マネジメント系:システム監査とは【基本情報 科目A】
今回はマネジメント系の中から、システム監査についてまとめます。
「監査」という言葉自体、日常生活ではあまり使わないので最初はとっつきにくいですが、用語の数は多くなく、出題パターンもわりと決まっているので、しっかり覚えれば得点しやすい分野だと思います。
この記事で登場する用語
| 用語 | 説明 |
|---|---|
| システム監査 | 情報システムを第三者が点検・評価・検証する活動 |
| システム監査人 | 監査を実施する専門家。独立性が必須 |
| システム監査基準 | システム監査の実施基準を定めたガイドライン |
| システム管理基準 | 組織が情報システムを適切に管理するための基準 |
| 情報セキュリティ監査 | セキュリティの観点から情報システムを評価する監査 |
| 内部統制 | 組織が自ら行う統制活動 |
| ITガバナンス | 経営者がITを適切に管理・活用するための仕組み |
| コーポレートガバナンス | 企業が適切に経営されているかを監視する仕組み |
| 監査の手順 | 予備調査→本調査→評価・結論→報告→フォローアップ |
システム監査とは
システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを点検・評価・検証し、保証または改善のための助言を行う活動のことです。
システムが適切に管理・運用されているかをチェックして、問題があれば改善を促す、という役割を担っています。経営者が「自社のシステムはちゃんと動いているか・リスクはないか」を確認するための仕組みと思えばイメージしやすいです。
システム監査では、次の3つの観点から評価が行われます。
| 観点 | 内容 |
|---|---|
| 信頼性 | システムが正確・安定して動作しているか |
| 安全性 | セキュリティリスクに適切に対処しているか |
| 効率性 | システムが無駄なく効果的に運用されているか |
システム監査人と独立性
システム監査を実施するのがシステム監査人です。試験で最もよく問われるのが、独立性に関する問題です。
システム監査人は、監査対象の部門から身分的・精神的に独立している必要があります。自分が開発・運用に関わっているシステムを自分で監査するのはNG、ということです。
たとえば「情報システム部が開発した会計システムを監査する場合、情報システム部長の直属の人物をシステム監査人にしてよいか」→ NG、という問い方が典型的な出題パターンです。「監査対象に関わっていない第三者的な立場の人物」が正解になります。
システム監査基準とシステム管理基準
似た名前ですが、役割が違います。
システム監査基準は、システム監査をどのように実施するかの基準を定めたガイドラインです。経済産業省が策定しており、監査人が守るべき行動規範や手続きが記載されています。
システム管理基準は、組織が情報システムを適切に管理・運用するための基準です。監査を受ける側(組織)がどのようにシステムを管理すべきかを示したものです。
「監査基準 = 監査する側のルール」「管理基準 = 管理される側のルール」と覚えると区別しやすいです。
監査の手順
システム監査は、以下の流れで進みます。試験では順番を問う問題が出るので、流れとして覚えておきましょう。
予備調査 → 本調査 → 評価・結論 → 報告 → フォローアップ
予備調査では、監査対象の概要を把握します。本調査で詳細な点検・検証を行い、評価・結論でその結果をまとめます。報告で経営者などに監査結果を伝え、フォローアップで改善が実施されたかを確認します。
情報セキュリティ監査
情報セキュリティ監査は、システム監査の中でもセキュリティに特化した監査です。情報セキュリティが適切に管理されているかを評価します。
評価の観点は次の3つで、いわゆる情報セキュリティの3要素(CIA)と呼ばれます。
| 観点 | 内容 |
|---|---|
| 機密性(Confidentiality) | 許可された人だけが情報にアクセスできること |
| 完全性(Integrity) | 情報が正確で改ざんされていないこと |
| 可用性(Availability) | 必要なときに情報を使える状態であること |
システム監査の3つの観点(信頼性・安全性・効率性)と混同しやすいので、「セキュリティ監査 = CIA(機密性・完全性・可用性)」とセットで覚えておくといいです。
内部統制
内部統制とは、組織が自ら業務を適切に管理・監視するための仕組みのことです。不正や誤りを防ぎ、経営目標を達成するために組織内部で行う統制活動全般を指します。
システム監査は、この内部統制が適切に機能しているかをチェックする役割も担っています。
ITガバナンス
ITガバナンスは、経営者がITを適切に管理・活用するための仕組みです。「ITを使って経営目標をちゃんと達成できているか」を経営レベルで管理する考え方です。内部統制の一部として位置づけられます。
コーポレートガバナンス
コーポレートガバナンスは、企業が株主や社会に対して適切に経営されているかを監視・管理する仕組みです。直訳すると「企業統治」で、ITガバナンスの上位概念にあたります。
「コーポレートガバナンス(企業全体)の中に、ITガバナンス(IT領域)がある」というイメージで整理するとわかりやすいです。
おわりに
システム監査は用語の数が限られていて、出題パターンも「独立性を問う問題」「監査手順の順番を問う問題」「3要素を問う問題」あたりに集中しています。それほど難しくない分野なので、しっかり覚えて確実に得点したいところです。
次回はストラテジ系に入っていく予定です。経営戦略や企業活動に関する用語が一気に増えるので、気合を入れて書いていきます。引き続きよろしくお願いします。
コメント