useful to provide in the form of figures. | ・パブリックコメントに対応するための改訂の可能性を考慮し、2023年FISCAMの公開草案には、現行のFISCAMに含まれているような図表は含まれていない。しかし、最終的な成果物には、最終的な成果物の内容から導き出された図表が含まれるものと予想される。我々は、図表の形で提供することが有用と思われる情報の種類に関するフィードバックを求めている。 |
Changes to the Methodology and Framework | 方法論とフレームワークの変更 |
Simplify the FISCAM Framework. The extant FISCAM includes 14 control categories: five general control categories, five application security control categories aligning with the general control categories, and four business process application-level control categories. The 2023 FISCAM exposure draft proposes to combine the general and application security control categories in extant FISCAM into five general control categories: security management, access controls, segregation of duties, configuration management, and contingency planning. The 2023 FISCAM exposure draft also proposes to reorganize the business process, interface, and data management system control activities in extant FISCAM. Such control activities are collectively renamed business process controls and consist of the user, application, and general control activities related to specific business processes (e.g., management of business process applications, interfaces, and data management systems). | FISCAMフレームワークを簡素化する。現行のFISCAMには、5つの一般的な管理カテゴリー、一般的な管理カテゴリーと整合する5つのアプリケーションセキュリティ管理カテゴリー、4つのビジネスプロセスのアプリケーションレベルの管理カテゴリーという14の管理カテゴリーが含まれている。2023年FISCAM公開草案は、現行FISCAMの一般及びアプリケーションセキュリティ管理カテゴリーを、セキュリティ管理、アクセス管理、職務分掌、構成管理、及びコンティンジェンシープランニングの5つの一般管理カテゴリーに統合することを提案している。また、2023年FISCAMのエクスポージャーは、現行FISCAMのビジネスプロセス、インターフェイス、データ管理システムの管理活動を再編することを提案している。このような統制活動は、ビジネスプロセス統制と総称され、特定のビジネスプロセス(例えば、ビジネスプロセスアプリケーション、インターフェース、データ管理システムの管理)に関連するユーザ、アプリケーション、全般統制活動から構成される。 |
Align the FISCAM Framework with relevant criteria. The extant FISCAM includes appendix IV, Mapping of FISCAM to NIST SP 800-53 and Other Related NIST Publications. This appendix maps each extant critical element to relevant controls from National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53, Recommended Security Controls for Federal Information Systems.[1] The 2023 FISCAM exposure draft includes appendix 500B, FISCAM Framework. This framework provides a more granular mapping of each illustrative control activity to relevant controls from NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations.[2] Moreover, each control from NIST SP 800-53 is addressed by one or more illustrative control activities in the FISCAM Framework. | FISCAM フレームワークを関連する基準に整合させる。現行の FISCAM には、附属書Ⅳ「FISCAM と NIST SP 800-53 及びその他の関連する NIST 出版物とのマッピング」が含まれる。この附属書は、現存する各重要要素と、国立標準技術研究所(NIST)特別刊行物 (SP)800-53「連邦情報システムに対する推奨セキュリティ管理(Recommended Security Controls for Federal Information Systems)」[1] の関連する管理との対応付けを行うものである。このフレームワークは、NIST SP 800-53「情報システム及び組織のためのセキュリ ティ及びプライバシー統制」[2] の関連する統制に、例示的な各統制活動をより詳細 にマッピングしたものである。さらに、NIST SP 800-53 の各統制は、FISCAM フレームワークの 1 つ以上の例示的な統制活動によって対処されている。 |
Clarify the use of the FISCAM Framework. The extant FISCAM generally requires auditors to determine whether IS controls are effective in achieving the FISCAM control categories. This generally involves assessing IS controls within each critical element of the control category. The 2023 FISCAM exposure draft does not require summary-level conclusions for each FISCAM control category but proposes to require auditors to (1) identify relevant IS control objectives and (2) test IS control activities sufficient to conclude on whether such control objectives are achieved. For federal financial audits, the auditor is required to identify relevant control objectives that support the auditor’s overall assessment of internal control over financial reporting. The FISCAM Framework (app. 500B) presents an objectives-based control framework to assist the auditor in (1) identifying relevant IS control objectives and (2) selecting the IS control activities (or a combination of IS control activities) that are likely to achieve the relevant IS control objectives and are most efficient for testing. The GAO and Council of the Inspectors General for Integrity and Efficiency Financial Audit Manual (FAM) establishes a basis for determining relevant IS control objectives for financial audits.[3] The auditor is expected to use professional judgment to tailor the audit procedures as appropriate. | FISCAM フレームワークの使用を明確にする。現存するFISCAMは、一般的に監査人に対し、IS統制がFISCAMの統制カテゴリーを達成する上で有効であるかどうかを判断することを求めている。これには一般的に、統制カテゴリーの各重要要素におけるIS統制の評価が含まれる。2023年FISCAM識別ドラフトは、各FISCAM統制カテゴリーについて要約レベルの結論を要求していないが、監査人に対し、(1)関連するIS統制の目的を識別し、(2)当該統制の目的が達成されているかどうかを結論付けるのに十分なIS統制活動をテストすることを要求することを提案している。連邦財務監査の場合、監査人は、財務報告に係る内部統制の監査人による総合的な評価を裏付ける、関連する統制目標を識別することが要求される。FISCAMフレームワーク(app.500B)は、監査人が(1)関連するIS統制目的を識別し、(2)関連するIS統制目的を達成する可能性が高く、テストに最も効率的なIS統制活動(又はIS統制活動の組合せ)を選択することを支援するために、目的に基づく統制フレームワークを提示している。GAO及び誠実性・効率性監査監察官評議会の「財務監査マニュアル(Financial Audit Manual)」[3]は、財務監査における関連するIS統制の目的を決定するための基礎を定めている。 |
Changes Relevant to Professional Auditing Standards and Guidance | 専門的な監査基準及びガイダンスに関連する変更点 |
Incorporate changes to auditing standards since 2009. Changes to relevant auditing standards since FISCAM was last issued in 2009 are incorporated. The 2023 FISCAM exposure draft incorporates by reference generally accepted government auditing standards (GAGAS).[4] Clarify auditor requirements. The FISCAM exposure draft clarifies auditor requirements by removing “generally” and limiting the use of “must” and “should.” “Must” indicates unconditional requirements that come directly from GAGAS. “Should” indicates requirements GAO has determined are mandatory when the circumstances exist to which the requirement is relevant, except in rare circumstances when the specific procedure to be performed would be ineffective in achieving the intent of the requirement. | 2009年以降の監査基準の変更を盛り込む。FISCAMが最後に発行された2009年以降の関連する監査基準の変更が盛り込まれている。2023年版FISCAMの公開草案は、一般に公正妥当と認められた政府監査基準(GAGAS)を参考として取り入れている[4]。FISCAM公開草案は、"generally "を削除し、"must "及び "should "の使用を制限することにより、監査人の要求事項を明確化している。"must "はGAGASから直接来た無条件の要求事項を示す。"should "は、実施すべき特定の手続が要求事項の意図の達成に効果がないような稀な状況を除き、要求事項が関連する状況が存在する場合には、GAOが必須であると判断した要求事項を示している。 |
Changes to Relevant Control Criteria | 関連する管理基準の変更 |
Incorporate changes to relevant control criteria since 2009. Changes to relevant control criteria since FISCAM was last issued in 2009 are incorporated where appropriate. The critical elements and control objectives included within the FISCAM Framework presented in appendix 500B are consistent with the principles and attributes included in Standards for Internal Control in the Federal Government (Green Book).[5] Additionally, the illustrative control activities included within the FISCAM Framework address information security and privacy control requirements presented in NIST Computer Security Resource Center publications—and specifically include all information security and privacy control requirements presented in NIST SP 800-53.[6] | 2009年以降の関連管理基準の変更を盛り込む。FISCAMが最後に発行された2009年以降の関連する管理基準の変更点は、必要に応じて組み込まれる。また、FISCAMフレームワークに含まれる例示的な統制活動は、NISTコンピュータセキュリティリソースセンター(NIST Computer Security Resource Center)出版物に提示されている情報セキュリティ及びプライバシー統制要件に対応しており、特にNIST SP 800-53に提示されているすべての情報セキュリティ及びプライバシー統制要件を含んでいる[6]。 |
Enclosure II | 同封 II |
We encourage you to comment on the following discussion items and any additional items that you note when reviewing the 2023 Federal Information System Controls Audit Manual (FISCAM) exposure draft. Please use the fillable form to associate your comments with specific questions and section and paragraph numbers. We request that you provide your rationale for any proposed changes along with suggested revised language. | 我々は、2023年連邦情報システム統制監査マニュアル(FISCAM)公開草案を検討する際に、以下の議論項目およびあなたが指摘する追加項目についてコメントすることを推奨する。具体的な質問、セクション番号、パラグラフ番号とコメントを関連付けるために、記入可能なフォームを使用されたい。また、提案された変更点の根拠と修正文言の提示をお願いする。 |
1. The 2023 FISCAM exposure draft proposes to simplify the FISCAM Framework by consolidating and reorganizing certain control categories, objectives, and activities. The 2023 FISCAM exposure draft also proposes to clarify the use of the FISCAM Framework through enhanced auditor requirements and application guidance. | 1. 2023年FISCAM公開草案は、特定の統制カテゴリー、目的、活動を統合・再編成することにより、FISCAMフレームワークを簡素化することを提案している。また、2023年FISCAM公開草案は、監査人要件及び適用ガイダンスの強化を通じて、FISCAMフレームワークの利用を明確にすることを提案している。 |
Please comment on how these updates to the FISCAM Framework are likely to affect the auditor’s ability to evaluate IS controls to the extent necessary to support the achievement of the engagement objectives. Specifically, please comment on the clarity and appropriateness of the auditor requirements and application guidance for: | FISCAMフレームワークに対するこれらの更新が、監査人が、監査目的の達成を支援するために必要な範囲でIS統制を評価する能力にどのような影響を及ぼす可能性があるかについてコメントをいただきたい。具体的には、以下の事項に関する監査人の要求事項及び適用指針の明確性及び適切性についてコメントされたい: |
a. identifying relevant information system (IS) control objectives for each area of audit interest in section 240 and section 270;[7] | a. セクション240及びセクション270の各監査対象分野について、関連する情報システム(IS)統制の目的を識別すること[7]。 |
b. selecting IS control activities (or a combination of IS control activities) that are likely to achieve the relevant IS control objectives and are most efficient for testing in section 320; and | b. セクション320において、関連するIS統制の目的を達成する可能性が高く、テストに最も効率的なIS統制活動(又はIS統制活動の組合せ)を選択する。 |
c. determining whether sufficient, appropriate evidence for the design, implementation, and operating effectiveness of IS controls has been obtained to the extent necessary to support the achievement of the engagement objectives in section 340. | c. セクション340において、監査目的の達成を裏付けるために必要な範囲で、IS統制の設計、実施及び運用の有効性に関する十分かつ適切な証拠が入手されたかどうかを判断すること。 |
2. The 2023 FISCAM exposure draft includes a FISCAM Assessment Completion Checklist to help auditors determine whether they have followed FISCAM requirements. | 2. 2023年版FISCAMの公開草案には、監査人がFISCAMの要求事項に従ったかどうかを判断するのに役立つFISCAM評価完了チェックリストが含まれている。 |
Please comment on | 以下についてコメントされたい。 |
a. the usefulness of this checklist in helping auditors determine whether they have followed FISCAM requirements and | a. 監査人が FISCAM の要求事項に従っているかどうかを判断する上で、このチェックリストの 有用性と |
b. any enhancements to improve it. | b. このチェックリストの改善点について。 |
3. The 2023 FISCAM exposure draft presents expanded guidance for assessing IS controls that external entities, including service organizations, perform on behalf of the entity. This guidance was removed from extant FISCAM appendix VII, Entity’s Use of Service Organizations, and incorporated throughout sections 200, 300, and 400. | 3. 2023年版FISCAMの公開草案は、サービス機関を含む外部事業体が事業体に代わって実施するIS統制を評価するための拡張ガイダンスを提示している。このガイダンスは、現行の FISCAM 附属書 VII「事業体によるサービス組織の利用」から削除され、セクション200、セクション300及びセクション400全体に組み込まれた。 |
Please comment on how these changes are likely to affect the auditor’s ability to assess IS controls that external entities perform. | これらの変更が、外部事業体が行うIS統制を評価する監査人の能力にどのような影響を与えそうか、コメントをいただきたい。 |
4. The 2023 FISCAM exposure draft does not include graphics, tools, or templates. | 4. 2023 年版 FISCAM の公開草案には、図表、ツール、テンプレートが 含まれていない。 |
Please comment on where graphics, tools, or templates may provide clarity. | 図表、ツール又はテンプレートが明確性を提供する可能性がある場 所についてコメントされたい。 |
CONTENTS | 目次 |
Contents of FISCAM | FISCAMの内容 |
Contents | 目次 |
INTRODUCTION1 100 | はじめに[1] 100 |
Purpose and Applicability 110 | 目的と適用性 110 |
IS Control Concepts 120 | IS統制の概念 120 |
Overview of the FISCAM Methodology 130 | FISCAM手法の概要 130 |
Applicable Auditing and Attestation Standards and Requirements 140 | 適用される監査及び認証の標準と要求事項 140 |
Applicable Criteria 150 | 適用基準 150 |
Overview of the FISCAM Framework 160 | FISCAMフレームワークの概要 160 |
Planning Phase 200 | 計画フェーズ 200 |
Overview of the Planning Phase 210 | 計画フェーズの概要 210 |
Perform Preliminary Engagement Activities 220 | 予備的な監査活動の実施 220 |
Understand the Entity’s Operations, and Identify and Understand Significant Business Processes 230 | 事業体の業務を理解し、重要なビジネスプロセスを識別・理解する 230 |
Identify Areas of Audit Interest and Understand Business Process Controls 240 | 監査対象領域を識別し、ビジネスプロセス統制を理解する 240 |
Understand the Entity’s Information Security Management Program 250 | 事業体の情報セキュリティ管理プログラムを理解する 250 |
Assess IS Risk on a Preliminary Basis 260 | IS のリスクを予備的にアセスメントする 260 |
Identify Relevant General Control Objectives and Determine Likelihood of Effective General controls 270 | 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する 270 |
Prepare Planning Phase Documentation 280 | 計画フェーズの文書を作成する 280 |
Testing Phase 300 | テストフェーズ 300 |
Overview of the Testing Phase 310 | テストフェーズの概要 310 |
Select IS Control Activities for Testing 320 | テスト対象のIS統制活動を選択する 320 |
Determine the Nature, Extent, and Timing of IS Control Tests 330 | IS統制テストの性質、範囲、タイミングを決定する 330 |
Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies 340 | IS統制テストを実施し、IS統制の不備の重大性を含む結果を評価する 340 |
Prepare Testing Phase Documentation 350 | テストフェーズの文書作成 350 |
Reporting Phase 400 | 報告フェーズ 400 |
Overview of the Reporting Phase 410 | 報告フェーズの概要 410 |
Determine Compliance with FISCAM 420 | FISCAMへの準拠の判断 420 |
Draft Report 430 | ドラフト報告書 430 |
Prepare Reporting Phase Documentation 440 | 報告フェーズ文書の作成 440 |
FISCAM Glossary 500A | FISCAM用語集 500A |
FISCAM Framework 500B | FISCAMフレームワーク 500B |
FISCAM Assessment Completion Checklist 500C | FISCAM評価完了チェックリスト 500C |
Abbreviations | 略語 |
ACL access control list | ACL アクセス制御リスト |
AICPA American Institute of Certified Public Accountants | AICPA 米国公認会計士協会(American Institute of Certified Public Accountants |
AT-C AICPA Codification of Statements on Standards for Attestation Engagements | AT-C 米国公認会計士協会(AICPA) 認証業務基準成文化書(AICPA Codification of Statements on Standards for Attestation Engagements |
AU-C AICPA Codification of Statements on Auditing Standards | AU-C 米国公認会計士協会(AICPA)の監査基準成文化書(AICPA Codification of Statements on Auditing Standards |
CAAT computer-assisted audit technique | CAAT コンピュータ支援監査技法 |
CIGIE Council of the Inspectors General on Integrity and Efficiency | CIGIE 公正性と効率性に関する監察官会議(Council of the Inspectors General on Integrity and Efficiency |
CNSS Committee on National Security Systems | CNSS 国家安全保障システム委員会 |
CONOPS concept of operations | CONOPS 作戦概念 |
DISA Defense Information Systems Agency | DISA 防衛情報システム局 |
DHS Department of Homeland Security | DHS 国土安全保障省 |
DOD Department of Defense | DOD 国防総省 |
FAM GAO/CIGIE Financial Audit Manual | FAM GAO/CIGIE 財務監査マニュアル |
FFMIA Federal Financial Management Improvement Act of 1996 | FFMIA 1996年連邦財務管理改善法 |
FIPS Federal Information Processing Standards | FIPS 連邦情報処理標準 |
FISCAM Federal Information System Controls Audit Manual | FISCAM 連邦情報システム統制監査マニュアル |
FISMA Federal Information Security Modernization Act of 2014 and/or the Federal | FISMA 2014 年連邦情報セキュリティ近代化法および/または 2002 年連邦情報セキュリティ管理法 |
Information Security Management Act of 2002 | 連邦情報セキュリティ管理法 |
FMFIA Federal Managers’ Financial Integrity Act | FMFIA 連邦管理者財務健全性法 |
GAGAS generally accepted government auditing standards | GAGAS 一般に公正妥当と認められた政府監査基準 |
IS information system | IS 情報システム |
ISACA Information Systems Audit and Control Association | ISACA 情報システム監査統制協会 |
IT information technology | IT 情報技術 |
NIST National Institute of Standards and Technology | NIST 国立標準技術研究所(National Institute of Standards and Technology |
NISTIR NIST Interagency or Internal Report | NISTIR NIST省庁間報告書または内部報告書 |
NSS national security system | NSS 国家安全保障システム |
OMB Office of Management and Budget | OMB 行政管理予算局 |
PKI public key infrastructure | PKI 公開鍵基盤 |
SDLC software development life cycle | SDLC ソフトウェア開発ライフサイクル |
SP Special Publication | SP 特別刊行物 |
STIG Security Technical Implementation Guide | STIG セキュリティ技術実装ガイド |
SRS simple random selection | SRS 単純無作為抽出 |
SYS systematic random selection | SYS 体系的無作為抽出 |
SECTION 100 | セクション 100 |
INTRODUCTION | 序文 |
100 – Contents of the Introduction | 100 ・序文の内容 |
Contents of the Introduction | 序文の内容 |
Purpose and Applicability 110 | 目的と適用性 110 |
IS Control Concepts 120 | IS統制の概念 120 |
Overview of the FISCAM Methodology 130 | FISCAM手法の概要 130 |
Applicable Auditing and Attestation Standards and Requirements 140 | 適用される監査及び認証の標準と要求事項 140 |
Applicable Criteria 150 | 適用基準 150 |
Overview of the FISCAM Framework 160 | FISCAMフレームワークの概要 160 |
110 Purpose and Applicability | 110 目的と適用範囲 |
.01. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing the design, implementation, and operating effectiveness of information system (IS) controls. Generally accepted government auditing standards (GAGAS) define IS controls as internal controls that depend on information system processing.[8] IS controls include user, application, and general controls. This manual uses the term “IS controls assessment” to refer to the auditor’s assessment of IS controls using FISCAM. | .01. 連邦情報システム統制監査マニュアル(FISCAM)は、情報システム(IS)統制の設計、実施、および運用の有効性を評価するための手法を提示している。一般に認められた政府監査基準(GAGAS)は、IS統制を情報システム処理に依存する内部統制と定義している[8]。本マニュアルでは、FISCAM を使用した監査人による IS 統制の評価を指すために、「IS 統制評価」という用語を使用する。 |
.02 The purpose of the IS controls assessment is to evaluate the design, implementation, and operating effectiveness of IS controls to the extent necessary to support the achievement of the engagement objectives. IS controls assessments can also be performed to support the engagement team’s conclusions regarding the reliability of information that information systems produce that is intended to materially support findings, conclusions, or recommendations. IS controls assessments conducted in accordance with FISCAM are performed as part of a financial audit, attestation engagement, or performance audit. | .02 IS統制評価の目的は、監査目的の達成を支援するために必要な範囲で、IS統制の設計、実施及び運用の有効性を評価することである。また、IS統制評価は、所見、結論又は勧告を実質的に裏付けることを意図して、情報システムが生成する情報の信頼性に関する監査チームの結論を裏付けるために実施することもできる。FISCAMに従って実施されるIS統制の評価は、財務監査、認証業務、又はパフォーマンス監査の一環として実施される。 |
.03. The FISCAM methodology is designed to be applied to a wide variety of IS controls assessments, and is to be used in connection with federal financial statement audits and attestation engagements. FISCAM may be used for performance audits when the engagement objectives include assessing the effectiveness of business process application controls, similar to an assessment performed for financial audits. | .03. FISCAMの手法は、多様なIS統制の評価に適用できるよう設計されており、連邦財務諸表監査 及び監査業務に関連して使用される。FISCAM は、財務監査で実施される評価と同様に、業務目的にビジネスプロセス・アプ リケーション統制の有効性の評価が含まれている場合には、パフォーマンス監査に 使用することができる。 |
.04 A wide range of auditors and audit organizations that conduct IS controls assessments of federal entities and programs, as well as audits of nonfederal entities that collect, process, or maintain information on behalf of federal entities, may use this manual.[9] IS controls assessments are generally performed by IS controls auditors—auditors with technical expertise and experience in IS controls auditing. However, other auditors with appropriate training, expertise, and supervision may undertake specific tasks performed as part of the IS controls assessment. Throughout this manual, the term “auditor” means either an (1) IS controls auditor or (2) other auditor working in consultation with or under the supervision of an IS controls auditor. | .04 連邦事業体およびプログラムのIS統制評価を実施する幅広い監査人および監査組織、ならびに連邦 事業体のために情報を収集、処理、または維持する連邦事業体以外の事業体の監査は、本マニュア ルを使用することができる[9]。IS統制評価は、一般にIS統制監査人-IS統制監査の技術的専門知識と経験を有する 監査人-によって実施される。しかし、適切な訓練、専門知識及び監督を受けた他の監査人が、IS統制評価の一部として実施される特定の作業を引き受けることができる。本マニュアルを通して、「監査人」という用語は、(1) IS 統制監査人、または (2) IS 統制監査人と協議して、もしくは IS 統制監査人の監督下で作業する他の監査人のいずれかを意味する。 |
120 IS Control Concepts | 120 IS 統制の概念 |
.01 This section describes IS control concepts used throughout FISCAM. It defines IS controls, describes the types of IS controls, and defines control objectives for each type. The section also contains information about the levels at which these controls may be implemented. | .01 本項では、FISCAM で使用される IS 統制の概念について記述する。IS 統制を定義し、IS 統制の種類を説明し、それぞれの種類の統制目的を定義する。また、これらのコントロールが実施されるレベルに関する情報も記載されている。 |
Types of IS Controls and Control Objectives | IS統制の種類と統制目的 |
.02 IS controls are those internal controls that depend on information system processing.[10] IS controls include the following: | .02 IS統制とは、情報システム処理に依存する内部統制である[10]: |
• User controls – Portions of controls that are performed by people interacting with information systems. A user control is an IS control if its effectiveness depends on information system processing. | ・ユーザー統制 ・情報システムと相互作用する人々によって実行される統制の一部。ユーザー統制は,その有効性が情報システム処理に依存する場合,IS統制である。 |
• Application controls – Controls that are incorporated directly into application software, including controls over the input, processing, and output of data. | ・アプリケーション管理 ・データの入力,処理,出力に関する管理を含む,アプリケーションソフトウェアに直接組み込まれる管理。 |
• General controls – The policies and procedures that apply to all or a large segment of an entity’s information systems.[11] | ・全般統制 ・事業体の情報システムのすべてまたは大部分に適用される方針および手順[11]。 |
FISCAM organizes IS controls as business process controls or general controls based on whether they have a direct or indirect effect on information processing objectives (completeness, accuracy, and validity). | FISCAMは、IS統制が情報処理目的(完全性、正確性及び妥当性)に直接的又は間接的な影響を及ぼすかどうかに基づいて、IS統制をビジネスプロセス統制又は全般統制として整理している。 |
.03 Business process controls consist of those user, application, and general controls that are designed to achieve one or more of the following information processing objectives: | .03 ビジネスプロセス統制は、以下の情報処理の目的の1つ以上を達成するように設計された、ユーザー、アプリケーション、及び全般統制から構成される: |
• Completeness – All transactions and events that should have been recorded have been properly recorded at each stage of processing. | ・完全性ー記録されるべきすべてのトランザクションおよびイベントが,処理の各フェーズにおいて適切に記録されている。 |
• Accuracy – Data relating to transactions and events are properly and timely recorded at each stage of processing. | ・正確性ー各処理フェーズにおいて,取引および事象に関するデータが適切かつ適時に記録されている。 |
• Validity – All recorded transactions and events that actually occurred are related to the entity and were executed according to prescribed procedures. | ・妥当性ー実際に発生したすべての記録された取引及び事象が事業体に関連し、所定の手続に従って実行されたものである。 |
When designed, implemented, and operating effectively, business process controls reasonably assure the completeness, accuracy, and validity of transactions, events, and data. General controls included as business process controls in FISCAM are those that directly support the effective operation of user and application controls, which are designed to achieve information processing objectives. | ビジネスプロセス統制が設計され、実施され、効果的に運用されている場合には、取引、イベント、データの完全性、正確性、妥当性が合理的に保証される。FISCAMにおいてビジネスプロセス統制として含まれる全般統制は、情報処理目的を達成するために設計されたユーザ統制及びアプリケーション統制の効果的な運用を直接的に支援するものである。 |
.04. General controls are the policies and procedures that apply to all or a large segment of an entity’s information systems. General controls in FISCAM exclude those that directly support the effective operation of user and application controls, which are included in FISCAM as business process controls. General controls create a suitable environment to support the effective operation of business process controls. General controls may be designed to achieve one or more of the following information security objectives: | .04. 全般統制とは、事業体の情報システムの全て又は大部分に適用される方針及び手続である。FISCAMにおける全般統制は、ユーザ統制及びアプリケーション統制の効果的な運用を直接支援するものを除外しており、FISCAMではビジネスプロセス統制として含まれている。全般統制は、ビジネスプロセス統制の効果的な運用を支援するための適切な環境を構築する。全般統制は、以下の情報セキュリティ目的の一つ以上を達成するように設計される: |
• Confidentiality – Preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information. A loss of confidentiality is the unauthorized disclosure of information. | ・機密性ー個人のプライバシー及び専有情報を保護する手段を含め,情報へのア クセス及び開示に対する認可された制限を保持すること。機密性の喪失とは,情報の不正な開示である。 |
• Integrity – Guarding against improper information modification or destruction, which includes ensuring information’s nonrepudiation and authenticity.[12] A loss of integrity is the unauthorized modification or destruction of information. | ・完全性ー情報の不正な変更または破壊から保護すること。これには、情報の否認防止と本人認証の確保が含まれる[12] 完全性の喪失とは、情報の不正な変更または破壊のことである。 |
• Availability – Ensuring timely and reliable access to and use of information. A loss of availability is the disruption of access to or use of information or an information system. | ・可用性ー情報へのタイムリーで信頼できるアクセスと利用を確保すること。可用性の喪失とは,情報または情報システムへのアクセスまたは利用の中断である。 |
.05. General controls include security management, logical and physical access controls (access controls), segregation of duties, configuration management, and contingency planning.[13] | .05. 全般統制には、セキュリティ管理、論理的・物理的アクセス制御(アクセス制御)、職務分掌、構成管理、および危機管理計画が含まれる[13]。 |
.06 Security management is the foundation of a security-control structure and reflects senior management’s commitment to addressing security risks. Information security management programs provide a framework and continuous cycle of activity for managing risk, developing and implementing effective security policies, assigning responsibilities, and monitoring the adequacy of the entity’s IS controls. Without a well-designed information security management program, security controls may be inadequate; responsibilities may be unclear, misunderstood, or improperly implemented; and controls may be inconsistently applied. Such conditions may lead to insufficient protection of sensitive or critical resources and disproportionately high expenditures for controls over low-risk resources. | .06 セキュリティマネジメントは、セキュリティ統制構造の基礎であり、セキュリティリスクへの対応に対する上級管理者のコミットメントを反映するものである。情報セキュリティマネジメントプログラムは、リスクをマネジメントし、効果的なセキュリティポリシーを策定・実施し、責任を割り当て、事業体のIS統制の適切性をモニタリングするための活動の枠組み及び継続的なサイクルを提供する。十分に設計された情報セキュリティ管理プログラムがなければ、セキュリティ管理は不十分であり、責任は不明確であったり、誤解されていたり、不適切に実施されていたり、管理の適用に一貫性がなかったりする可能性がある。このような状況により、機密または重要なリソースの防御が不十分になったり、リスクの低いリソースの防御に不釣り合いなほど多額の費用がかかったりする可能性がある。 |
.07 Access controls limit access or detect inappropriate access to information system resources (data, modification, loss, and disclosure. Logical access controls require users to authenticate themselves and limit the files and other resources that authenticated users can access and the actions that they can execute. Physical access controls involve restricting physical access to information system resources and protecting them from intentional or unintentional loss or impairment. | .07 アクセス管理は、情報システムリソースへのアクセスを制限し、または不適切なアクセスを検知する(データ、改ざん、紛失、および開示。論理的アクセス制御は、利用者本人を認証することを要求し、認証された利用者がアクセスできるファイルやその他のリソース、および利用者が実行できるアクションを制限する。物理的アクセス管理は、情報システムリソースへの物理的アクセスを制限し、意図的または非意図的な損失または障害から保護する。 |
.08 Segregation of duties controls include having policies, procedures, and an organizational structure to manage who can control key aspects of computerrelated operations and thereby prevent unauthorized actions or unauthorized access to assets or records. Segregation of duties involves segregating work responsibilities so that one individual does not control all critical stages of a process. Effective segregation of duties is achieved by splitting responsibilities between two or more individuals or organizational units. In addition, dividing duties this way diminishes the likelihood that errors and wrongful acts will go undetected because the activities of one group or individual will serve as a check on the activities of the other. | .08 職務分離統制には、コンピュータ関連業務の重要な側面を誰が管理できるかを管理し、それによって不正な行為や資産または記録への不正なアクセスを防止するための方針、手順、組織構造を持つことが含まれる。職務の分離には、一個人がプロセスの重要な段階をすべてコントロールしないように、作業責任を分離することが含まれる。効果的な職務分掌は、2人以上の個人または組織単位で責任を分担することで達成される。また、このように職務を分掌することで、あるグループまたは個人の活動が他のグループまたは個人の活動をチェックする役割を果たすため、エラーや不正行為が発見されない可能性が低くなる。 |
.09 Configuration management controls involve identifying and managing security features for all hardware, software, and firmware components of an information system at a given point and systematically control changes to that configuration during the system’s life cycle. Configuration management controls that are designed and implemented effectively prevent unauthorized or untested changes to information system resources and provide reasonable assurance that systems are securely configured and operated as intended. | .09 構成管理統制は、ある時点で情報システムのすべてのハードウェア、ソフトウェア、ファームウェアコンポー ネントのセキュリティ機能を識別・管理し、システムのライフサイクル中にその構成の変更を体系的に統制 することを含む。効果的に設計され、実施される構成管理統制は、情報システムリソースに対する未承認または未テストの変更を防止し、システムが安全に構成され、意図されたとおりに運用されるという合理的な保証を提供する。 |
.10 In addition, configuration management controls that are designed and implemented effectively provide reasonable assurance that software programs and changes to software programs go through a formal, documented systems development process that identifies all changes to the baseline configuration.[14] To reasonably assure that changes to information systems are necessary, work as intended, and do not result in the loss of data or program integrity, such changes are authorized, documented, tested, and independently reviewed. | .10 さらに、効果的に設計され実施されている構成管理統制は、ソフトウエアプログラム及びソフトウエアプログラムに対する変更が、ベースライン構成に対するすべての変更を識別する、正式で文書化されたシステム開発プロセスを経るという合理的な保証を提供する[14]。情報システムに対する変更が必要であり、意図したとおりに機能し、データ又はプログラムの完全性の損失につながらないという合理的な保証を提供するために、そのような変更は許可され、文書化され、テストされ、独立したレビューが行われる。 |
.11 Contingency planning controls provide for the continuation of critical or essential mission and business functions in the event of a system disruption, compromise, or failure and the restoration of the information system following a system disruption. Contingency planning involves protecting against losing the capability to process, retrieve, and protect electronically maintained information. Effective contingency planning is achieved by having procedures for protecting information system resources and minimizing the risk of unplanned interruptions. It also involves having a plan to recover and reconstitute information systems should system disruptions occur. | .11 有事対応計画の管理は、システムの中断、危殆化、または障害が発生した場合、およびシステ ム中断後の情報システムの復旧が発生した場合に、重要または不可欠なミッションおよびビジネ ス機能を継続できるようにするものである。コンティンジェンシープランニングには、電子的に保持された情報を処理、検索、保護する能力の喪失から保護することが含まれる。効果的なコンティンジェンシープランニングは、情報システムリソースを保護し、予期せぬ中断のリスクを最小化する手順を持つことによって達成される。また、システムの中断が発生した場合に、情報システムを回復し再構築する計画を持つことも含まれる。 |
Implementation Levels for IS Controls | IS統制の実施レベル |
.12 IS controls may be applied at the business process, system, and entity levels. Each level is described below. | .12 IS統制は、ビジネスプロセス、システム、事業体の各レベルで適用することができる。各レベルを以下に説明する。 |
• Business process level refers to user, application, and general controls applied to a specific business process. These controls are specific to a business process and often correspond to information system components applied to the business process—business process applications, interfaces, and data management systems. | ・ビジネスプロセスレベルとは、特定のビジネスプロセスに適用されるユーザ、アプリケーショ ン、および全般統制を指す。これらの統制は、ビジネスプロセスに固有であり、多くの場合、ビジネスプロセスに適用される情報システムコンポーネント(ビジネスプロセスアプリケーション、インターフェース、データ管理システム)に対応する。 |
• System level refers to IS general controls applied to an information system. These controls are more specific than those applied at the entity level and often correspond to one of three sublevels inherent in all information systems: infrastructure, platform, and software: | ・システムレベルとは、情報システムに適用されるIS全般統制を指す。これらの統制は、事業体レベルで適用される統制よりも具体的であり、多くの場合、すべての情報システムに固有の3つのサブレベル(インフラストラクチャー、プラットフォーム、ソフトウェア)のいずれかに対応する: |
o Infrastructure comprises the physical information system resources necessary to run software and includes the hardware devices used for information processing, data storage, and network communication. Infrastructure also includes the logical information system resources necessary to run multiple virtual machines on shared physical information system resources. | o インフラストラクチャーは、ソフトウェアを実行するために必要な物理的な情報システムリソースで構成され、情報処理、データ保管、ネットワークコミュニケーションに使用されるハードウェアデバイスを含む。インフラストラクチャーには、共有された物理情報システムリソース上で複数の仮想マシンを実行するために必要な論理情報システムリソースも含まれる。 |
o Platform comprises the logical information system resources necessary to run application software, including the operating system and related computer programs, tools, and utilities. | o プラットフォームは、オペレーティング・システムおよび関連するコンピュータ・プログラム、ツール、ユーティリティを含む、アプリケーション・ソフトウェアを実行するために必要な論理情報システム・リソースで構成される。 |
o Software comprises application software, access control software, and other software. | o ソフトウェアは、アプリケーションソフトウェア、アクセス制御ソフトウェア、その他のソフトウェアから構成される。 |
• Entity level refers to IS general controls applied to the entity or component as a whole. | ・事業体レベルとは,事業体またはコンポーネント全体に適用されるIS全般統制をいう。 |
130 Overview of the FISCAM Methodology | 130 FISCAM手法の概要 |
.01 This section describes the organization, content, and other general information about FISCAM. It contains summary information about each of the manual’s sections. This section also contains information about technology neutrality and future revisions. | .01 本セクションでは、FISCAMの組織、内容、およびその他の一般的な情報について説明する。マニュアルの各セクションに関する概要情報が含まれる。また、技術的中立性と将来の改訂に関する情報も含まれる。 |
Organization and Content | 構成と内容 |
.02 FISCAM is organized into the following five sections: | .02 FISCAMは以下の5つのセクションで構成されている: |
• Section 100 – Introduction | ・セクション100ー序文 |
• Section 200 – Planning Phase | ・セクション200ー計画フェーズ |
• Section 300 – Testing Phase | ・セクション300ーテストフェーズ |
• Section 400 – Reporting Phase | ・セクション400ー報告フェーズ |
• Section 500 – Appendixes | ・セクション500 ー附属書 |
.03 Section 100 introduces FISCAM. In addition to describing the purpose and applicability of FISCAM, section 100 identifies applicable audit and attestation standards, identifies applicable criteria, explains IS control concepts, and describes the objectives-based control framework. Section 100 does not include auditor requirements. | .03 セクション100は、FISCAMを紹介している。セクション100では、FISCAMの目的及び適用可能性に加え、適用可能な監査及び識別標準を特定し、適用可能な基準を特定し、IS統制の概念を説明し、目的に基づく統制の枠組みを説明している。セクション100には監査人の要求事項は含まれていない。 |
.04 Sections 200, 300, and 400 comprise the FISCAM methodology and specific auditor requirements and guidance for conducting the planning, testing, and reporting phases of the IS controls assessment. The overall objective and approach for each phase are discussed below. | .04 セクション200、セクション300、セクション400は、FISCAM の方法論と、IS 統制評価の計画、テスト、 報告の各フェーズを実施するための具体的な監査人の要求事項及びガイダンスであ る。各フェーズの全体的な目的とアプローチは後述する。 |
.05 Section 500 includes three appendixes that contain supplementary information to assist the auditor in applying the FISCAM methodology. | .05 セクション500には、監査人が FISCAM 手法の適用を支援するための補足情報を含む 3 つの附属書が含まれる。 |
• Appendix 500A, FISCAM Glossary, defines the terms used throughout FISCAM. | ・附属書500A 「FISCAM 用語集」は、FISCAM で使用される用語を定義している。 |
• Appendix 500B, FISCAM Framework, presents an objectives-based control framework to assist the auditor in identifying relevant IS control objectives and selecting IS control activities (or a combination of IS control activities) that are likely to achieve the relevant IS control objectives and are most efficient for testing. The FISCAM Framework presents control categories, critical elements, control objectives, and illustrative control activities in a hierarchical structure to facilitate the auditor’s planning, testing, and reporting procedures. The FISCAM Framework links each illustrative control activity to relevant criteria and provides illustrative audit procedures for each control activity. | ・附属書500B「FISCAMフレームワーク」は、監査人が関連するISの統制目的を識別し、関連するISの統制目的を達成する可能性が高く、テストに最も効率的なISの統制活動(又はISの統制活動の組合せ)を選択することを支援するために、目的に基づく統制のフレームワークを提示している。FISCAMフレームワークは、監査人の計画、テスト及び報告手続を容易にするために、統制カテゴリー、重要な要素、統制目的及び例示的な統制活動を階層構造で提示している。FISCAMフレームワークでは、例示的な各管理活動を関連する規準に関連付け、各管理活動に対する例示的な監査手続を提供している。 |
• Appendix 500C, FISCAM Assessment Completion Checklist, is designed to help auditors determine whether they have complied with FISCAM requirements. | ・附属書500C「FISCAM評価完了チェックリスト」は,監査人がFISCAMの要求事項を遵守したかどうかを判断するのに役立つように設計されている。 |
Planning Phase | 計画フェーズ |
.06 The overall objective of the planning phase is to determine an effective and efficient approach for obtaining sufficient, appropriate evidence for design, implementation, and operating effectiveness of IS controls to the extent necessary to support the achievement of the engagement objectives and report on the results. | .06 計画フェーズの全体的な目的は、監査目的の達成を支援し、その結果を報告するために必要な範囲で、IS統制の設計、実施及び運用の有効性に関する十分かつ適切な証拠を入手するための効果的かつ効率的なアプローチを決定することである。 |
.07 During the planning phase, the auditor | .07 計画フェーズにおいて、監査人は以下のことを行う。 |
• assigns a combination of auditors and specialists to the engagement team who collectively possess the competence needed to address the engagement objectives; | ・エンゲージメントチームに、エンゲージメントの目的に取り組むために必要な能力を有する監査人と専門家の組み合わせを割り当てる; |
• communicates the engagement information with management, those contracting for or requesting audit services, oversight committees, and those charged with governance; | ・経営者、監査サービスの契約者又は依頼者、監視委員会及びガバナンス担当者と、契約情報をコミュニケーションする; |
• obtains an understanding of the entity’s operations sufficient to identify the business processes that are significant to the engagement objectives; and | ・監査目的にとって重要な業務プロセスを識別するのに十分な事業体の業務を理解する。 |
• obtains an understanding of the significant business processes by performing walk-throughs and through other methods. As part of this, the auditor | ・ウォークスルーやその他の方法により,重要なビジネスプロセスについて理解を深める。この一環として,監査人は以下のことを行う。 |
o gathers information on the design and implementation of business process controls relevant to the significant business processes and | o 重要なビジネスプロセスに関連するビジネスプロセス統制の設計及び実施に関する情報を収集する。 |
o begins to identify areas of audit interest. | o 監査上の関心領域の識別を開始する。 |
.09 Identifying areas of audit interest at the business process and system levels enables the auditor to establish an appropriate basis for defining the scope of the IS controls assessment. Areas of audit interest are a subset of the entity’s information systems, information system components, and information system resources that, based on their significance to the engagement objectives, the auditor includes in the scope of the IS controls assessment. At the business process level, areas of audit interest may include business process applications, interfaces, and data management systems, specific data files, and systemgenerated reports. At the system level, areas of audit interest may include operating systems, access control software, and hardware devices used for information processing, data storage, and network communications. | .09 ビジネスプロセス及びシステムレベルで監査対象領域を識別することにより、監査人は、 IS統制の評価範囲を定義するための適切な基礎を確立することができる。監査対象範囲とは、事業体の情報システム、情報システムコンポーネント及び情報システムリソースのサブセットであり、監査目的に対する重要性に基づいて、監査人がIS統制評価の範囲に含めるものである。ビジネスプロセス・レベルでは、監査対象領域には、ビジネスプロセス・アプリケーション、インターフェース、データ管理システム、特定のデータファイル、及びシステムが生成するレポートが含まれる。システム・レベルでは、監査対象領域には、オペレーティング・システム、アクセス制御ソフトウ ェア、および情報処理、データ保管、ネットワーク・コミュニケーションに使用されるハード ウェア・デバイスが含まれる。 |
.09 By identifying areas of audit interest, the auditor may concentrate efforts on them and reduce work associated with other areas. The process for identifying areas of audit interest begins with the auditor’s understanding of the significant business processes and continues throughout the planning phase as the auditor gathers additional information on the business process applications, interfaces, and data management systems involved in the significant business processes. | .09 監査人は、監査上関心のある分野を識別することにより、その分野に労力を集中し、他の分野に関連する作業を削減することができる。監査上の関心分野を識別するプロセスは、監査人が重要なビジネスプロセスを理解することから始まり、監査人が重要なビジネスプロセスに関連するビジネスプロセスのアプリケーション、インタフェース及びデータ管理システムに関する追加情報を収集するにつれて、計画フェーズを通じて継続する。 |
.10 With the understanding obtained, the auditor uses the FISCAM Framework to (1) identify relevant IS control objectives for each area of audit interest, (2) obtain an understanding of the entity’s information security management program, and (3) determine the likelihood that IS control activities will effectively achieve the relevant IS control objectives. Relevant IS control objectives, as used in FISCAM, are those that are necessary to support the achievement of the engagement objectives. FAM establishes a basis for determining relevant control objectives for financial audits. The auditor uses the | .10 監査人は、得られた理解を基に、FISCAMフレームワークを使用して、(1)監査対象分野ごとに関連するIS統制目標を識別し、(2)事業体の情報セキュリティ管理プログラムを理解し、(3)IS統制活動が関連するIS統制目標を効果的に達成する可能性を判断する。FISCAMで使用される関連するIS統制目標は、監査目的の達成を支援するために必要なものである。FAMは、財務監査における関連する統制目的を決定するための基礎を定めている。監査人は |
• FISCAM Framework for Business Process Controls (app. 500B, table 8) to identify (1) relevant user and application control objectives and (2) relevant general control objectives for key areas of audit interest at the business process level; | ・(1)関連するユーザ及びアプリケーションの統制目的、及び(2)ビジネスプロセスレベルにおける監査上の主要な関心分野の関連する全般統制目的を識別するために、ビジネスプロセス統制のためのFISCAMフレームワーク(附属書500B、表8)を使用する; |
• FISCAM Framework for Security Management (app. 500B, table 9) to (1) obtain an understanding of the entity’s information security management program, (2) identify relevant security management control objectives for key areas of audit interest at the system level (i.e., infrastructure, platform, and software), and (3) determine the likelihood that security management control activities will effectively achieve the relevant IS control objectives; | ・セキュリティ管理のためのFISCAMフレームワーク(附属書500B、表9):(1)事業体の情報セキュリティ管理プログラムを理解し、(2)システムレベル(すなわち、インフラストラクチャ、プラットフォーム及びソフトウエア)の監査上の主要な関心領域について、関連するセキュリティ管理統制目標を識別し、(3)セキュリティ管理統制活動が関連するIS統制目標を効果的に達成する可能性を判断する; |
• FISCAM Framework for Access Controls (app. 500B, table 10) to (1) identify relevant access control objectives for key areas of audit interest at the system level and (2) determine the likelihood that access control activities will effectively achieve the relevant IS control objectives; | ・アクセス制御のための FISCAM フレームワーク(附属書500B、表 10):(1)システムレベルの監査対象主要領域について、関連するアクセス制御目標を識別し、 (2)アクセス制御活動が関連する IS の管理目標を効果的に達成する可能性を判断する; |
• FISCAM Framework for Segregation of Duties (app. 500B, table 11) to (1) identify relevant segregation of duties control objectives for key areas of audit interest at the system level and (2) determine the likelihood that segregation of duties control activities will effectively achieve the relevant IS control objectives; | ・職務分掌のためのFISCAMフレームワーク(附属書500B、表11):(1)システム・レベルの主要な監査対象分野について、関連する職務分掌の管理目標を識別し、(2)職務分掌の管理活動が関連するISの管理目標を効果的に達成する可能性を判断する; |
• FISCAM Framework for Configuration Management (app. 500B, table 12) to (1) identify relevant configuration management control objectives for key areas of audit interest at the system level and (2) determine the likelihood that configuration management control activities will effectively achieve the relevant IS control objectives; and | ・構成管理のためのFISCAMフレームワーク(附属書500B、表12):(1)システム・レベルの主要な監査対象分野について、関連する構成管理統制目標を識別し、(2)構成管理統制活動が関連するIS統制目標を効果的に達成する可能性を判断する。 |
• FISCAM Framework for Contingency Planning (app. 500B, table 13) to (1) identify relevant contingency planning control objectives for key areas of audit interest at the system level and (2) determine the likelihood that contingency planning control activities will effectively achieve the relevant IS control objectives. | ・コンティンジェンシープランニングのためのFISCAMフレームワーク(附属書500B、表13)により、(1)システムレベルの主要な監査対象分野について、関連するコンティンジェンシープランニングの管理目標を識別し、(2)コンティンジェンシープランニングの管理活動が、関連するISの管理目標を効果的に達成する可能性を判断する。 |
.11 The auditor then preliminarily assesses IS risk, which is the auditor’s combined assessment of inherent risk and control risk related to the areas of audit interest. See section 260 for further discussion of the auditor’s preliminary assessment of IS risk. The auditor’s preliminary assessment of IS risk enables the auditor to establish an appropriate basis for planning the engagement to reduce audit risk to an acceptably low level. The auditor’s preliminary assessment of IS risk informs the auditor’s decisions regarding the nature, extent, and timing of IS control tests. | .11 次に、監査人はISリスクを予備的にアセスメントする。これは、監査人が、監査対象分野に関連する固有のリスクと統制リスクを合わせて評価するものである。監査人のISリスクの予備的評価の詳細については、260を参照されたい。監査人のISリスクの予備的評価により、監査人は、監査リスクを許容可能な低い水準に低減するための適切な監査計画の基礎を確立することができる。監査人のISリスクの予備的評価は、IS統制テストの性質、範囲及び時期に関する監査人の意思決定に反映される。 |
The auditor also determines the likelihood of effective general controls relevant to the areas of audit interest. This determination informs the nature, extent, and timing of (1) general control tests and (2) user and application control tests. Additionally, for federal financial audits, the likelihood of effective general control activities relevant to the areas of audit interest also informs the nature, extent, and timing of non-IS control tests. | また、監査人は、監査対象分野に関連する全般統制が有効である可能性を判断する。この判断は、(1)全般統制テスト、(2)ユーザ及びアプリケーションの統制テストの性質、範囲及び時期に反映される。さらに、連邦財務監査では、監査対象分野に関連する全般統制活動が有効である可能性も、非IS統制テストの性質、範囲、及び実施時期に反映される。 |
Testing Phase | テストフェーズ |
.13 The overall objective of the testing phase is to obtain sufficient, appropriate evidence for the design, implementation, and operating effectiveness of IS controls to the extent necessary to support the achievement of the engagement objectives. | .13 テストフェーズの全体的な目的は、監査目的の達成を支援するために必要な範囲で、IS統制の設計、実施及び運用の有効性に関する十分かつ適切な証拠を入手することである。 |
.14 During the testing phase, the auditor develops test plans to assist the auditor in obtaining sufficient, appropriate evidence to conclude on whether the entity’s IS controls are designed, implemented, and operating effectively to achieve the relevant IS control objectives for each of the areas of audit interest. When developing test plans, the auditor uses the FISCAM Framework to identify and select IS controls for testing. When selecting user, application, and general control activities for testing, the auditor considers the extent to which control dependencies exist between such controls and the potential affect they may have on achieving the related IS control objectives. A control dependency exists when the effectiveness of a control activity depends on the effectiveness of other control activities. For example, the effectiveness of a configurable control within application software will depend on the design of the application control, as well as related access and configuration management general controls designed to prevent or detect unauthorized changes to the control. The auditor also considers the likelihood that such IS control activities will be designed, implemented, and operating effectively. Once the auditor has selected the IS control activities that are likely to achieve the relevant IS control objectives and are most efficient for testing, the auditor determines the nature, extent, and timing of IS control tests. | .14 テストフェーズでは、監査人は、事業体のIS統制が、監査対象の各領域について、関連するIS統制の目的を達成するために設計され、実施され、かつ、有効に機能しているかどうかについて結論を出すために十分かつ適切な証拠を入手するためのテスト計画を策定する。監査人は、テスト計画を策定する際に、FISCAMフレームワークを使用して、テスト対象のIS統制を識別し、選定する。監査人は、テストのためにユーザ、アプリケーション及び全般統制活動を選択する際に、当該統制の間に統制の依存関係がどの程度存在するか、及び当該依存関係が関連するIS統制の目的の達成に及ぼす潜在的な影響を考慮する。統制の依存関係は、ある統制活動の有効性が他の統制活動の有効性に依存する場合に存在する。例えば、アプリケーションソフトウェア内の設定可能な統制の有効性は、アプリケーション統制の設計、及び統制に対する不正な変更を防止又は検知するために設計された関連するアクセス統制及び設定管理全般統制に依存する。監査人はまた、そのようなIS統制活動が設計され、実施され、効果的に運用される可能性も考慮する。監査人は、関連するIS統制の目的を達成する可能性が高く、テストに最も効率的なIS統制活動を選択したら、IS統制テストの性質、範囲及びタイミングを決定する。 |
.15 The auditor then performs control tests of the selected IS control activities using suitable criteria, determines whether the control activities tested are effective in achieving the relevant IS control objectives for the areas of audit interest, and performs an overall assessment of the evidence obtained. In performing an overall assessment of the collective evidence obtained throughout the IS controls assessment, the auditor reassesses IS risk and determines whether the audit procedures performed are adequate to reduce audit risk to an acceptably low level. | .15 次に、監査人は、適切な基準を使用して、選択したIS統制活動の統制テストを実施し、テストした統制活動が、監査対象領域に関する関連するIS統制の目的を達成するために有効であるかどうかを判断し、入手した証拠の総合的な評価を実施する。監査人は、IS統制の評価を通じて入手した証拠の総合的な評価を実施する際に、ISリスクを再評価し、実施した監査手続が監査リスクを許容可能な低水準に低減するために適切であるかどうかを判断する。 |
Reporting Phase | 報告フェーズ |
.16 The overall objective of the reporting phase is to determine the auditor’s compliance with FISCAM requirements and to communicate the results of an engagement. | .16 報告フェーズの全体的な目的は、監査人がFISCAMの要求事項に準拠しているかどうかを判断し、監査結果をコミュニケーションすることである。 |
Other Information | その他の情報 |
Technology | 技術 |
.17 The FISCAM methodology is technology neutral so that it can be applied without modification to a wide variety of IS controls assessments. Auditor Responsibility for Interim Changes | .17 FISCAMの手法は技術的に中立であるため、様々なIS統制の評価に変更なく適用できる。中間的な変更に対する監査人の責任 |
.18 IS control-related criteria change periodically. The auditor is responsible for monitoring any changes to IS control-related criteria and considering the effect of such changes on FISCAM methodology. | .18 IS統制関連の基準は定期的に変更される。監査人は、IS統制関連基準の変更を監視し、当該変更がFISCAM手法に及ぼす影響を検討する責任を負う。 |
140 Applicable Auditing and Attestation Standards and Requirements | 140 適用される監査基準及び要求事項 |
.01 In conducting the IS controls assessment in accordance with GAGAS, GAGAS requirements and guidance apply based on the type of engagement the auditor performs. | .01 GAGASに従ってIS統制の評価を実施する際には、監査人が実施する監査の種類に応じて、GAGASの要求事項及びガイダンスが適用される。 |
• For financial audits, the requirements and guidance in GAGAS chapters 1 through 6 and American Institute of Certified Public Accountants (AICPA) Statements on Auditing Standards apply. GAGAS incorporates by reference AICPA Statements on Auditing Standards for financial audits. However, FISCAM does not incorporate, directly or by reference, any specific auditor requirements presented in the statements. It is incumbent upon the auditor and audit organization to ensure that AICPA professional auditing standards are met when conducting financial audits in accordance with GAGAS. | ・会計監査については、GAGASセクション1章から第6章及び米国公認会計士協会(AICPA)の監査基準書の要求事項及びガイダンスが適用される。GAGASは、財務監査に関するAICPA監査基準を参考として取り入れている。しかし、FISCAMは、同基準に示された特定の監査人の要求事項を、直接的に、または参照することにより取り入れたものではない。監査人及び監査組織は、GAGASに従って財務監査を実施する際、AICPAの専門監査基準が満たされていることを確認する義務がある。 |
• For attestation-level examination, review, and agreed-upon procedures engagements, the requirements and guidance in GAGAS chapters 1 through 5 and 7 and AICPA Statements on Standards for Attestation Engagements apply. GAGAS incorporates by reference AICPA Statements on Standards for Attestation Engagements for attestation engagements. However, FISCAM does not incorporate, directly or by reference, any specific auditor requirements presented in the statements. It is incumbent upon the auditor and audit organization to ensure that AICPA professional auditing standards are met when conducting attestation engagements in accordance with GAGAS. | ・監査レベルの審査,レビュー及び合意された手続の業務については,GAGASセクション1章からセクション5章及び第7章並びにAICPA監査業務基準書の要求事項及び指針が適用される。GAGASは,AICPAの監査業務基準を参照することにより,監査業務に適用している。しかし,FISCAMは,AICPA監査業務基準書に示されている特定の監査人の要求事項を,直接的に又は参照することにより取り入れたものではない。監査人及び監査組織は,GAGASに従って監査業務を実施する際に,AICPAの専門監査基準が満たされていることを確認する義務がある。 |
• For performance audits, the requirements and guidance in GAGAS chapters 1 through 5, 8, and 9 apply. GAGAS does not incorporate other standards by reference, but recognizes that auditors may use or may be required to use other professional standards in conjunction with GAGAS. | ・パフォーマンス監査については,GAGASセクション1章からセクション5章,第8章,第9章の要求事項と指針が適用される。GAGASは,参照により他の標準を組み込んでいないが,監査人がGAGASと併用して他の専門的標準を使用すること,または使用することが要求される場合があることを認めている。 |
.02 FISCAM incorporates by reference the GAGAS requirements presented in chapters 1 through 9. Where appropriate, FISCAM expands on certain GAGAS requirements to provide additional guidance for the IS controls assessment. FISCAM does not specifically cite applicable GAGAS requirements. However, the auditor and audit organization are responsible for meeting all applicable requirements when conducting an engagement in accordance with GAGAS. | .02 FISCAMは、セクション1章から第9章に示されるGAGASの要求事項を参照により組み入れる。適切な場合、FISCAMは、IS統制評価のための追加ガイダンスを提供するために、特定のGAGAS要求事項を拡張している。FISCAMは、該当するGAGASの要求事項を具体的に引用していない。しかし、監査人及び監査組織は、GAGASに従って業務を実施する場合、適用される全ての要求事項を満たす責任がある。 |
.03 For federal financial audits, FISCAM is to be used in conjunction with the GAO and Council of the Inspectors General for Integrity and Efficiency Financial Audit Manual (FAM).[15] FAM includes references to the AICPA’s Clarified Statements on Auditing Standards (AU-C) and Clarified Statements on Standards for Attestation Engagements (AT-C). FISCAM refers to FAM for additional requirements and guidance, as appropriate. | .03 連邦財務監査の場合、FISCAMは、GAOおよび誠実性と効率性のための監察官評議会の財務監査マニュアル(FAM)と併せて使用される[15]。FAMには、AICPAの監査基準の明確化基準(AU-C)および監査業務の基準の明確化基準(AT-C)への参照が含まれている。フィス カムは、追加的な要求事項及びガイダンスについて、適宜、FAMを参照する。 |
.04 FISCAM does not incorporate directly or by reference any specific auditor requirements from other professional auditing standards, but recognizes that auditors may use or may be required to use other professional auditing standards in conjunction with FISCAM, such as the IT Audit Framework published by ISACA (formerly the Information Systems Audit and Control Association).[16] | .04 FISCAMは、他の専門的な監査基準からの特定の監査人の要求事項を直接的に又は参照することにより取り入れるものではないが、監査人が、ISACA(旧情報システム監査統制協会)が公表したIT監査フレームワークのような、FISCAMと併せて他の専門的な監査基準を利用することができる、又は利用することが要求される可能性があることを認識している[16]。 |
.05 The following terms are used in FISCAM to describe the degree of responsibility the corresponding statements impose on auditors and audit organizations: | .05 以下の用語は、FISCAMにおいて、対応する文言が監査人及び監査組織に課す責任の程度を表すために使用される: |
• Must. Compliance is mandatory when the circumstances exist to which the requirement is relevant. “Musts” indicate unconditional requirements that come directly from professional auditing standards. | ・しなければならない。要求事項が関連する状況が存在する場合,遵守は必須である。「Must」は,専門的な監査基準から直接導かれる無条件の要求事項を示す。 |
• Should. Compliance is mandatory when the circumstances exist to which the requirement is relevant, except in rare circumstances when the specific procedure to be performed would be ineffective in achieving the intent of the requirement. The auditor documents (1) the justification for any departure and (2) how the alternative audit procedures performed were sufficient to achieve the intent of the requirement or policy. | ・Should:実施すべき特定の手続が要求事項の意図の達成に有効でないような稀な状況を除き、要求事項が関連する状況が存在する場合には、遵守が必須である。監査人は、(1)逸脱を正当化する理由、及び(2)実施した代替的な監査手続が、要求事項又は方針の意図を達成するためにどのように十分であったかを文書化する。 |
• May. Compliance is optional. “May” is used in FISCAM to provide further explanation of and guidance for implementing auditor requirements. | ・May: 遵守は任意である。FISCAMでは、監査人の要求事項の実施に関する更なる説明及びガイダンスを提供するために、"May "が使用されている。 |
.06 When these or similar terms are used to describe management or entity actions (rather than actions of the auditor or audit organization), the general meaning of the terms is intended. | .06 これら又は類似の用語が、(監査人又は監査組織の行為ではなく)経営者又は事業体の行為 を説明するために使用される場合には、その用語の一般的な意味が意図されている。 |
150 Applicable Criteria | 150 適用基準 |
.01 Criteria identify the required or desired state or expectation with respect to the program or operation of internal controls. Suitable criteria are relevant, reliable, objective, and understandable and do not result in the omission of significant information, as applicable, to the engagement objectives. Criteria may include the statutes, regulations, executive orders, implementing entity guidance, directives, policies, contracts, grant agreements, standards, measures, expected performance, defined business practices, and benchmarks against which performance is compared or evaluated. | .01 基準は、内部統制のプログラム又は運用に関して、要求される又は望ましい状態又は期待を識別する。適切な基準は、関連性があり、信頼性があり、客観的で、理解可能であり、かつ、重要な情報が省略されないものでなければならない。基準には、法令、規則、大統領令、実施事業体ガイダンス、指令、方針、契約、補助金契約、標準、尺度、期待されるパフォーマンス、定義されたビジネス慣行、及びパフォーマンスが比較・評価されるベンチマークが含まれる。 |
.02 Criteria that are commonly applied to IS controls assessments conducted in accordance with FISCAM are discussed below. The engagement team is responsible for identifying and understanding additional criteria that may be applicable to the engagement. | .02 FISCAMに従って実施されるIS統制評価に一般的に適用される基準を以下に示す。エンゲージメントチームは、当該エンゲージメントに適用される可能性のある追加的な基準を特定し、理解する責任を負う。 |
Internal Control Standards | 内部統制標準 |
.03 The Federal Managers’ Financial Integrity Act (FMFIA)17 requires federal executive entity management to establish internal accounting and administrative controls consistent with internal control standards prescribed by the Comptroller General. These standards are presented in the Standards for Internal Control in the Federal Government (Green Book).[18] The Green Book prescribes these standards and provides criteria for assessing the design, implementation, and operating effectiveness of internal control in federal entities to determine if an internal control system is effective. The Green Book applies to all of an entity’s objectives: operations, reporting, and compliance. In implementing the Green Book, management is responsible for designing the policies and procedures to fit an entity’s circumstances and building them in as an integral part of the entity’s operations. | .03 連邦管理者財務健全性法(FMFIA)17 は、連邦行政事業体管理者に対し、会計検査院長の定める内部統制標準に合致した内部会計管理統制を確立することを義務付けている。これらの標準は、連邦政府内部統制標準(グリーンブック)[18]に示されている。グリーンブックは、これらの標準を規定し、内部統制システムが有効であるかどうかを判断するために、連邦事業体における内部統制の設計、実施、および運用の有効性を評価するための基準を提供している。グリーンブックは、事業体の目的である業務、報告、コンプライアンスのすべてに適用される。グリーンブックを実施するにあたり、経営者は、事業体の状況に合わせて方針と手続を設計し、事業体の業務に不可欠なものとして組み込む責任がある。 |
.14 The critical elements and control objectives included within the FISCAM Framework presented in appendix 500B are consistent with the principles and attributes included in the Green Book. | .14 附属書500Bに示されているFISCAMフレームワークに含まれる重要な要素と統制目標は、グリーンブックに含まれる原則と属性と一致している。 |
Office of Management and Budget Information and Guidance | 行政管理予算局の情報とガイダンス |
.05 Under the Federal Information Security Modernization Act of 2014 (FISMA),[19] the Office of Management and Budget (OMB), in coordination with the Department of Homeland Security (DHS), is responsible for overseeing civilian executive entity information security policies and practices based on standards developed by the National Institute of Standards and Technology (NIST) and promulgated by the Secretary of Commerce.[20] OMB uses circulars, bulletins, and memoranda to provide information and guidance, including in areas applicable to information security. OMB information and guidance are published at https://www.whitehouse.gov/omb/information-for-agencies. The following circulars provide guidance that establish information security requirements for federal executive entities: | .05 2014 年連邦情報セキュリティ近代化法(FISMA)に基づき[19]、国土安全保障省 (DHS)と連携して、行政管理予算局(OMB)は、国立標準技術研究所(NIST)が策定し、商務長官 が公布した標準に基づき、文民行政機関の情報セキュリティ方針と実務を監督する責任を負う[20]。OMB の情報と指針は、https://www.whitehouse.gov/omb/information-for-agencies で公表されている。以下のサーキュラーは、連邦行政事業体に対する情報セキュリティ要件を定めるガイダンスを提供している: |
• OMB Circular No. A-123, Management's Responsibility for Enterprise Risk Management and Internal Control, defines management’s responsibilities for enterprise risk management and internal control and requires agencies to integrate these functions.[21] | ・OMBサーキュラーNo.A-123「エンタープライズ・リスク・マネジメントおよび内部統制に関 するマネジメントの責任」は、エンタープライズ・リスク・マネジメントおよび内部統制に関 するマネジメントの責任を定義し、これらの機能を統合するよう機関に求めている[21]。 |
• OMB Circular No. A-130, Managing Information as a Strategic Resource, establishes general policy for the planning, budgeting, governance, acquisition, and management of federal information, workforce, equipment, information technology resources, and supporting infrastructure and services.[22] It also touches on many specific information resources management issues (e.g., privacy, confidentiality, information quality, dissemination, and statistical policy) that are covered more fully in other OMB policy guidance. | ・OMB Circular No.A-130「戦略的資源としての情報の管理」は、連邦政府の情報、労働力、設備、情報技術資源、およびそれを支えるインフラとサービスの計画、予算、ガバナンス、取得、および管理に関する一般的な方針を定めている[22]。また、OMBの他の政策ガイダンスでより詳しく扱われている多くの具体的な情報資源管理問題(プライバシー、機密保持、情報の質、普及、統計政策など)にも触れている。 |
NIST Standards and Guidelines | NIST 標準およびガイドライン |
.06 OMB Circular No. A-130 requires federal executive entities to apply the standards and guidelines contained in NIST Federal Information Processing Standards (FIPS) and NIST Special Publications (SP) (e.g., 800 series guidelines) and, where appropriate and directed by OMB, NIST Interagency or Internal Reports (NISTIR).[23] These standards and guidelines are published at https://csrc.nist.gov/publications.The following standards and guidelines are fundamental to information security requirements, risk assessments, and security and privacy controls for federal executive entities. | .06 OMBサーキュラーNo.A-130は、連邦行政機関に対し、NIST連邦情報処理標準(FIPS)およびNIST特別刊行物(SP)(800シリーズガイドラインなど)に含まれる標準およびガイドラインを適用すること、また適切でありOMBが指示する場合には、NIST省庁間または内部報告書(NISTIR)を適用することを求めている[23]。これらの標準およびガイドラインは、https://csrc.nist.gov/publications.The、以下の標準およびガイドラインは、連邦行政機関の情報セキュリティ要件、リスクアセスメント、セキュリティおよびプライバシー管理の基本である。 |
Federal Information Processing Standards | 連邦情報処理標準 |
.07 NIST develops FIPS for federal information systems in accordance with FISMA. NIST develops these standards and guidelines when there are no acceptable industry standards or solutions for a particular government requirement. NIST issues FIPS after approval by the Secretary of Commerce. The applicability section of each FIPS details when a standard is applicable and mandatory. | .07 NIST は、FISMA に従って連邦情報システムのための FIPS を策定している。NIST は、特定の政府要件について受け入れ可能な業界標準またはソリューションがない場合に、こ れらの標準およびガイドラインを策定する。NIST は、商務長官の承認後に FIPS を発行する。各 FIPS の適用可能性の項には、標準が適用され、必須となる場合の詳細が記載されている。 |
.08 Pursuant to FISMA, NIST developed and issued the following mandatory FIPSs that are fundamental to categorizing information and information systems and defining minimum security requirements for those systems: | .08 FISMA に従い、NIST は、情報および情報システムを分類し、それらのシステムに対する最低セ キュリティ要件を定義するための基本的な、以下の必須 FIPS を策定し、発行した: |
• FIPS 199, Standards for Security Categorization of Federal Information and Information Systems, establishes standards for the security categorization of federal information and information systems based on the objectives of providing appropriate levels of information security according to a range of risk levels.[24] Security categories are established for both information and information systems. | ・FIPS 199「連邦情報および情報システムのセキュリティ・カテゴリー化の標準」は、リスク・レ ベルの範囲に応じて適切なレベルの情報セキュリティをプロバイダするという目的に基づ いて、連邦情報および情報システムのセキュリティ・カテゴリー化の標準を確立する[24]。 |
• FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, establishes minimum security requirements for information and information systems.[25] The minimum security requirements cover security-related areas that support protecting the confidentiality, integrity, and availability of federal information systems and the information processed, stored, and transmitted by those systems. | ・FIPS 200「連邦情報および情報システムに対する最小限のセキュリティ要件」は、情報および情報システムに対する最小限のセキュリティ要件を定めている[25]。最小限のセキュリティ要件は、連邦情報システムおよびこれらのシステムによって処理、保管、および送信される情報の機密性、完全性、および可用性の保護を支援するセキュリティ関連分野をカバーしている。 |
FIPS publications do not apply to national security systems.[26] The Committee on National Security Systems is responsible for providing system security guidance for national security systems. Special Publications | FIPS 出版物は、国家安全保障システムには適用されない[26]。国家安全保障システム委員会は、国家安全保障システムのシステム・セキュリティ・ガイダンスを提供する責任を負う。特別出版物 |
.10 The following NIST SPs are fundamental to information system risk management, as well as selecting and implementing appropriate information security and privacy controls: | .10 以下の NIST SP は、情報システムのリスクマネジメント、ならびに適切な情報セキュリティおよびプライバ シーの管理策の選択および実施の基本である: |
• NIST SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, provides a process that includes preparing an organization to manage its security and privacy risks, categorizing information systems and information, selecting security controls, implementing security controls, assessing security controls, authorizing information systems, and monitoring the security and privacy posture of the information system and the organization.[27] While mandatory for federal agencies, the NIST Risk Management Framework may be applied to any type of nonfederal organization (e.g., business, industry, and academia). As such, state, local, territorial, and tribal governments as well as private sector organizations are encouraged to use these guidelines on a voluntary basis, as appropriate. | ・NIST SP 800-37「情報システム及び組織のためのリスクマネジメントフレームワーク(Risk Management Framework for Information Systems and Organizations)」: NIST SP 800-37「情報システム及び組織のためのリスクマネジメントフレームワーク:セキュリティ及びプライバシーのためのシステムライフサイクルアプローチ」は、組織がセキュリティ及びプライバシーのリスクを管理するための準備、情報システム及び情報の分類、セキュリティコントロールの選択、セキュリティコントロールの実施、セキュリティコントロールのリスクアセスメント、情報システムの権限付与、情報システム及び組織のセキュリティ及びプライバシーの状況の監視を含むプロセスを提供する[27]。そのため、州政府、地方政府、準州政府、部族政府、および民間組織は、適宜、自主的にこれらのガイドラインを使用することが推奨される。 |
• NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations, provides a catalog of security and privacy controls for information systems and organizations to protect organizational operations and assets, individuals, other organizations, and the United States from a diverse set of threats and risks.[28] FIPS 200 mandates the use of NIST SP 800-53 to develop a baseline of security controls for information systems. The control baselines that have previously been included in NIST SP 800-53 have been relocated to NIST SP 800-53B, Control Baselines for Information Systems and Organizations.[29] NIST SP 800-53B contains security and privacy control baselines for federal information systems and organizations and provides guidance for tailoring control baselines and for developing overlays to support the security and privacy requirements of stakeholders and their organizations. | ・NIST SP 800-53「情報システムおよび組織のためのセキュリティおよびプライバシ制 御」は、組織の業務と資産、個人、他の組織、 および米国を多様な脅威とリスクから保護するために、情報システムおよび組織のためのセ キュリティおよびプライバシ管理のカタログを提供する[28]。これまで NIST SP 800-53 に含まれていた管理ベースラインは、NIST SP 800-53B 「情報システムおよび組織のための管理ベースライン」に移された[29]。NIST SP 800-53B には、連邦政府の情報システムおよび組織のためのセキュリ ティおよびプライバシーの管理ベースラインが含まれ、管理ベースラインを調整し、利害関係者およびその組織のセキュリ ティおよびプライバシーの要件をサポートするオーバーレイを開発するための指針が示されている。 |
• NIST SP 800-70, National Checklist Program for IT Products: Guidelines for Checklist Users and Developers, provides guidance for implementing security controls using security configuration checklists specific to IT products or categories of IT products for an operational environment.[30] A security configuration checklist provides a series of instructions or procedures for configuring an IT product to a particular operational environment based on knowledge of security threats and vulnerabilities. | ・ NIST SP 800-70「IT 製品のための国家チェックリスト・プログラム」は、チェックリストの使用者と開発者のためのガイドラインである: チェックリストのユーザと開発者のためのガイドライン」は、運用環境の IT 製品または IT 製品のカテゴリーに特化したセキュリティ構成チェックリストを使用してセキュリティ対策を実施するためのガイダンスを提供している[30]。セキュリティ構成チェックリストは、セキュリティ上の脅威と脆弱性に関する知識に基づいて、特定の運用環境に IT 製品を構成するための一連の指示または手順を提供する。 |
.11 The illustrative control activities included within the FISCAM Framework address information security and privacy control requirements presented in NIST Computer Security Resource Center publications—and specifically include all information security and privacy control requirements presented in NIST SP 800-53. | .11 FISCAMフレームワークに含まれる例示的な管理活動は、NISTコンピュータセキュリティリソースセンターの出版物に提示されている情報セキュリティおよびプライバシー管理要件に対応しており、特にNIST SP 800-53に提示されているすべての情報セキュリティおよびプライバシー管理要件を含んでいる。 |
DHS Directives and Defense Information Systems Agency Security Technical Implementation Guides | DHS 指令および防衛情報システム局セキュリティ技術実施ガイド |
.12 Under FISMA, DHS, in consultation with OMB, is responsible for administering civilian executive entity information security policies, including developing and overseeing the implementation of binding operational directives to agencies to implement these policies; monitoring entities’ compliance with those policies; and assisting OMB in developing those policies.[31] DHS’s Cybersecurity and Infrastructure Security Agency (CISA) develops and oversees the implementation of binding operational directives and emergency directives. These directives cover entity-wide and infrastructure policies to address cybersecurity vulnerabilities for certain federal entities. These directives are published at https://www.cisa.gov/news-events/directives. | .12 FISMA に基づき、DHS は OMB と協議の上、文民行政機関の情報セキュリ ティ方針を管理する責任を負う。これには、これらの方針を実施するための事業体に対する 拘束的運用指令の策定と実施の監督、事業体の方針遵守の監視、および OMB による方針策定の支援が含まれる[31]。これらの指令は、特定の連邦事業体のサイバーセキュリティの脆弱性に対処するための事業体全体およびインフラストラクチャポリシーを対象としている。これらの指令は https://www.cisa.gov/news-events/directives で公表されている。 |
.13 Under FISMA, (1) the Department of Defense (DOD) is responsible for overseeing non-civilian executive entity information security policies for systems operated by DOD, a DOD contractor, or another entity on behalf of DOD; and (2) the Office of the Director of National Intelligence (ODNI) is responsible for overseeing non-civilian executive entity information security policies for systems operated by an element of the intelligence community, an intelligence entity’s contractor, or another entity on behalf of an intelligence entity.[32] Within DOD, the Director of the Defense Information Systems Agency (DISA) is responsible for developing Security Technical Implementation Guides (STIG) based on DOD policy and security controls.[33] DISA STIGs provide implementation guidance for specific products and versions. DISA STIGs contain all requirements flagged as applicable for a product that has been selected on a DOD control baseline. | .13 FISMA のもとでは、(1) 国防省(DOD)は、DOD、DOD の請負業者、または DOD に代わって他の事業体が運用するシステムの非文民執行機関情報セキュ リティ方針を監督する責任を負う。(2) 国家情報長官室(ODNI)は、情報コミュニティの要素、 情報機関の請負業者、または情報機関に代わって他の事業体が運用するシステムの非文民 執行機関情報セキュリティ方針を監督する責任を負う。 [国防総省内では、防衛情報システム局(DISA)局長が、国防総省の方針とセキュ リティ管理に基づいてセキュリティ技術実装ガイド(STIG)を策定する責任を負う[33]。DISA STIGには、DOD管理基準線上で選択された製品に適用可能であるとフラグ付けされたすべての要件が含まれる。 |
160 Overview of the FISCAM Framework | 160 FISCAM フレームワークの概要 |
.01 The FISCAM methodology incorporates the FISCAM Framework (app. 500B), which is an objectives-based control framework, to assist the auditor in identifying IS control objectives relevant to the areas of audit interest and selecting the IS control activities (or a combination of IS control activities) that are likely to achieve the relevant IS control objectives and are most efficient for testing. The FISCAM Framework presents control categories, critical elements, control objectives, illustrative control activities, and illustrative audit procedures to facilitate the auditor’s planning, testing, and reporting procedures. | .01 FISCAM手法は、監査人が監査対象分野に関連するIS統制目的を特定し、関連するIS統制目的を達成する可能性が高く、テストに最も効率的なIS統制活動(またはIS統制活動の組み合わせ)を選択するのを支援するために、目的に基づく統制フレームワークであるFISCAMフレームワーク(app.500B)を組み込んでいる。FISCAMフレームワークは、監査人の計画、テスト及び報告手続を容易にするために、統制カテゴリー、重要な要素、統制目的、例示的な統制活動及び例示的な監査手続を提示している。 |
.02 The control categories presented in the FISCAM Framework are consistent with those included in are consistent with the principles and attributes included in the Green Book. Additionally, the illustrative control activities presented in the FISCAM Framework are consistent with information security and privacy control requirements included in NIST Computer Security Resource Center publications—and specifically include all information security and privacy control requirements presented in NIST SP 800-53. | .02 FISCAMフレームワークで示される統制カテゴリーは、グリーンブックに含まれる原則及び属性と整合している。さらに、FISCAM フレームワークで示される例示的な統制活動は、NIST Computer Security Resource Center の出版物に含まれる情報セキュリティ及びプライバシー統制要件と整合しており、特に NIST SP 800-53 で示されるすべての情報セキュリティ及びプライバシー統制要件を含む。 |
.03 Though the FISCAM Framework presents illustrative control activities and illustrative audit procedures, it is not intended to be used as an audit plan. Rather, it is incumbent upon the auditor to develop an audit plan, which includes subordinate test plans, that responds to risk and adequately supports the achievement of the engagement objectives. Moreover, the illustrative control activities identified in the FISCAM Framework may not align with the information security and privacy controls the entity implemented. Based on a variety of factors, including business requirements, specific technologies employed, and potential adverse impacts, the entity selects and tailors control baselines for its information systems. The auditor is ultimately responsible for developing audit procedures to obtain sufficient, appropriate evidence to conclude on whether the entity’s IS controls are designed, implemented, and operating effectively to achieve the relevant IS control objectives for each of the areas of audit interest. | .03 FISCAM フレームワークは、例示的な統制活動と例示的な監査手順を提示しているが、監査 計画として使用することを意図していない。むしろ、リスクに対応し、監査目的の達成を適切に支援する、下位のテスト計画を含む監査計画を策定することは、監査人の責務である。さらに、FISCAMフレームワークで特定されている例示的な統制活動は、事業体が実施した情報セキュリティ及びプライバシー統制と一致しない可能性がある。事業体は、ビジネス上の要求事項、採用する特定の技術、潜在的な悪影響など様々な要因に基づいて、情報システムのコントロール・ベースラインを選択し、調整する。監査人は、事業体のIS統制が、監査対象の各分野について、関連するIS統制の目的を達成するために設計され、実施され、効果的に機能しているかどうかを結論付けるのに十分かつ適切な証拠を入手するための監査手続を策定する最終的な責任を負う。 |
[1] National Institute of Standards and Technology, Recommended Security Controls for Federal Information Systems, Special Publication 800-53, rev. 2 (Gaithersburg, Md.: December 2007). | [1] 米国国立標準技術研究所、連邦情報システムに対する推奨セキュリティ統制)、特別刊行物800-53、改訂2版(Gaithersburg, Md.:2007年12月)。 |
[2] National Institute of Standards and Technology, Security and Privacy Controls for Information Systems and Organizations, Special Publication 800-53, rev. 5 (Gaithersburg, Md.: September 2020). | [2] National Institute of Standards and Technology, Security and Privacy Controls for Information Systems and Organizations, Special Publication 800-53, rev. 5 (Gaithersburg, Md.: September 2020)。 |
[3] GAO and Council of the Inspectors General for Integrity and Efficiency, Financial Audit Manual, vol. 1, GAO-22-105894 (Washington, D.C.: June 2022, updated May 2023); Financial Audit Manual, vol. 2, GAO-22-105895 (Washington, D.C.: June 2022, updated May 2023); and Financial Audit Manual, vol. 3, GAO-21-105127 (Washington, D.C.: September 2021, updated June 2023). | [3] GAOおよびCouncil of the Inspectors General for Integrity and Efficiency, Financial Audit Manual, vol. 1, GAO-22-105894 (Washington, D.C.: June 2022, updated May 2023); Financial Audit Manual, vol. 2, GAO-22-105895 (Washington, D.C.: June 2022, updated May 2023); and Financial Audit Manual, vol. 3, GAO-21-105127 (Washington, D.C.: September 2021, updated June 2023). |
[4] GAO, Government Auditing Standards: 2018 Revision, GAO-21-368G (Washington, D.C.: July 2018, updated April 2021). | [4] GAO, Government Auditing Standards: 2018 Revision, GAO-21-368G (Washington, D.C.: July 2018, updated April 2021). |
[5] GAO, Standards for Internal Control in the Federal Government, GAO-14-704G (Washington, D.C.: September 2014). | [5] GAO, Standards for Internal Control in the Federal Government, GAO-14-704G (Washington, D.C.: September 2014)。 |
[6] National Institute of Standards and Technology, Security and Privacy Controls for Information Systems and Organizations, Special Publication 800-53, rev. 5 (Gaithersburg, Md.: September 2020). | [6] 国立標準技術研究所(National Institute of Standards and Technology)、情報システム及び機構のセキュリテ ィ及びプライバシー管理(Security and Privacy Controls for Information Systems and Organizations)、特別刊行物800-53、改訂5版(Gaithersburg, Md.:2020年9月)。 |
[7] Areas of audit interest are a subset of the entity’s information systems, information system components, and information system resources that, based on their significance to the engagement objectives, the auditor includes in the scope of the IS controls assessment. At the business process level, areas of audit interest may include business process applications, interfaces, data management systems, specific data files, and system-generated reports. At the system level, areas of audit interest may include operating systems, access control software, and hardware devices used for information processing, data storage, and network communications. | [7] 監査対象領域とは、事業体の情報システム、情報システムコンポーネント及び情報システムリソースのサブセットであり、監査目的に対する重要性に基づいて、監査人がIS統制評価の範囲に含めるものである。ビジネスプロセス・レベルでは、監査対象領域には、ビジネスプロセス・アプリケーション、インターフェース、データ管理システム、特定のデータファイル、及びシステムが生成するレポートが含まれる。システム・レベルでは、オペレーティング・システム、アクセス・コントロール・ソフトウェア、及び情報処理、データ保管、ネットワーク・コミュニケーションに使用されるハードウェア・デバイスが監査対象範囲に含まれる。 |
[8] GAO, Government Auditing Standards: 2018 Revision, GAO-21-368G (Washington, D.C.: July 2018, updated April 2021) para. 8.63. | [8] GAO, Government Auditing Standards: 2018 Revision, GAO-21-368G (Washington, D.C.: July 2018, updated April 2021) para. 8.63. |
[9] For FISCAM purposes, nonfederal entities include state, local, territorial, and tribal governments; nonprofits; and forprofit organizations. | [9] FISCAMの目的上、連邦政府以外の事業体には、州政府、地方政府、準州政府、部族政府、非営利団体、営利団体が含まれる。 |
[10] GAO-21-368G, para. 8.63. | [10] GAO-21-368G、パラグラフ8.63。 |
[11] GAO-21-368G, para. 8.63(a),(b),(c). | [11] GAO-21-368G, パラ8.63(a),(b),(c)。 |
[12] Nonrepudiation is protection against an individual falsely denying having performed a particular action. It provides the capability to determine whether a given individual took a particular action, such as creating information, sending a message, approving information, and receiving a message. | [12] 否認防止とは、個人が特定の行為を行ったことを偽って否定することに対する防御である。情報の作成、メッセージの送信、情報の承認、メッセージの受信など、特定の個人が特定の行動を取ったかどうかを判断する能力を提供する。 |
[13] GAO-21-368G, para. 8.63(a). | [13] GAO-21-368G, パラ8.63(a)。 |
[14] A documented set of specifications for an information system or a configuration item within a system that has been formally reviewed and agreed on at a given point in time and can be changed only through change control procedures. | [14] 情報システムまたはシステム内の構成項目に関する文書化された一連の仕様で、ある時点で正式に検討・合意され、変更管理手続きによってのみ変更可能なもの。 |
[15] GAO and Council of the Inspectors General for Integrity and Efficiency, Financial Audit Manual, vol. 1, GAO-22-105894 (Washington, D.C.: June 2022, updated May 2023); Financial Audit Manual, vol. 2, GAO-22-105895 (Washington, D.C.: June 2022, updated May 2023); and Financial Audit Manual, vol. 3, GAO-21-105127 (Washington, D.C.: September 2021, updated June 2023). | [15] GAO and Council of the Inspectors General for Integrity and Efficiency, Financial Audit Manual, vol. 1, GAO-22-105894 (Washington, D.C.: June 2022, updated May 2023); Financial Audit Manual, vol. 2, GAO-22-105895 (Washington, D.C.: June 2022, updated May 2023); and Financial Audit Manual, vol. 3, GAO-21-105127 (Washington, D.C.: September 2021, updated June 2023). |
[16] ISACA, IT Audit Framework (ITAF): A Professional Practices Framework for IT Audit, 4th ed. (Schaumburg, Ill.: 2020). | [16] ISACA, IT Audit Framework (ITAF): セクション4版(Schaumburg, Ill.: 2020)。 |
[17] 31 U.S.C. § 3512(c), (d). | [17]合衆国法律集セクション31編セクション3512条(c)、(d)。 |
[18] GAO, Standards for Internal Control in the Federal Government, GAO-14-704G (Washington, D.C.: September 2014). | [18] GAO, Standards for Internal Control in the Federal Government, GAO-14-704G (Washington, D.C.: September 2014)。 |
[19] Pub. L. No. 113-283, 128 Stat. 3073 (Dec. 18, 2014) (codified at 44 U.S.C. §§ 3551–3558). This 2014 statute largely superseded the similar Federal Information Security Management Act of 2002, Pub. L. No. 107-347, title III, 116 Stat. 2899, 2946 (Dec. 17, 2002). A number of FISMA provisions, such as those codified as 44 U.S.C. § 3553 (authority and functions of the OMB Director and the Secretary of Homeland Security) and 44 U.S.C. § 3554 (federal agency responsibilities), establish requirements in reference to the standards developed by NIST and promulgated by the Secretary of Commerce under 40 U.S.C. § 11331. | [19] Pub. L. No. 113-283, 128 Stat. 3073 (Dec. 18, 2014) (codified at 44 U.S.C. §§ 3551-3558). この2014年の法令は、2002年の同様の連邦情報セキュリティ管理法(Pub. L. No. 107-347, title III, 116 Stat. 2899, 2946 (Dec. 17, 2002). 合衆国法律集セクション44 編セクション3553 条(OMB 長官および国土安全保障長官の権限および機能)およ び合衆国法律集セクション44 編セクション3554 条(連邦機関の責任)として成文化されたものなど、多くの FISMA 条項は、NIST が開発し、合衆国法律集セクション40 編第 11331 条に基づき商務長官が公布した標準を参照して要件を定めている。 |
[20] NIST is established within the Department of Commerce as a science, engineering, technology and measurement laboratory and has a statutory role in developing standards and guidelines for federal information systems. 15 U.S.C. §§ 272(a), 278g-3. The Secretary of Commerce has authority for promulgating standards and guidelines pertaining to federal information systems, other than national security systems. 40 U.S.C. § 11331. | [20] NIST は、科学、工学、技術および測定の研究所として商務省に設置されており、連邦情報シス テムの標準およびガイドラインを策定する法的役割を有する。合衆国法律集第 15 編セクション272 条(a)、セクション278g-3。商務長官は、国家安全保障システム以外の連邦情報システムに関する標準およびガイドラインを 公布する権限を有する。合衆国法律集セクション40 編第 11331 条。 |
[21] Office of Management and Budget, Management's Responsibility for Enterprise Risk Management and Internal Control, OMB Circular A-123 (Washington, D.C.: July 15, 2016). | [21] 行政管理予算局、エンタープライズ・リスクマネジメントと内部統制に関 する経営者の責任、OMB Circular A-123(Washington, D.C.: July 15, 2016)。 |
[22] Office of Management and Budget, Managing Information as a Strategic Resource, OMB Circular A-130 (Washington, D.C.: July 15, 2016). | [22] 行政管理予算局、戦略的資源としての情報の管理、OMB Circular A-130(Washington, D.C.: July 15, 2016)。 |
[23] Office of Management and Budget, Managing Information as a Strategic Resource, pp. 18, App. I-4. | [23] 行政管理予算局、戦略的資源としての情報の管理、18頁、附属書I-4. |
[24] National Institute of Standards and Technology, Standards for Security Categorization of Federal Information and Information Systems, FIPS 199 (Gaithersburg, Md.: March 2004). | [24] 国立標準技術研究所、連邦情報および情報システムのセキュリティ分類標準、FIPS 199(メリーランド州ゲイサーズバーグ:2004年3月)。 |
[25] National Institute of Standards and Technology, Minimum Security Requirements for Federal Information and Information Systems, FIPS 200 (Gaithersburg, Md.: March 2006). | [25] 国立標準技術研究所、連邦情報および情報システムに対する最低セキュリティ要件、FIPS 200(Gaithersburg, Md.:2006年3月)。 |
[26] FISMA (44 U.S.C. § 3552) defines a national security system (NSS) as any information system (including any telecommunications system) used or operated by an agency or by a contractor of an agency, or other organization on behalf of an agency— (i) the function, operation, or use of which involves intelligence activities; involves cryptologic activities related to national security; involves command and control of military forces; involves equipment that is an integral part of a weapon or weapons system; or is critical to the direct fulfillment of military or intelligence missions (excluding a system that is to be used for routine administrative and business applications, for example, payroll, finance, logistics, and personnel management applications); or (ii) is protected at all times by procedures established for information that have been specifically authorized under criteria established by an Executive Order or an Act of Congress to be kept classified in the interest of national defense or foreign policy. NSS does not include a system that is to be used for routine administrative and business applications (including payroll, finance, logistics, and personnel management applications). A number of FISMA provisions, such as those codified as sections 3553 and 3554 of Title 44, U.S. Code, establish requirements related to 40 U.S.C. § 11331, which specifically excludes national security systems. | [26] FISMA (44 U.S.C. § 3552)は、国家安全保障システム(NSS)を、政府機関、政府機関の請負業者、または政府 機関に代わって他の組織が使用または運用する情報システム(電気通信システムを含む)と定義している。 (i) その機能、運用、または使用が、諜報活動に関与するもの、国家安全保障に関連する暗号活動に関与するもの、軍事力の指揮統制に関与するもの、兵器または兵器システムの不可欠な部分である機器に関与するもの、軍事的または諜報的任務の直接的な遂行に不可欠なもの(例えば、給与計算、財務、兵站、および人事管理アプリケーションなど、日常的な管理および業務アプリケーションに使用されるシステムを除く。 (ii) 国防または外交政策のために機密扱いとすることが大統領令または議会法によって定 められた基準に基づいて特別に許可された情報のために確立された手続きによって常時保 護される。NSSには、日常的な管理および業務アプリケーション(給与計算、財務、ロジスティクス、および人事管理アプリケーションを含む)に使用されるシステムは含まれない。米国法典第 44 編第 3553 条および第 3554 条として体系化されているものなど、多くの FISMA 条項は、国家安全保障システムを特に除外している合衆国法律集第 40 編第 11331 条に関連する要件を定めている。 |
[27] National Institute of Standards and Technology, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, SP 800-37, rev. 2 (Gaithersburg, Md.: December 2018). | [27] 国立標準技術研究所、情報システム及び機構のためのリスクマネジメントフレームワーク: A System Life Cycle Approach for Security and Privacy, SP 800-37, rev. 2 (Gaithersburg, Md.: December 2018). |
[28] National Institute of Standards and Technology, Security and Privacy Controls for Information Systems and Organizations, SP 800-53, rev. 5 (Gaithersburg, Md.: September 2020). | [28] 米国国立標準技術研究所)、情報システム及び機構のためのセキュリティ及びプライバシー管理()、SP 800-53、改訂5版(Gaithersburg, Md.:2020年9月)。 |
[29] National Institute of Standards and Technology, Control Baselines for Information Systems and Organizations, SP 800-53B (Gaithersburg, Md.: December 2020). | [29] 米国国立標準技術研究所、情報システム及び機構 のためのコントロール・ベースライン、SP 800-53B(Gaithersburg, Md.:2020年12月)。 |
[30] National Institute of Standards and Technology, National Checklist Program for IT Products: Guidelines for Checklist Users and Developers, SP 800-70, rev. 4 (Gaithersburg, Md.: December 2018). | [30] 国立標準技術研究所、IT製品のための国家チェックリスト・プログラム: チェックリストの利用者と開発者のためのガイドライン、SP 800-70、rev. 4 (Gaithersburg, Md.: December 2018)を参照のこと。 |
[31] See FISMA, codified, in part, at 44 U.S.C. § 3553, which sets out the authority and functions of the OMB Director and the Secretary of Homeland Security. | [31] OMB長官と国土安全保障長官の権限と機能を定めた、44 U.S.C. § 3553で一部成文化されたFISMAを参照のこと。 |
[32] See FISMA, codified, in part, at 44 U.S.C. § 3553(e), which sets out the authority of the Secretary of Defense in relation to Department of Defense information systems and the Director of National Intelligence in relation to the intelligence community’s information systems. | [32] 44U.S.C.§3553(e)に一部法典化されているFISMAを参照のこと、 これは、国防総省の情報システムに関する国防長官の権限と、情報コミュニティの情報システムに関する国家情報長官の権限を定めたものである。 |
[33] DOD Instruction 8500.01, “Cybersecurity” (rev. Oct. 7, 2019). | [33] 国防総省訓令 8500.01「サイバーセキュリティ」(2019 年 10 月 7 日改訂)。 |
[34] GAO-21-368G, para. 8.63. | [34] GAO-21-368G、パラ8.63。 |
Comments