内部監査を行っていると、GTAGという言葉を一度は聞いたことがあるかと思います。GTAGはとても重要なガイドであるという認識はあるものの、具体的にGTAGはなぜ重要で、どのようなメリットがあるのかなどについて、完全に理解されている方は少ないかと思います。

本記事では、GTAGとはどのようなもので、なぜ重要なのかについて解説します。

また、GTAGのシリーズについても何点かピックアップさせて頂き、その要点と内容についても解説します。GTAGについては、公認内部監査人の試験範囲にも大きく関わってくる内容となりますので、公認内部監査人の学習をされている方の参考資料としてもご活用頂けるよう、なるべく具体的に分かりやすく解説させて頂きます。

GTAGについて理解を深めたい方や公認内部監査人(CIA)の勉強をされている方などは、是非とも参考にしてください。

目次
そもそもGTAGとは何か？
GTAGはなぜ重要なのか
GTAGシリーズについて
GTAGの内容に沿ったIT監査を実施しよう

GTAGとは、内部監査部門長、監査委員会、経営者層向けに提供されるITマネジメントとIT監査についての国際的なガイドです。

GTAGの特徴は、ITマネジメントやIT監査などのテーマに深く関わるITコントロールやITアウトソーシングなどについて、その意味や解釈方法などが解説されている点にあります。

参照：ＩＩＡが提供するＩＴ監査のガイダンス 「ＧＴＡＧ」の紹介

GTAGが重要である理由は、内部監査の専門職的実施の国際基準に情報システムに関する内容が含まれているからです。

例えば、基準2120.A1 リスクマネジメントに関する基準で申し上げると、基準には「内部監査部門は以下に関わる組織体のガバナンス、業務および情報システムに関するリスク・エクスポージャー（リスクに曝されている度合い）を評価しなければならない。」と記載されており、組織体の情報システムについて正しく理解した上で、組織体の戦略目標や資産の保全状況などについてアシュアランスしなければならないことがわかります。

GTAGに記載されている内容というのは、このアシュアランスを適切に行うためのツールとなりうるものですので、ITマネジメントやIT監査などで適用させる意義があると言えます。

参照：内部監査の専門職的実施の国際基準

GTAGの種類は多岐にわたり、削除されているものを除いても全部で約20種類ほど存在します。種類が豊富なGTAGですが、内部監査部門長や経営者などに向けたガイドですので、内部監査部門長や経営者のニーズや関心が高いテーマが多いです。

また、GTAGに記載されている内容というのは、原理や原則のようなものが多いため、自社に置き換えて解釈し、どのように運用するかを考える必要があります。

今回は、GTAGシリーズの中で、日本語参照資料があるものを6点ほどピックアップして、解説します。自社に置き換えながら読んで頂くと、現状とあるべき姿のギャップに気付きやすくなるかと思いますので、その点も考慮しながらご確認ください。

参照：IT監査資料集

まずは無料の説明会にご参加ください。

1点目は、「GTAG1：ITコントロール」です。GTAGでは、ITコントロールを「情報および情報サービスへアシュアランスをもたらし、テクノロジーの利用にともなうリスクの低減に寄与するプロセス」と定義しています。

特に、どのようなITコントロールなら効果的にリスク低減できるかがポイントです。効果的にリスク低減を行うためのITコントロールは多岐にわたりますが、自社の状況などを考慮して分析しなければならないとして、その際に参考にして頂きたいのが、GTAGが公表したITコントロールのフレームワークです。このフレームワークの特徴は、ITコントロールを「種類」「役割」「時期」の3つの観点から分析できるようにし、ITコントロールの分類を容易にしている点です。

これらの観点について、ご説明します。

「種類」では、「IT全般統制」と「IT業務処理統制」という形で分類することができます。IT全般統制は、主に会社全体に関するものが該当します。IT業務処理統制は、主にシステムの入力、処理、出力に関するものが該当します。

「役割」では、「ガバナンス統制」と「マネジメント統制」と「技術的統制」という形で分類することができます。ガバナンス統制は、ITに関するセキュリティ方針や基準の策定などが該当します。マネジメント統制は、機密データや情報資産の運用などが該当します。技術的統制は、ガバナンス統制やマネジメント統制を支えるシステムやソフトウェアの状況などが該当します。

「時期」では、「予防的統制」と「発見的統制」と「是正的統制」という形で分類することができます。予防的統制は、起きてはならない事象を未然に防ぐための統制で、発見的統制は起きてしまった事象を適時に発見出来るようにするための統制で、是正的統制は、起きてしまった事象を修正するための統制となります。

上記の内容を踏まえると、統制について分解することが可能となります。

例えば、ファイアウォールの場合、社内システムを不正にアクセスされることを未然に防ぐための統制ですので、全般統制（論理的統制）かつ技術的統制かつ予防的統制であると言えます。このような形でITコントロールを分類していくことで、状況に合った統制手段を講じることができます。

参照：IT コントロール

2点目は、「GTAG2：組織の成功に不可欠な変更・パッチ管理のコントロール」です。ビジネスプロセスのアウトソーシングやERPが仮に失敗してしまったことを想定すると、それらの変更やパッチ管理に関する必要性は高いと言えます。その背景から、GTAG2は、変更やパッチ管理に関するコントロールをテーマとしたガイドとなっています。

GTAG2では、IT変更管理のあるべき姿や良好な変更について、パッチコントロールのメリットや監査ポイントなどについて解説している点が特徴です。変更・パッチ管理プロセスについては、誤った操作を実施してしまうことで、システムに関する統制が機能しなくなる可能性がありますので、非常にリスクが高いと言えます。そのような事態にならないよう、特に変更管理などを取り扱う際はGTAG2を参考にして頂きたいです。

参照：組織の成功に不可欠な 変更・パッチ管理のコントロール

3点目は、「GTAG3：継続的監査」です。ITの急激な進化と普及により、ITシステムによるエラーや不正といったリスクは継続的に曝されていると言えますが、だからこそ、そういったリスクに対するコントロールが効果的に機能していなければなりません。その裏付けとして、一連の活動に対するアシュアランスを行うことへの要求が高まった背景から、GTAG3が誕生しました。

GTAG3の特徴は、「継続的監査」と「継続的モニタリング」と「継続的アシュアランス」という３つの概念を定義している点にあります。継続的という言葉がついていますので、一時的に実施して終了というものではありません。

「継続的監査」で求められるのは、ITコントロールとリスク・アセスメントを含む継続的な監査関連活動を実施する方法です。実務に置き換えると、定期的な内部監査の実施やフォローアップ監査の実施が該当します。

「継続的モニタリング」で求められるのは、方針・規程などをもとにプロセスの効果的な運用を確実にする方法とコントロールの十分性と有効性を評価する方法です。方針・規程などについては、業務や財務部門の経営管理者により実施されると言及しており、コントロールの十分性と有効性の評価については、内部監査部門で実施されると言及しています。

「継続的アシュアランス」で求められるのは、上記の継続的監査と継続的モニタリングの組み合わせによるものです。例えば、継続的監査や継続的モニタリングの中で見過ごしなどのミスがあった際は、それらをピックアップし、アシュアランスする際の留意点として取り上げ、必要とあれば監査に組み込むなどして、継続的にミスの防止に努めるといった流れを継続的に実施できるようにします。

参照：継続的監査

4点目は、「GTAG4：IT監査のマネジメント」です。GTAG4が最もIT監査について言及されており、特にシステム関係に関するIT監査を実施する際に有効です。GTAG4では、IT監査計画に含まれるべき監査領域の定義から明確にし、ITに関連するリスク、監査範囲、監査の管理方法についても細かく解説されています。

GTAG4によるITの定義に則ると、ITは「IT管理」「技術的インフラ」「アプリケーション」「外部との接続」という4つの層から分けることができます。ITの定義をIT関連リスクと照らし合わせ、自社内で最もリスクレベルが高いIT分野を選定し、監査を実施することができるのが強みと言えます。

参照：ＩＴ監査のマネジメント

5点目は、「GTAG7：ITアウトソーシング」です。ITと一言で言っても、IT分野は多種多様にありますが、その中でも特に専門的なIT分野については、アウトソーシングすることが増えてきています。GTAG7では、IT分野をアウトソースする際のリスクや監査においてチェックすべき項目などについて、記載されています。

例えば、契約書またはSLAの遵守状況のモニタリング手段をヒアリングしたり、アウトソースされた業務に関するガバナンス構造がどのようなもので、役割と責任は明確に定められているかなどをチェックするなどが該当します。

参照：IT アウトソーシング

6点目は、「GTAG8：業務処理統制の監査」です。「GTAG1：ITコントロール」内でも業務処理統制という言葉が出てきましたが、その業務処理統制の監査について重点的に解説されているのが、GTAG8です。

業務処理の必要性について解説すると、もし誤った情報がシステムに入力された時、エラーなどが発生せずにそのまま処理され、出力されてしまうことで、出力されたデータや書類は不備だらけとなってしまいます。仮に出力されたデータや書類が、有価証券報告書や内部統制報告書の一部のデータや書類であるとすれば、そのまま開示されてしまうことで、ステークホルダーに誤った情報を提供したことに繋がってしまいますので、このような事態は避けなければなりません。

業務処理統制の監査では、システムの入力段階、処理段階、出力段階が正確かつ適時に実施されているかを確認するために、どのようなシステムが導入されており、どのように機能しているかなどを確認するための監査を実施します。

参照：業務処理統制の監査

GTAGが重要だと言える理由は、このボリュームの多さと汎用性の高さにあります。あらゆる場面で適用させることで、IT監査を有効的かつ効率的に実施することも可能ですし、内部統制にITシステムを導入したり、見直したりする際にも役に立ちます。

そんなGTAGですが、公認内部監査人の試験範囲にも含まれていることから、重要度は高いものであることが分かります。GTAGについて学び、自社の内部監査に組み込むといったことができるようになると、IT監査の幅は大きく広がりますので、GTAGは是非とも活用していきましょう。

最後までお読みいただきありがとうございました。

アビタスでは2005年にCIAプログラムを開講して以来、圧倒的な合格実績を挙げ続けています。合格率を上げるために、オリジナル教材と講師の質の良さにこだわっています。

講師は対法人向けの内部監査の実務研修も行っており、専門分野の知識だけでなく、ティーチングスキルにも優れているのが魅力です。

また通学・通信を併用できるコースや、スキマ時間で学習できるコンテンツなども揃えており、忙しい社会人でも効率よく学習できる環境が整っています。

CIAをはじめとする内部監査に関する資格取得を目指している方は、ぜひアビタスの利用を検討してみてください。

まずは無料の説明会にご参加ください。