情報処理のWeb教科書―IPA情報処理試験対策のお供に!

システム監査・内部統制―監査証跡やエディットバリデーションチェックとは?など

トップ 情報処理の知識体系 マネジメント系 サービスマネジメント システム監査・内部統制

監査証跡やエディットバリデーションチェックとは何かなど、システム監査および内部統制の知識をまとめています。

目次

この記事の目次です。

1. システム監査

2. 内部統制

更新履歴

1. システム監査

システム監査の目的、手順、対象業務、システムの可監査性の考え方、システム監査計画、システム監査の実施、報告、品質評価の考え方、システムに関係する監査で参照する代表的な基準、法規をまとめていきます。

システム監査とは

システム監査とは、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備、運用されているかを、 独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってIT ガバナンスの実現に寄与することにあることを目的に行います。

監査業務

監査業務には、会計監査、業務監査、システム監査、情報セキュリティ監査、法定監査、任意監査、内部監査、外部監査、保証型監査、助言型監査などがあります。

業務監査

業務監査では、取締役が法律及び定款に従って職務を行っていることを監査します。

業務監査に関連したIPA情報処理試験の過去問

以下では業務監査に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

システム監査の目的と手順

システム監査の目的と手順について見ていきます。

システム監査の目的

システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備、運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、もってIT ガバナンスの実現に寄与することにあることです。

システム監査の手順

システム監査は、監査計画に基づき、情報システムの総合的な点検、評価、監査の依頼者への結果説明、改善点の勧告、改善状況の確認、改善指導(フォローアップ)という手順で行わます。

システム監査の対象業務

システム監査の対象業務は、システムの企画・開発・運用・保守業務というライフサイクル全般に及びます。 また、システム監査を実施する目的及び対象業務は、規程及び契約書によって明確に文書化し定めます。

システムの可監査性

システム監査を円滑に実施するため、情報システムは可監査性を意識して構築、整備されなければなりません。

監査証跡

監査証跡は、情報システムの処理の内容やプロセスを、システム監査人が追跡するために時系列に沿って保存された記録です。 情報システムの信頼性、安全性、効率性を確保するコントロールに有効で、適切に機能しているかを証明するために用いられます。

信頼性のコントロールの監査証跡

信頼性のコントロールの監査証跡には以下があります。

安全性のコントロールの監査証跡

安全性のコントロールの監査証跡には以下があります。

効率性のコントロールの監査証跡

効率性のコントロールの監査証跡には以下があります。

監査証跡に関連したIPA情報処理試験の過去問

以下では監査証跡に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

システム監査計画

有効かつ効率的な監査を行うために、システム監査人は監査の目的、監査手続の内容、時期、範囲などの監査計画を作成します。

システム監査の実施(予備調査,本調査,評価・結論)

システム監査技法、監査証拠など、システム監査の実施について見ていきます。

予備調査,本調査,評価・結論

予備調査、本調査、評価・結論の一連の活動があります。

システム監査技法

システム監査の方法として、ドキュメントレビュー(査閲)、チェックリストなど代表的なシステム監査技法があります。

ヒアリングに関するシステム監査人の行為

システム監査人がヒアリングする際は、監査目的を実現するために必要な関係者を対象に行います。 また、ヒアリングで被監査部門から聞いた話を裏付けるための文書や記録を入手するよう努めます。 そして、改善勧告は、監査報告書に記述します。

なお、ヒアリングは聞き違い、解釈違いなどを防ぐため複数人で行うのが望ましいとされています。

監査証拠

監査証拠とは、システム監査人の監査意見を立証するために必要な事実のことです。

たとえば、業務データのバックアップが自動取得されている場合、日次バックアップデータが継続的に取得されているかどうかをシステム監査人が検証する場合、 「バックアップジョブの設定内容及びジョブの実行結果ログの閲覧」という手続きを行います。実行されているかの確認は、実行された証拠を示すログを確認します。

監査調書

システム監査人は、調査、収集、分析した情報を、監査の結論に至った過程が分かるよう整理して文書化した監査調書を作成、保管し、監査報告書を作成するときの基礎資料や監査結果の裏付けとします。

他の監査との連携・調整

システム監査は公認会計士監査、監査役監査、内部監査人監査と関係があり、各監査におけるシステム監査は監査目的や監査対象が異なります。

情報セキュリティ監査(可用性を確認するチェック項目)

情報セキュリティ監査において可用性の確認として、中断時間を定めたSLAの水準が保たれるように管理されていることをチェックします。

システム監査の実施(予備調査,本調査,評価・結論)に関連したIPA情報処理試験の過去問

以下ではシステム監査の実施(予備調査,本調査,評価・結論)に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

システム監査の報告

システム監査人は、監査結果を監査の依頼者に報告します。所要の措置が講じられるようフォローアップを行います。

システム監査報告書の改善勧告

システム監査人は、調査によって発見した問題点について、改善指摘を行います。

システム監査報告書の改善勧告は、妥当性を十分に確認した上で記載する必要があります。 調査結果に事実誤認がないことを被監査部門に確認した上で、監査人が改善の必要があると判断した事項を記載します。

システム監査の報告に関連したIPA情報処理試験の過去問

以下ではシステム監査の報告に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

システム監査の評価

システム監査の実施結果の妥当性を評価する必要があります。

システムに関係する監査関連法規

システムに関係する監査関連法規について見ていきます。

システム監査基準

システム監査における監査人の行動規範、手順、内容は、経済産業省が策定したシステム監査基準によって規定されています。

知的財産権関連法規

知的財産権に関する法律、システム監査では権利侵害行為を指摘する必要性があります。

労働関連法規

労働に関する法律、システム監査では法律に照らして労働環境における問題点を指摘する必要性があります。

法定監査関連法規

システム監査は法定監査との連携を図りながら実施する必要があります。

2. 内部統制

企業などにおける内部統制、IT ガバナンスの目的、考え方をまとめていきます。

内部統制とは

内部統制とは、健全かつ効率的な組織運営のための体制を企業などが自ら構築し運用する仕組みです。 実際には業務プロセスの明確化、職務分掌、実施ルールの設定、チェック体制の確立が必要があります。

企業活動の健全性を保証するための内部統制を行う仕組みのうち、ITを利用した部分をIT統制と言います。 IT統制は、全般統制と業務処理統制に大きく分けられ、全般統制では、IT化の基盤となる組織、制度などの統制を行い、業務処理統制が有効に働く基盤となります。

システムに組み込まれた業務処理統制活動として、エディットバリデーションチェックやコントロールトータルチェックなどがあります。

エディットバリデーションチェック

エディットバリデーションチェックについて見ていきます。

エディットバリデーションチェックとは

エディットバリデーションチェックとは、入力されたデータが、想定されたデータかどうかを確認する機能のことです。

エディットバリデーションチェックの例

例えば、数値のみの入力を想定した年齢の入力項目で、数値以外の入力がないかチェックします。 エディットバリデーションチェックの機能を確認する場合、実際に例外データや異常データの入力を行います。

コントロールトータルチェック

コントロールトータルチェックについて見ていきます。

コントロールトータルチェックとは

コントロールトータルチェックとは、入力されたデータの合計が出力データと合致しているか確認する機能のことをいいます。

コントロールトータルチェックの例

販売システムに入力されたデータの出力を会計システムの入力に利用する場合などに適用します。

内部統制に関連したIPA情報処理試験の過去問

以下では内部統制に関連したIPA情報処理試験の過去問とそのの解説をまとめています。

ITガバナンス

ITガバナンスとは、IT戦略の策定と実行をコントロールする組織の能力です。

企業などが競争力を高めることを目的として取り組みます。 情報システム戦略を策定し、戦略実行を統制する仕組みを確立するための取組です。

システム監査、情報セキュリティ監査、ソフトウェア資産管理などITガバナンスを実現するための取組があります。 また、IT ガバナンスの評価のために使用されるフレームワークもあります。

ITガバナンスに関連したIPA情報処理試験の過去問

以下ではITガバナンスに関連したIPA情報処理試験の過去問とそのの解説をまとめています。

法令遵守状況の評価・改善

情報システムの構築、運用は、当該業務システムにかかわる法令を遵守して行わなければなりません。 適切なタイミングと方法で法令、基準、自社内外の行動規範の遵守状況を継続的に評価し、改善していく必要があります。 内部統制を整備することが法令遵守の体制を確立する上で有効です。

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

プログラミング

各試験の問題と解説

ランダム出題・採点アプリ

スポンサーリンク