サービスマネジメント - 16.システム監査 - 1.システム監査

【目標】
・監査の目的,種類を理解する。
・システム監査の目的,手順,対象業務についての考え方を理解する。
・監査計画,監査の実施,監査報告とフォローアップ,監査の体制整備の考え方を理解する。
・システム監査基準など代表的な基準,法規のあらましを理解する。

  1. 監査業務
    情報システムに関する監査の目的,種類を理解する。
    【用語例】
    会計監査,業務監査,システム監査,情報セキュリティ監査,法定監査,任意監査,内部監査,外部監査
  2. システム監査の目的と手順
    a. システム監査の目的
    システム監査の目的は,情報システムにまつわるリスク(情報システムリスク)に適切に対処しているかどうかを,独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて,組織体の経営活動と業務活動の効果的かつ効率的な遂行,さらにはそれらの変革を支援し,組織体の目標達成に寄与すること,又は利害関係者に対する説明責任を果たすことであることを理解する。
    【用語例】
    システム監査人の権限と責任等,監査能力の保持と向上,システム監査に対する ニーズの把握と品質の確保,情報システムの総合的な点検・評価・検証(安全性, 信頼性,準拠性,戦略性,効率性,有効性など),システム監査企業台帳BR>
    b. システム監査の流れ
    システム監査は,監査計画の策定,監査の実施,監査報告とフォローアップという流れで行われることを理解する。
    【用語例】
    リスクの評価に基づく監査計画の策定(リスクアプローチ),監査証拠の入手と評価,監査調書の作成と保管,監査の結論の形成,監査報告書の作成と提出,改善提案のフォローアップ
  3. システム監査の対象業務
    システム監査の対象業務は,情報システムのコントロールとマネジメントだけでなく,ガバナンスにまで及ぶことを理解し,さらに情報システムの企画・開発(アジャイル開発を含む)・運用・利用・保守フェーズというライフサイクル全般に及ぶことから,各フェーズで評価する内容のあらましを理解する。また,システム監査を実施する目的及び対象範囲は,監査規程や契約書によって明確に文書化し定めることを理解する。
    【用語例】
    リスク,コントロール,内部監査規程,システム監査委託契約書
  4. システム監査計画の策定
    有効かつ効率的な監査を行うために,システム監査人は監査の目的・テーマ,監査対象範囲,監査手続,実施時期,実施体制,実施スケジュールなどの監査計画を作成することを理解する。
    【用語例】
    システム監査計画
  5. システム監査の実施(予備調査,本調査,評価・結論)
    システム監査人は,監査計画に基づいて十分な調査を行い,システムを点検・評価・検証することを理解する。
    【用語例】
    監査手続の適用,監査証拠の入手と評価,監査調書の作成と保管,代表的なシステム監査技法
  6. システム監査の報告とフォローアップ
    システム監査人は,監査結果を監査の依頼者に報告すること,所要の措置が講じられるようフォローアップを行うことを理解する。
    【用語例】
    システム監査報告書,指摘事項,監査の利用者に対する保証・助言,改善提案,フォローアップ
  7. システム監査の体制整備
    システム監査に対するニーズを満たしているかどうかを含め,一定の監査品質を確保する ための体制の整備が必要であることを理解する。
  8. その他のシステム関連の監査
    情報セキュリティ監査,個人情報保護監査,コンプライアンス監査のあらましを理解する。
    【用語例】
    情報セキュリティ監査基準,情報セキュリティ管理基準,JIS Q 15001 ,プライバシーマーク制度,JIS Q 19011 (マネジメントシステム監査のための指針), 著作権法,不正競争防止法,労働基準法
  9. システム監査基準・システム管理基準
    システム監査における監査人の行為規範は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。また,システム監査の判断尺度を確定する際の客観的な参照基準として,経済産業省が策定したシステム管理基準などを用いることができることを理解する。
    【用語例】
    監査人の行為規範,システム監査上の判断尺度,監査人の独立性・客観性及び慎重な姿勢


   

www.it-shikaku.jp