サービスマネジメント - 16.システム監査 - 1.システム監査 - 2.システム監査の目的と手順

Last Update : April 22 2021 10:22:41

     

a. システム監査の目的

「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」

情報システムを総合的に点検、評価し、その結果を関係者に助言、勧告することにより、セキュリティ対策の実効性を担保し、システムの有効活用を図ることを目的とする。

システム監査企業台帳
外部のシステム監査企業等を利用してシステム監査を実施しようとしても、その所在、業務内容が不明確であるという現状にあることから、外部システム監査を希望する企業が、システム監査を実施できる企業を容易に知ることができるよう一覧表にまとめたもの。

システム監査人
システム監査人とは、情報システムの監査を行う人のことで、情報システムに関する専門的な知識と技術、システム監査の能力等が求められる。
被監査部門の影響を受けないように、被監査部門から独立した立場である必要がある。
システム監査人の独立性とは「外観上の独立性」「精神上の独立性」の二点が満たされている必要がある。

(1)外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

(2)精神上の独立性
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

システム監査の公式な資格として、

  • システム監査技術者
    情報処理推進機構が認定
  • 公認システム監査人(CSA:Certified Systems Auditor)
    システム監査人協会が認定
  • 公認情報システム監査人(CISA:Certified Information Systems Auditor)
    情報システムコントロール協会が認定する国際資格


b. システム監査の手順

システム監査は、大きく分けて「計画」「実施」「報告」の3段階、さらにステップ分けすれば8つのステップで進めるのが一般的です

  1. 組織の長が、システム監査人を指名し、システム監査を依頼
  2. システム監査人は、事前調査を行い、システム監査基本計画書、システム監査個別計画書、システム監査基準などを作成
  3. 予備調査、本調査の順に監査を実施.この過程で、監査証拠(判断の材料となるシステムの処理・運用に関する資料)の収集や監査調書(監査の過程で収集した文書の総称)を作成
  4. 監査報告書を作成する。
  5. 監査報告書の内容に間違いがないか、被監査部門の代表者と意見交換を行う。
  6. 監査報告書をもとに、組織の長に監査結果を報告する。
  7. 組織の長は、監査報告書に従って、改善命令を行う。
  8. システム監査人は、改善後の状況を調査・助言のフォローアップを行う。


c. システムの可監査性

処理の正当性や内部統制を効果的に監査できるように、前もって情報システムが設計・運用されていること。
情報システムの可監査性(Auditability)とは、処理の正当性や内部統制を効果的に監査又はレビューできるように情報システムが設計・運用されていることを指す言葉である。言い換えれば、情報システムの管理・運用(コントロール)の有効性が担保され、情報システムの信頼性・安全性・効率性が確保されていることを事後・継続的に点検・評価する際に必要となるのが、コントロールと監査証跡(Audit Trail)などの可監査性である。監査証跡は、情報システムに関するさまざまな事象の発生から結果に至るまでの過程を正方向・逆方向の追跡が可能なものであり、コントロールと信頼性・安全性・効率性の確保の関連性を事後証明し、監査意見を立証する監査証拠の一つとなり得るものである。例えば、信頼性のコントロールの監査証跡としてはハードウェアの障害履歴やプログラムの変更管理記録やテスト結果報告書やバッチコントロール票、安全性のコントロールの監査証跡としてはアクセスログやオペレーションログ、効率性のコントロールの監査証跡としては費用対効果分析資料やユーザニーズ調査資料などが挙げられるが、こうした監査証跡を確保し、監査性を向上させるためには、情報システムの企画・開発段階での仕組みの実装や、それ自体の効率性を考慮した上での確保範囲の決定、承認行為を事後追跡する(トレース)仕組みの実装、見読可能な様式での提供、妥当性のある保存方法・保存期間の設定などの工夫が必要となる。  

監査証跡 】(audit trail)
情報システムのデータ処理内容や処理過程をシステム監査人が追跡できるように、時系列に記録を残したもののことを指します。情報システムのコントロール(内部統制)の機能が、情報システムの健全性を確保していることを、事後に双方向で追跡し、確認できる仕組みのことです。監査意見の根拠となる資料を「監査証跡」といいます。

監査証拠 】(audit evidence)
監査人が監査報告書に記載する監査意見(評価・指摘・勧告)を立証するために必要な事実資料。監査調書の中に盛り込まれる。


  [ 例題 ] 
  1. 平成30年度春期 問59  システム監査
  2. 平成29年度秋期 問59  システム監査
  3. 平成28年度春期 問59  システム監査
  4. 平成27年度春期 問60  システム監査
  5. 平成27年度春期 問61  システム監査
  6. 平成27年度秋期 問58  システム監査
  7. 平成27年度秋期 問59  システム監査
  8. 平成26年度春期 問58  システム監査
  9. 平成26年度秋期 問59  システム監査
  10. 平成24年度春期 問59  システム監査


     

www.it-shikaku.jp