システム監査の基礎まとめ

システム監査のブログに関するアイキャッチ画像 システム監査
広告

 システム監査は,基本情報技術者試験をはじめとする情報処理技術者試験で出題される重要分野です。システム監査の目的やシステム監査基準,システム監査人の独立性,監査証跡や監査証拠,内部統制などについて正しく理解できていますか?

  • システム監査=情報システムを安全性・信頼性・効率性の観点から評価し,改善につなげる活動

 これらは単なる用語の暗記ではなく,「なぜシステム監査が必要なのか」,「システム監査人にはなぜ独立性が求められるのか」,「監査証跡と監査証拠は何が違うのか」を理解することが重要です。

 このページでは,システム監査の目的,システム監査基準,保証型監査と助言型監査,システム監査人,監査の流れ,監査証跡,監査証拠,内部統制などについて,試験で頻出となるポイントを中心にシンプルに整理しています。

 初学者の方や,システム監査分野を体系的に復習したい方に向けたまとめページです。

広告

システム監査とは

 システム監査とは,情報システムを,安全性・信頼性・効率性などの視点から,第三者が確認・評価して,助言や改善の勧告,フォローアップ(改善結果の再評価)などを行う活動のことをいいます。

※ システム障害や,不正アクセス,情報漏えい,運用ミスなどを防ぐために行う

※ システム監査規程…システム監査を実施するルールを定めた,組織内の規程(内部規程)。監査の目的や監査対象,システム監査人の権限と責任,独立性の確保,監査手続,監査報告などを定める。経営者が承認する

システム監査基準とは

 システム監査基準とは,システム監査の品質を確保し,有効で,かつ,効率的に実施するための基準となるものです。

※ 経済産業省が策定。「システム監査基準(平成16年10月8日策定)PDFファイル:日本システム監査人協会」を参照

※ システム管理基準…企業が適切にシステム管理を行うための基準となるもの。「システム管理基準(平成16年10月8日策定)PDFファイル:日本システム監査人協会」を参照

一般基準システム監査人に関する規程
実施基準システム監査の計画と実施に関する規程
報告基準システム監査の報告に関する規程

保証型監査と助言型監査とは

 保証型監査とは,ルールどおり適切に運用されているかを保証する監査をいい,助言型監査とは,より良くするための改善提案や改善支援を行う監査です。

システム監査人とは

 システム監査人とは,システム監査を行う人のことで,監査対象から独立している必要があります。

※ 自分が作ったシステムを自分で監査してはいけない

※ 客観的な立場・視点から監査する

※ システム監査人自身が改善活動を行うことはない

システム監査の流れ

 システム監査の流れは,次のようになります。

システム監査の流れに関する説明画像

監査計画とは

 監査計画では,監査を効率よく効果的に実施するために,何をどのような手順で監査するのかを決めます。

予備調査とは

 予備調査では,監査対象の実態を把握するための事前調査を行います。

※ 監査対象の資料を事前に入手して閲覧したり,監査対象や関連部門へのインタビューを行う ⇒ 監査対象の情報システムや業務内容などを把握する

本調査とは

 本調査では,予備調査で把握した監査対象を実際に調査します。

※ 担当者へ質問(ヒアリング)したり,手順書やログを確認したり、実際の運用状況を確認したりする

監査証跡とは

 監査証跡とは,誰が,いつ,何をしたかを,システム監査人が,後から追跡できるように記録したものをいいます。

※ 監査証跡 = 監査目的で保存されるログ

※ 情報システムの安全性・信頼性・効率性のコントロールが適切かつ有効に機能しているかが検証できる

監査証拠とは

 監査証拠とは,監査意見の妥当性を裏付ける客観的な証拠のことをいいます。

※ システム監査人の監査意見を立証するための資料。操作ログや,設定ファイル,テスト結果,ヒアリング結果など

※ 監査調書…監査をどのように実施し,どのような証拠を基に,どのような結論を出したかを記録したもの(監査手続の実施記録)

監査結果の評価と報告とは

 監査結果の評価と報告では,監査結果を評価し,監査報告書を作成します。

※ 監査対象や,監査期間,監査方法,監査結果,改善勧告,監査意見などを記載する

※ 監査報告書は,監査依頼者に対して遅滞なく提出する

改善確認(フォローアップ)とは

 改善確認では,改善勧告に基づく改善が適切に実施されているかを確認します。

※ 改善勧告の追跡調査などを行う

内部統制とは

 内部統制とは,企業などの業務を適切に管理・統制するためのしくみのことをいいます。違法行為や不正行為,作業ミスなどを防ぎ,業務の有効性・効率性の向上,財務報告の信頼性の確保,法令遵守の実現を目的として,基準や手続きを定めて管理します。

※ システム監査では,内部統制が適切に機能しているかを監査する

※ IT統制…ITを適切に管理するための内部統制

まとめ

 今回は,システム監査について,システム監査基準,保証型監査と助言型監査,システム監査人の独立性,監査証跡,監査証拠,内部統制などをシンプルにまとめてみました。

 これらは試験でも頻出であり,特に「保証型監査と助言型監査の違い」,「監査証跡と監査証拠の違い」,「システム監査人の独立性」,「システム監査の流れ」などは確実に押さえておきたいポイントです。単なる暗記ではなく,「なぜ監査が必要なのか」,「どのような証拠を基に監査意見を形成するのか」,「内部統制とシステム監査はどのような関係にあるのか」まで理解することが得点力につながります。

 理解が進んだら,基本情報技術者試験の過去問題等にもチャレンジしてみてください。

広告
広告