ITパスポートマネジメント

41 システム監査

ITパスポート
05.12

 

会計監査

企業の財務諸表が正しく作成されているかを第三者が検証する仕組み。

外部の監査人が、会計処理や財務状況の信頼性を確認する。

投資家や株主にとって重要な判断材料となる。

例:決算書の売上や費用に不正がないかを会計監査人がチェックする。

 

業務監査

企業の業務プロセスが適切かどうかを調査・評価する監査。

無駄や非効率、不正の防止を目的とする。

組織運営の改善や内部統制の強化に役立つ。

例:備品管理の手続きに抜けや重複がないかをチェックする。

 

情報セキュリティ監査

企業の情報セキュリティ対策がルールに従って実施されているかを検証する監査。

機密情報の保護やアクセス制御などの状況を調査する。

セキュリティポリシーの遵守状況を評価する。

例:パスワード管理やウイルス対策が適切に行われているかを確認する。

 

システム監査

情報システムの管理や運用が適切に行われているかを調べる監査。

業務への貢献度やリスク管理の状況を評価する。

第三者的な視点から問題点を明らかにし、改善提案を行う。

例:システム運用手順が標準に従っているかを検証する。

 

システム監査人

システム監査を実施する専門家。

ITに関する知識と監査技術を持ち、客観的・独立的に調査・評価を行う。

国家資格として「公認システム監査人」が存在する。

例:システム開発の妥当性を判断するため、外部の監査人が招かれた。

 

システム監査基準

システム監査を行う際の基本的な考え方や手順を示した国の基準。

公正性、信頼性、正確性を持って監査を行うためのルールを定めている。

情報処理推進機構(IPA)などがガイドラインを提供している。

例:監査人はシステム監査基準に沿って調査と評価を行う。

 

システム監査計画

監査の目的、対象範囲、スケジュール、方法などをあらかじめ定めた文書。

計画に基づいて予備調査や本調査が行われる。

効率的で効果的な監査を行うために欠かせない。

例:新しく導入された販売管理システムの監査計画を策定する。

 

監査の実施(予備調査)

監査の前段階で、対象システムの概要や運用状況を把握する調査。

必要な情報を収集し、監査の重点項目を絞る目的がある。

関係者へのヒアリングや文書確認などが行われる。

例:システムの構成図や運用手順書を確認する。

 

監査の実施(本調査)

予備調査に基づいて、実際に現場の記録や手続きを検証する段階。

データの分析や観察を通じて、実態を把握する。

最も時間と労力を要する監査の中心的工程。

例:操作ログや障害対応履歴などを調べて評価する。

 

監査の実施(評価)

収集した情報や証拠をもとに、監査の目的が達成されているかを判断する。

問題の有無、改善の必要性、対策の効果などを分析する。

評価結果は報告書にまとめられる。

例:システムが適切に管理されていると判断された。

 

監査の実施(結論)

監査全体のまとめとして、総合的な判断や提言を示す段階。

監査報告書に記載され、関係者に伝えられる。

必要に応じて是正勧告や改善指示が出される。

例:ログの保存期間に問題があり、改善が必要とされた。

 

監査報告

監査結果を文書としてまとめた報告書。

目的、実施内容、評価結果、提言などが記載される。

関係者に配布され、今後の対応方針に活用される。

例:監査報告書で、セキュリティ教育の強化が提案された。

 

フォローアップ

監査で指摘された事項が、適切に改善されたかを確認する活動。

監査後も継続的に監視し、是正が完了したかをチェックする。

次回の監査準備にもつながる。

例:ログ保管の改善状況を、1か月後に再確認する。

 

リスクアプローチ

監査対象のリスクの大きさに応じて、重点的に監査を行う考え方。

限られた時間と資源で、効率的に監査を実施できる。

重大な影響を及ぼす可能性のある領域を優先する。

例:顧客情報を扱う部分を重点的に監査する。

 

内部統制

組織内での業務の正当性や信頼性を確保するための仕組みやルール。

不正防止、業務効率化、法令遵守などを目的とする。

経営者の責任で整備され、定期的な評価も行われる。

例:会計処理に二重チェック体制を導入する。

 

モニタリング

システムや業務の運用状況を継続的に観察・確認すること。

異常の早期発見や、品質の維持・改善に活用される。

自動化された監視ツールを使うことも多い。

例:サーバーの稼働状況を常に監視し、問題発生時に通知する。

 

レピュテーションリスク

企業や組織の評判が損なわれることによって発生するリスク。

SNSや口コミの影響で、信頼低下や顧客離れが起きることがある。

迅速な情報開示と対応がリスク対策として重要。

例:顧客情報漏洩により、信頼が失われて売上が大きく減少する。

 

ITガバナンス

企業全体の目標と整合性を保ちながら、ITを適切に運用・管理する仕組み。

責任と権限の明確化、IT投資の最適化などを含む。

経営とITの橋渡しとなる考え方。

例:経営層がIT戦略の方向性を定め、各部署がそれに従って行動する。

 

ITマネジメント

IT資源(人・物・金・情報)を効果的・効率的に活用する管理活動。

システム開発、運用、保守、セキュリティ対策などが含まれる。

ITガバナンスの実行段階にあたる。

例:業務システムの運用を効率化し、コストを削減する施策を実施する。

タイトルとURLをコピーしました