金融業界は公共性が高く社会インフラ機能を担っており、他業種に比べてより堅牢なITシステムかつ強固なセキュリティレベルが求められます。その対象は、金融機関はもちろんのこと、金融機関向けにサービスを提供する事業者も含まれます。つまり、金融機関向けにクラウドサービス等のITサービスやITソリューションを提供する事業者はFISC（金融情報システムセンター）の安全対策基準やシステム監査基準等に即した対応が必要です。

また、金融（Finance）と最新テクノロジー（Technology）の融合による新たな金融関連サービスを指すFinTechをはじめとするDX(デジタルトランスフォーメーション)が叫ばれている中、FISCの基準類も常に新しいITシステム環境に合わせて更新が重ねられており、新技術の採用にあたってはFISCの安全対策基準等を踏まえて運用していくことも不可欠です。

しかしながら、FISC等への準拠対応について必要性があると認識しているものの、どこまでの範囲を対応させる必要があるのか、客観性を持った内部監査ができない、最新版への対応には一定のリソースを割かねばならず古い安全対策基準のまま監査を行っている等の課題を抱える企業は少なくありません。

本サービスでは、金融機関（金融機関向けにサービスを提供する事業者も含む）を対象に、FISCが提供する最新版の基準等を用いて、第三者の目で客観的にルール・プロセス、ITシステムやセキュリティツール類の設定等の整備状況をチェックし、またそのルールが有効に機能しているか、インタビューや記録類の確認、実査等を通して運用状況の監査を実施し改善につなげていきます。このサイクルを回していくことで、FISCの最新版の安全対策基準への対応を実現し、セキュリティの向上と取引先からの信頼獲得につなげます。

本サービスは、金融機関（金融機関向けにサービスを提供する事業者も含む）で、以下のような企業におすすめします。

• これまで内部で監査を実施してきたものの、有効性が感じられず改善したい
• 第三者の視点でシステム・セキュリティ監査を行い、客観的なお墨付きを得たい
• 金融機関を対象としたクラウドサービス等を提供しており、FISCに準拠したレベルの運用を求められている
• FISCの安全対策基準等をもとにシステム監査を実施しているものの、基準が最新版ではなく最新の基準で実施したい
• DX（デジタルトランスフォーメーション）等のデジタル技術を採用し始めているものの、監査では対象外としており不安がある

1. 整備・運用状況を可視化し、FISC等が求める水準とのギャップを特定します
   規程類・ルールの整備状況、ルールに基づいた運用状況を監査し、FISC安全対策基準とのギャップを特定します。
2. ギャップに基づき、具体的な改善策を提示します
   特定されたギャップに対して、それを解決する手段を具体的に提示します。例えば、規定やマニュアル等の改善点や、ルール・プロセスの最適化、体制変更等具体的な改善点を提示します。
3. 準拠性に加え、有効性を重視した監査を実施します
   FISCの安全対策基準等やシステム監査基準等への準拠性の確保は当然として、その監査による改善推奨事項がビジネスにも寄与しているのか、例えば障害やインシデントは減少しているのか等に着目し、有効性を重視した監査を実施します。
4. 内部監査の自走化をサポートします
   OJTや監査手引書等を使って監査自体のスキルトランスファーを提供します。お客様の社内で今後内部監査が実施できるように強力にサポートします。
5. 外部公表も視野に入れた監査結果の取りまとめをいたします
   システム監査で一般的に提出するような報告書やレポートに加えて、サービス訴求等を目的に、FISC安対基準やシステム監査基準等の準拠結果を対外的に公開できるよう、公開用監査レポートも作成可能です。

監査を行った結果に基づき、現状のセキュリティ状況、改善に向けての提案など、経営層にもわかりやすい形で報告書やレポートを作成します。

• 監査計画書
  監査開始前に、監査ステップ、スケジュール等を計画にまとめ、関係者間で合意します
   
• システム監査シート
  整備状況、運用状況の監査結果を反映し、FISC安全対策基準やシステム監査基準等と現状とのギャップ箇所、またその改善策を報告します
   
• 外部向け公開レポート
  監査により各種基準に準拠した内容を、対外公開可能な形に取りまとめて提出します
   
• 実施結果報告書
  一連の支援内容、支援結果を報告書にまとめて、支援終了時に報告します

下図が金融機関向け（金融サービスプロバイダー含む）システム監査サービスの一般的な流れです。