米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05)
こんにちは、丸山満彦です。
GAOは今年の2月に監査基準(イエローブック)も改訂したのですが、システム統制監査マニュアルも15年ぶりに改訂しましたね...500ページを超える対策です...
セキュリティも重要ですが、セキュリティも含めて考慮するシステム統制はより重要ですね...SAP導入トラブルとかもあるし...
日本の会計検査院ももっとシステム監査をすればよいのにね...業務監査イコールほぼシステム監査になってきますよ... これから...
● GAO
・2024.09.05 Federal Information System Controls Audit Manual (FISCAM) 2024 Revision
Federal Information System Controls Audit Manual (FISCAM) 2024 Revision | 連邦情報システム統制監査マニュアル(FISCAM)2024年改訂版 |
GAO-24-107026 | GAO-24-107026 |
Fast Facts | ファスト・ファクト |
Given the extensive use of information systems in government operations, it is essential that federal agencies have effective controls over these systems. | 政府業務における情報システムの広範な利用を踏まえ、連邦政府機関がこれらのシステムに対して効果的な管理を行うことが不可欠である。 |
The Federal Information System Controls Audit Manual (FISCAM) provides auditors a methodology and framework for assessing the design, implementation, and operating effectiveness of these controls in accordance with the Yellow Book. | 連邦情報システム管理監査マニュアル(FISCAM)は、監査人に、イエローブックに準拠したこれらの管理の設計、実装、運用効果のアセスメントのための方法論と枠組みを提供する。 |
This September 2024 revision replaces the 2009 version of FISCAM. This update reflects changes in auditing standards, guidance, control criteria, and technology. | 2024年9月の改訂版は、2009年版のFISCAMに代わるものである。今回の更新は、監査標準、指針、管理規準、およびテクノロジーの変化を反映したものである。 |
Highlights | ハイライト |
GAO maintains the Federal Information System Controls Audit Manual (FISCAM). The 2024 revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. | GAOは連邦情報システム管理監査マニュアル(FISCAM)を維持する。FISCAMの2024年改訂版は、フォーカスグループ、内部および外部の当局者、利害関係者、およびユーザーとのインタビュー、および一般からのコメントの収集と組み込みを含む広範な審議プロセスを経てきた。2024年改訂版FISCAMの最終化にあたっては、すべての関係者の意見が十分に考慮された。 |
・[PDF] Federal Information System Controls Audit Manual
目次...
Foreword | まえがき |
100 Introduction | 100 序文 |
110 Overview of FISCAM | 110 FISCAMの概要 |
120 Fundamental IS Control Concepts | 120 ISコントロールの基本概念 |
130 Applicable Auditing and Attestation Standards and Requirements | 130 適用される監査基準および監査要求事項 |
140 Applicable Criteria | 140 適用規準 |
200 Planning Phase | 200 計画フェーズ |
210 Overview of the Planning Phase | 210 計画フェーズの概要 |
220 Perform Preliminary Engagement Activities | 220 予備的な関与活動を行う |
230 Understand the Entity’s Operations | 230 事業体を理解する |
240 Understand the Entity’s Information Security Management Program | 240 事業体の情報セキュリティ管理プログラムを理解する |
250 Define the Scope of the IS Controls Assessment | 250 IS統制アセスメントの範囲を定義する |
260 Assess IS Control Risk on a Preliminary Basis | 260 IS統制リスクを予備的にアセスメントする。 |
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls | 270 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する。 |
280 Prepare Planning Phase Documentation | 280 計画フェーズの文書作成 |
300 Testing Phase | 300 検証フェーズ |
310 Overview of the Testing Phase | 310 検証フェーズの概要 |
320 Identify Relevant IS Controls | 320 関連する IS 統制を識別する |
330 Determine the Nature, Timing, and Extent of IS Control Tests | 330 IS統制テストの性質、タイミング、および範囲を決定する。 |
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies | 340 IS統制テストを実施し、IS統制の不備の重大性を含め、その結果を評価する。 |
350 Prepare Testing Phase Documentation | 350 検証フェーズの文書作成 |
400 Reporting Phase | 400 報告フェーズ |
410 Overview of the Reporting Phase | 410 報告フェーズの概要 |
420 Determine Compliance with FISCAM | 420 FISCAMへの準拠を決定する |
430 Draft Report | 430 ドラフトレポート |
440 Prepare Reporting Phase Documentation | 440 報告フェーズの文書作成 |
500 FISCAM Framework | 500 FISCAMフレームワーク |
510 Overview of the FISCAM Framework | 510 FISCAMフレームワークの概要 |
520 FISCAM Framework for Business Process Controls | 520 ビジネス・プロセス・コントロールのためのFISCAMフレームワーク |
530 FISCAM Framework for Security Management | 530 セキュリティ管理のためのFISCAMフレームワーク |
540 FISCAM Framework for Access Controls | 540 アクセス管理のためのFISCAMフレームワーク |
550 FISCAM Framework for Segregation of Duties | 550 職務分離のためのFISCAMフレームワーク |
560 FISCAM Framework for Configuration Management | 560 構成管理のためのFISCAMフレームワーク |
570 FISCAM Framework for Contingency Planning | 570 コンティンジェンシープランニングのためのFISCAMフレームワーク |
Appendix 600A Glossary | 附属書 600A 用語集 |
Appendix 600B FISCAM Assessment Completion Checklist | 附属書 600B FISCAMアセスメント完了チェックリスト |
Appendix 600C FISCAM Security Management Questionnaire | 附属書 600C FISCAM セキュリティ管理質問票 |
まえがき...
Foreword | まえがき |
Given the extensive use of information systems in government operations, information system controls are integral to an entity’s internal control system—a continuous built-in component of operations, effected by people, that provides reasonable assurance, not absolute assurance, that an entity’s objectives will be achieved. An information system controls assessment is an essential component of an auditor’s examination of an entity’s internal control system. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing information system controls. | 情報システム統制は、事業体の内部統制システムに不可欠なものであり、事業体の目的が達成されるという絶対的な保証ではなく、合理的な保証を提供する、人による継続的な業務の組み込み要素である。情報システムコントロールのアセスメントは、監査人による事業体の内部統制システムの検査の必須事業体である。連邦情報システム統制監査マニュアル(FISCAM)は、情報システム統制を評価するための手法を提示している。 |
The 2024 revision of FISCAM contains major changes from, and supersedes, the 2009 revision. Major changes are summarized below. | FISCAMの2024年改訂版は、2009年改訂版からの主な変更点を含み、2009年改訂版に取って代わるものである。主な変更点は以下の通りである。 |
• All sections are presented in a reorganized format that differentiates between introductory material; the information system controls assessment methodology; the information system controls framework, which is integral to the methodology; and other supplementary material. | • すべてのセクションは、序論、情報システムコントロールのアセスメント方法論、方法論に不可欠な情報システムコントロールのフレームワーク、およびその他の補足資料を区別するために再構成された形式で提示されている。 |
• The methodology and framework are updated to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. | • この方法論と枠組みは、前回の改訂以降の関連する監査標準、ガイダンス、統制規準、技術の変化を反映し、更新されている。 |
• The introduction is revised to clarify the manual’s purpose and applicability, as well as information system control concepts that are foundational to using the methodology and framework. This includes the addition of figures to assist the auditor in understanding certain concepts. | • 序文は、マニュアルの目的と適用可能性、及び方法論とフレームワークを使用する上で基礎となる情報システムコントロールの概念を明確にするために改訂された。これには、監査人が特定の概念を理解するための図表の追加も含まれている。 |
• The planning phase of the methodology is expanded to provide additional guidance on defining the scope of the information system controls assessment, which includes identifying and obtaining an understanding of significant business processes, business process controls, and areas of audit interest. The planning phase is also expanded to clarify the auditor’s responsibilities for assessing information system control risk, identifying relevant control objectives, and determining the likelihood of effective general controls in planning further audit procedures. | • この方法論の計画フェーズは、重要なビジネスプロセス、ビジネスプロセス・コントロール及び監査上の関心領域を識別し、理解することを含む、情報システム・コントロールのアセスメントの範囲を定義するための追加的な指針を提供するために拡大されている。また、計画フェーズを拡大し、更なる監査手続の計画において、情報システム統制リスクのアセスメント、関連する統制目標の識別、及び全般統制が有効である可能性の判断に関する監査人の責任を明確にしている。 |
• The testing phase of the methodology is expanded to provide additional guidance on the nature, timing, and extent of information system controls testing and on evaluating the significance of any information system control deficiencies identified and their effect on information system control risk. | • 方法論の検証フェーズは、情報システム統制テストの性質、時期及び範囲、並びに識別された情報システム統制の欠陥の重要性及び情報システム統制リスクへの影響の評価に関する追加ガイダンスを提供するために拡大されている。 |
• The reporting phase of the methodology is expanded to provide additional guidance on determining compliance with the methodology and reporting on the results of the information system controls assessment. | • 方法論の報告フェーズが拡大され、方法論への準拠を決定し、情報システム統制アセスメントの結果を報告するための追加ガイダンスが提供される。 |
• The framework is simplified through combining of the general and application security control categories in the 2009 FISCAM into five general control categories: (1) security management, (2) access controls, (3) segregation of duties, (4) configuration management, and (5) contingency planning. In addition, the business process, interface, and data management system controls, as well as certain application security control considerations, are reorganized and collectively renamed business process controls. | • この枠組みは、2009年版FISCAMの全般統制及びアプリケーション・セキュリティ統制のカテゴリーを、(1)セキュリティ管理、(2)アクセス管理、(3)職務分掌、(4)構成管理、(5)危機管理計画の5つの全般統制のカテゴリーに統合することにより簡素化されている。加えて、ビジネスプロセス、インターフェイス、及びデータ管理システムの管理、並びに特定のアプリケーションセキュリティ管理の考慮事項が再編成され、まとめてビジネスプロセス管理という名称に変更された。 |
• The framework is revised to align with the principles and attributes in the Standards for Internal Control in the Federal Government (known as the Green Book). | • このフレームワークは、連邦政府内部統制標準(通称グリーンブック)の原則と属性に沿うように改訂されている。 |
• The appendixes are updated to provide supplementary guidance to assist the auditor in applying the methodology and framework. | • 附属書は、監査人が方法論とフレームワークを適用する際の助けとなる補足ガイダンスを提供するために更新された。 |
This revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. | このFISCAMの改訂は、フォーカスグループ、内外の関係者、利害関係者、ユーザーとの面談、パブリックコメントの収集と反映など、広範な審議プロセスを経て行われた。すべての関係者の意見は、FISCAMの2024年改訂版の最終決定において徹底的に考慮された。 |
The 2024 revision of FISCAM is effective for engagements beginning on or after October 1, 2024. | FISCAMの2024年改訂版は、2024年10月1日以降に開始する契約から適用される。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.02.03 米国 GAO 監査基準書 (イエローブック)2024年版
Recent Comments