情報システムがルール通りに正しく運用されているかをチェックする「監査」。その中でも、情報システムに特化したものが「システム監査」です。
この記事では、システム監査の基準や手順、代表的な監査技法について、やさしく解説していきます。
1. システム監査基準とは?
システム監査を行う際には、国が定めた基準に従って進める必要があります。日本では、経済産業省が定める「システム監査基準」に基づいて実施されます。
この基準では以下のような考え方が重視されています。
- 独立性の確保(外部・内部監査の中立性)
- 専門性の保持(監査人は専門知識を持つ)
- 監査の信頼性(証拠や記録を重視)
2. システム監査の流れ
以下のようなステップで監査が進みます:
| ステップ | 内容 |
|---|---|
| ①監査計画 | 「何を」「どのように」監査するかを決定。→ システム監査計画書 を作成。 |
| ②監査手続 | 実際に調査を行う。 予備調査→本調査。 証拠となる資料(監査証拠)を収集。 |
| ③監査報告 | 調査結果をまとめ、改善点などを報告。→ システム監査報告書 を作成。 |
| ④フォローアップ | 指摘事項が改善されたかを再確認。 |
🔍図解も参考にしてください
3. 主なシステム監査技法
| 技法名 | 内容 |
|---|---|
| チェックリスト法 | あらかじめ用意したチェック項目に沿って確認。 |
| ドキュメントレビュー法 | マニュアル・記録・報告書などの文書を調査。 |
| インタビュー法 | 担当者への聞き取りを通じて実態を把握。 |
| ウォークスルー法 | 実際の手順を一緒に追いながら問題点を洗い出す。 |
| 突合・照合法 | データや記録の整合性を複数の情報で確認。 |
| 現地調査法 | 実際の現場を訪問して観察。 |
| コンピュータ支援監査技法(CAAT) | ツールやソフトウェアを使って監査を効率化。 |
よくある質問(FAQ)
- Q「情報セキュリティ監査」と「システム監査」の違いは?
- A
情報セキュリティ監査はセキュリティの側面に特化した監査です。一方、システム監査は業務全体のIT活用や運用の適切性も含めて評価します。
- Qシステム監査はどんな企業で行われるの?
- A
ITを活用して業務を行うすべての企業で対象になり得ます。特に情報資産の多い企業や官公庁では積極的に行われています。
- Q監査報告書って誰が見るの?
- A
経営層や情報システム部門の責任者が確認し、必要な改善策を立てます。
練習問題
【Q. システム監査の手順として正しい順番はどれか?】
A. 予備調査 → 監査報告 → フォローアップ → 本調査
B. 監査報告 → フォローアップ → 予備調査 → 本調査
C. 監査計画 → 監査手続 → 監査報告 → フォローアップ
D. 本調査 → フォローアップ → 監査計画 → 監査報告
正解:
C
→ システム監査は「計画→調査(予備・本)→報告→フォローアップ」という順で行われます!
【Q. システム監査において、実際に現場を訪れて状況を確認する手法はどれか?】
A. ドキュメントレビュー法
B. チェックリスト法
C. 現地調査法
D. コンピュータ支援監査技法(CAAT)
正解:
C
→ 現地調査法は、システムの実際の運用現場を観察する手法です!
【Q. システム監査の報告段階で作成される文書はどれか?】
A. システム監査計画書
B. システム監査証拠
C. システム監査報告書
D. システム運用マニュアル
正解:
C
→ 調査結果をまとめた報告文書は「システム監査報告書」です!
コメント