ITガバナンス・IT-BCP

金融機関向け(金融サービスプロバイダー含む)システム監査サービス

構築・策定 訓練・演習 金融

金融業界は公共性が高く社会インフラ機能を担っており、他業種に比べてより堅牢なITシステムかつ強固なセキュリティレベルが求められます。その対象は、金融機関はもちろんのこと、金融機関向けにサービスを提供する事業者も含まれます。つまり、金融機関向けにクラウドサービス等のITサービスやITソリューションを提供する事業者はFISC(金融情報システムセンター)の安全対策基準やシステム監査基準等に即した対応が必要です。

また、金融(Finance)と最新テクノロジー(Technology)の融合による新たな金融関連サービスを指すFinTechをはじめとするDX(デジタルトランスフォーメーション)が叫ばれている中、FISCの基準類も常に新しいITシステム環境に合わせて更新が重ねられており、新技術の採用にあたってはFISCの安全対策基準等を踏まえて運用していくことも不可欠です。

しかしながら、FISC等への準拠対応について必要性があると認識しているものの、どこまでの範囲を対応させる必要があるのか、客観性を持った内部監査ができない、最新版への対応には一定のリソースを割かねばならず古い安全対策基準のまま監査を行っている等の課題を抱える企業は少なくありません。

本サービスでは、金融機関(金融機関向けにサービスを提供する事業者も含む)を対象に、FISCが提供する最新版の基準等を用いて、第三者の目で客観的にルール・プロセス、ITシステムやセキュリティツール類の設定等の整備状況をチェックし、またそのルールが有効に機能しているか、インタビューや記録類の確認、実査等を通して運用状況の監査を実施し改善につなげていきます。このサイクルを回していくことで、FISCの最新版の安全対策基準への対応を実現し、セキュリティの向上と取引先からの信頼獲得につなげます。

このようなお客様におすすめします

本サービスは、金融機関(金融機関向けにサービスを提供する事業者も含む)で、以下のような企業におすすめします。

  • これまで内部で監査を実施してきたものの、有効性が感じられず改善したい
  • 第三者の視点でシステム・セキュリティ監査を行い、客観的なお墨付きを得たい
  • 金融機関を対象としたクラウドサービス等を提供しており、FISCに準拠したレベルの運用を求められている
  • FISCの安全対策基準等をもとにシステム監査を実施しているものの、基準が最新版ではなく最新の基準で実施したい
  • DX(デジタルトランスフォーメーション)等のデジタル技術を採用し始めているものの、監査では対象外としており不安がある

サービスの特長

1. 整備・運用状況を可視化し、FISC等が求める水準とのギャップを特定します
規程類・ルールの整備状況、ルールに基づいた運用状況を監査し、FISC安全対策基準とのギャップを特定します。
2. ギャップに基づき、具体的な改善策を提示します
特定されたギャップに対して、それを解決する手段を具体的に提示します。例えば、規定やマニュアル等の改善点や、ルール・プロセスの最適化、体制変更等具体的な改善点を提示します。
3. 準拠性に加え、有効性を重視した監査を実施します
FISCの安全対策基準等やシステム監査基準等への準拠性の確保は当然として、その監査による改善推奨事項がビジネスにも寄与しているのか、例えば障害やインシデントは減少しているのか等に着目し、有効性を重視した監査を実施します。
4. 内部監査の自走化をサポートします
OJTや監査手引書等を使って監査自体のスキルトランスファーを提供します。お客様の社内で今後内部監査が実施できるように強力にサポートします。
5. 外部公表も視野に入れた監査結果の取りまとめをいたします
システム監査で一般的に提出するような報告書やレポートに加えて、サービス訴求等を目的に、FISC安対基準やシステム監査基準等の準拠結果を対外的に公開できるよう、公開用監査レポートも作成可能です。

成果物

監査を行った結果に基づき、現状のセキュリティ状況、改善に向けての提案など、経営層にもわかりやすい形で報告書やレポートを作成します。

・監査計画書
監査開始前に、監査ステップ、スケジュール等を計画にまとめ、関係者間で合意します
・システム監査シート
整備状況、運用状況の監査結果を反映し、FISC安全対策基準やシステム監査基準等と現状とのギャップ箇所、またその改善策を報告します
・外部向け公開レポート
監査により各種基準に準拠した内容を、対外公開可能な形に取りまとめて提出します
・実施結果報告書
一連の支援内容、支援結果を報告書にまとめて、支援終了時に報告します
成果物

作業ステップ(例)

下図が金融機関向け(金融サービスプロバイダー含む)システム監査サービスの一般的な流れです。

作業ステップ(例)

事例

事例1 大手証券会社
相談内容 FISCの安全対策基準を基に監査を毎年実施しているものの、手数が膨大にかかっているわりには有効に機能していると感じられない。また古いバージョンの安全対策基準を基にした監査シートを使い続けており、最新版へ準拠する形に更新したい。
実施内容 監査基準、監査シート等をすべて最新版に準拠するよう改善した上で、リスクベースアプローチを採用し、重要なサービスを重点的に監査する仕組みを構築。手数を減らすとともに、有効性を重視したシステム監査の仕組みを構築。最終的には、スキルトランスファーも行い、次年度以降、自組織内で実施出来る体制を構築した。
事例2 大手クラウドサービス事業者
相談内容 金融機関顧客からFISC安全対策基準等への準拠状況について問い合わせが増えているため、FISC安全対策基準に準拠することで金融機関が安心して利用できるシステムとアピールし、ビジネス成長に繋げたい。
実施内容 対象サービスについて、ルールの整備状況と運用状況を監査し、改善点についても迅速に対応、運用定着を図ることでFISC安全対策基準への準拠を達成した。また、準拠結果をレポートに取りまとめ、外部向けに公開することで金融機関の既存および潜在顧客へのアピールに繋げている。

サービス概要

金融機関向け(金融サービスプロバイダー含む)システム監査サービス

概要 金融機関のITシステムに精通したコンサルタントが、FISC安全対策基準やシステム監査基準等の準拠を支援いたします。
対象企業
  • 金融機関のお客様
  • 金融機関向けにサービスを提供するお客様
期間 4ヶ月~
価格 応相談
成果物
  • 監査計画書
  • システム監査シート
  • 外部向け公開レポート
  • 実施結果報告書

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。 こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。

同意して閉じる
TOPへ戻る