情報処理のWeb教科書―IPA情報処理試験対策のお供に!

システム監査とは―IPA情報処理試験の問題の解説やCISAの情報など。

トップ 情報処理の知識体系 マネジメント系 サービスマネジメント システム監査・内部統制 システム監査

システム監査とは何かをテーマにシステム監査の目的、手順、対象業務、システムの可監査性の考え方、システム監査計画、システム監査の実施、報告、品質評価の考え方、システムに関係する監査で参照する代表的な基準、法規をまとめていきます。IPA情報処理試験の問題の解説中心ですが、CISAについての情報も触れていきます。

▲記事トップへ

目次

この記事の目次です。

1. システム監査とは

2. 監査業務

3. システム監査の目的と手順

4. システム監査の対象業務

5. システムの可監査性

6. システム監査計画

7. システム監査の実施

8. システム監査の報告

9. システム監査の体制整備

10. システムに関係する監査関連法規

もっと知識を広げるための参考

更新履歴

1. システム監査とは

システム監査とは、 情報システムに関わるリスクに対するコントロールが適切に整備・運用されているかどうかを検証することをいいます。

システム監査の目的

システム監査の目的は、情報システムに係るリスクをコントロールし、情報システムを安全、有効かつ効率的に機能させることです。

組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備、運用されているかを、 独立かつ専門的な立場のシステム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、もってIT ガバナンスの実現に寄与することにあることを目的に行います。

システム監査の対象となり得る業務

情報システムに関わる業務のうち、システム監査の対象となり得る業務は以下の全てです。

システム監査の業務の分類

システム監査の業務は、監査計画の立案、監査証拠の入手と評価、監査手続の実施、 監査報告書の作成、フォローアップのプロセスに分けられます。

フォローアップ

システム監査の業務のうちのフォローアップは、適切な対策の実施を指導するプロセスです。

システム監査関連の資格

システム監査関連の資格には、IPAのシステム監査技術者(スキルレベル4)や公認情報システム監査人(CISA)があります。

システム監査技術者

システム監査技術者は、IPA情報処理技術試験の1つのシステム監査技術者試験(AU)です。 スキルレベル4で難易度は一番高い分類になります。

公認情報システム監査人(CISA)

CISAは、公認情報システム監査人と訳される資格で、システム監査のプロフェッショナルをISACAが認定する国際資格です。

システム監査とはに関連したIPA情報処理試験の過去問

以下ではシステム監査とはに関連したIPA情報処理試験の過去問とその解説をまとめています。

2. 監査業務

監査業務には、会計監査、業務監査、システム監査、情報セキュリティ監査、法定監査、任意監査、内部監査、外部監査、保証型監査、助言型監査などがあります。

業務監査

業務監査では、取締役が法律及び定款に従って職務を行っていることを監査します。

業務監査に関連したIPA情報処理試験の過去問

以下では業務監査に関連したIPA情報処理試験の過去問とその解説をまとめています。

3. システム監査の目的と手順

システム監査の目的と手順について見ていきます。

システム監査の目的

システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備、運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、もってIT ガバナンスの実現に寄与することにあることです。

システム監査の手順

システム監査は、監査計画に基づき、情報システムの総合的な点検、評価、監査の依頼者への結果説明、改善点の勧告、改善状況の確認、改善指導(フォローアップ)という手順で行わます。

4. システム監査の対象業務

システム監査の対象業務は、システムの企画・開発・運用・保守業務というライフサイクル全般に及びます。 また、システム監査を実施する目的及び対象業務は、規程及び契約書によって明確に文書化し定めます。

5. システムの可監査性

システム監査を円滑に実施するため、情報システムは可監査性を意識して構築、整備されなければなりません。

監査証跡

監査証跡は、情報システムの処理の内容やプロセスを、システム監査人が追跡するために時系列に沿って保存された記録です。 情報システムの信頼性、安全性、効率性を確保するコントロールに有効で、適切に機能しているかを証明するために用いられます。

信頼性のコントロールの監査証跡

信頼性のコントロールの監査証跡には以下があります。

安全性のコントロールの監査証跡

安全性のコントロールの監査証跡には以下があります。

効率性のコントロールの監査証跡

効率性のコントロールの監査証跡には以下があります。

監査証跡に関連したIPA情報処理試験の過去問

以下では監査証跡に関連したIPA情報処理試験の過去問とその解説をまとめています。

6. システム監査計画

有効かつ効率的な監査を行うために、システム監査人は監査の目的、監査手続の内容、時期、範囲などの監査計画を作成します。

7. システム監査の実施

システム監査技法、監査証拠など、システム監査の実施について見ていきます。

予備調査,本調査,評価・結論

予備調査、本調査、評価・結論の一連の活動があります。

システム監査技法

システム監査の方法として、ドキュメントレビュー(査閲)、チェックリストなど代表的なシステム監査技法があります。

ヒアリングに関するシステム監査人の行為

システム監査人がヒアリングする際は、監査目的を実現するために必要な関係者を対象に行います。 また、ヒアリングで被監査部門から聞いた話を裏付けるための文書や記録を入手するよう努めます。 そして、改善勧告は、監査報告書に記述します。

なお、ヒアリングは聞き違い、解釈違いなどを防ぐため複数人で行うのが望ましいとされています。

統計的サンプリング

たとえば、業務処理時間の短縮を目的として、運用中の業務システムの処理能力の改善を図った。 この改善が有効であることを評価するためにシステム監査を実施するとき、 システム監査人が運用部門に要求する情報としては、稼働統計資料があげられます。

許容免脱率

許容免脱率とは、受け入れることができる所定の内部統制からの逸脱率であり、 監査人がサンプルの件数を決めるときに用いられる指標のことをいいます。

監査証拠

監査証拠とは、システム監査人の監査意見を立証するために必要な事実のことです。

たとえば、業務データのバックアップが自動取得されている場合、日次バックアップデータが継続的に取得されているかどうかをシステム監査人が検証する場合、 「バックアップジョブの設定内容及びジョブの実行結果ログの閲覧」という手続きを行います。実行されているかの確認は、実行された証拠を示すログを確認します。

監査調書

システム監査人は、調査、収集、分析した情報を、 監査の結論に至った過程が分かるよう整理して文書化した監査調書を作成、保管し、 監査報告書を作成するときの基礎資料や監査結果の裏付けとします。

監査調書とは

監査調書とは、監査人が行った監査手続の実施記録であり、監査意見の根拠となる資料のことをいいます。

他の監査との連携・調整

システム監査は公認会計士監査、監査役監査、内部監査人監査と関係があり、各監査におけるシステム監査は監査目的や監査対象が異なります。

情報セキュリティ監査

情報セキュリティ監査についてみていきます。

情報セキュリティ監査の対象

情報セキュリティ監査の対象は、保有している全ての情報資産になります。

情報セキュリティ監査(可用性を確認するチェック項目)

情報セキュリティ監査において可用性の確認として、中断時間を定めたSLAの水準が保たれるように管理されていることをチェックします。

保証型の監査

経済産業省“情報セキュリティ監査基準 実施基準ガイドライン(Ver1.0)”における、 情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査を保証型の監査といいます。

不特定多数の利害関係者の情報を取り扱う情報システムに対しては、 保証型の監査を定期的に実施し、その結果を開示することが有用です。

システム監査の実施に関連したIPA情報処理試験の過去問

以下ではシステム監査の実施に関連したIPA情報処理試験の過去問とその解説をまとめています。

8. システム監査の報告

システム監査人は、監査結果を監査の依頼者に報告します。所要の措置が講じられるようフォローアップを行います。

システム監査報告書に記載する指摘事項

システム監査報告書に記載する指摘事項は、調査結果に事実誤認がないことを監査対象部門に家訓した上で、 監査人が指摘事項とする必要があると判断した事項を記載します。

監査人が監査報告書に指摘事項として記載すべきもの例

ソフトウェア開発プロセスにおけるセキュリティを確保するための取組について、 JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)の附属書Aの管理策に照らして監査を行い判明した状況で、 監査人が監査報告書に指摘事項として記載すべきもの例は以下です。

システム監査報告書の改善勧告

システム監査人は、調査によって発見した問題点について、改善指摘を行います。

システム監査報告書の改善勧告は、妥当性を十分に確認した上で記載する必要があります。 調査結果に事実誤認がないことを被監査部門に確認した上で、監査人が改善の必要があると判断した事項を記載します。

システム監査の報告に関連したIPA情報処理試験の過去問

以下ではシステム監査の報告に関連したIPA情報処理試験の過去問とその解説をまとめています。

9. システム監査の体制整備

システム監査に対するニーズを満たしているかどうかを含め、一定の監査品質を確保するための体制の整備が必要です。

システム監査人の外観上の独立性を担保するために講じる措置

経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として、 システム監査人の所属部署を内部監査部門とすることがあげられます。

システム監査の体制整備に関連したIPA情報処理試験の過去問

以下ではシステム監査の体制整備に関連したIPA情報処理試験の過去問とその解説をまとめています。

10. システムに関係する監査関連法規

システムに関係する監査関連法規について見ていきます。

システム監査基準

システム監査における監査人の行動規範、手順、内容は、経済産業省が策定したシステム監査基準によって規定されています。

知的財産権関連法規

知的財産権に関する法律、システム監査では権利侵害行為を指摘する必要性があります。

労働関連法規

労働に関する法律、システム監査では法律に照らして労働環境における問題点を指摘する必要性があります。

法定監査関連法規

システム監査は法定監査との連携を図りながら実施する必要があります。

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

各試験の問題と解説

ランダム出題・採点アプリ

プログラミング

スポンサーリンク