システム監査は、独立した立場のシステム監査人が,情報システムに対するリスク対応が適切に整備・運用されているかを監査します。参考ですが、監査には公認会計士が行う会計監査や、企業の監査役が行う業務監査もあります。
システム監査というのはイメージしにくいのですが、ざっくりと言うと、システムが適切かどうかをチェックすることです。人間で言うと、医師が実施する患者への健康診断のようなものです。
システムを監査する人がシステム監査人で、監査をされる側は被監査部門と言います。システム監査を行う際に重要なのが、被監査部門からの「独立性」です。たとえば、同じ組織の人が監査をすれば、重大な問題を発見したとしても、指摘をするのをためらう可能性があるからです。
システム監査について、IPAのシステム監査技術者試験の資料には次のように述べられています。
システム監査は、監査対象から独立した監査人が、情報システムを信頼性、安全性及び効率性の観点から総合的に点検・評価し、関係者に助言・勧告するものであり、コンピュータ・セキュリティの確保とシステムの有効活用を図る上で極めて有効な手段であり、情報化社会の健全化に大きく貢献するものである。 (https://www.jitec.ipa.go.jp/1_11seido/s44_h6har/old_au.htmlより) |
ポイントの一つは、「監査対象から独立した」という点です。独立した監査人が、客観的にシステムを評価します。
独立性には次の2つがあります。
(1)外観上の独立性
(システム監査基準2.1を参照)
システム監査を客観的に実施するために、監査対象から独立していなければならない。
(2)精神上の独立性
(システム監査基準2.2を参照)
偏向を排し、常に公正かつ客観的に監査判断を行う。
システム監査人は,助言をする立場であり、対策方針を決定したり、改善命令を出すことなどの権限はありません。医者が患者に対し、手術を強制することができないのと同じです。しかし、システム管理者や関係部署に対し、監査の実施への協力要請はできます。
2.「信頼性」「安全性」「効率性」
「信頼性」「安全性」「効率性」という3つのキーワードを覚えましょう。
それぞれの言葉の意味に関しては、旧システム監査基準より引用します。
(3) 信頼性・・・・・・・情報システムの品質並びに障害の発生、影響範囲及び回復の度合 (4) 安全性・・・・・・・情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合 (5) 効率性・・・・・・・情報システムの資源の活用及び費用対効果の度合 |
例を挙げます。安全性という観点で、不正アクセスが発生しないように、アクセスログを取得するという統制(コントロールという)が適切にとられているかを監査します。
3.(参考)
H19午後1問4に、システム監査の具体例が表にまとめられているので掲載します。具体例を見ることでイメージがわきやすくなると思います。ただ、監査目的などは、この事例に限ってのことなので、あくまでもイメージとして考えてください。
表2 監査の概要
項目 | 内容 | |
(1)監査目的 | システム開発部で実施しているデータ修正業務が、定められた手順に従って行われ、不正や操作ミスなどが発生していないかどうかを確認する。 | |
(2)監査対象部門 | システム企画部 | システム開発部 |
(3)監査手続 | システム企画部が作成した“システム保守運用基準書”に記載されているデータ修正の手順が、不正や操作ミスなどを防ぐ手続として有効かどうかについて、記載内容を確認する。 | データ修正が、“システム保守運用基準書”に従って行われているかどうかを確認する。具体的には、ユーザ部門によって作成された“データ修正依頼書”を入手し、ユーザ部門の責任者及びシステム開発部の責任者の事前承認が得られているかどうかを確認する。 |
(4)発見事項 | “システム保守運用基準書”には、緊急の場合のデータ修正のルールが記載されていない。また、部署名などが更新されていない箇所が散見された。 | “データ修正依頼書”に、ユーザ部門の責任者又はシステム開発部の責任者の承認印がないケースが多数見つかった。特に、緊急依頼の場合に承認印がないケース多い。 |
(5)改善勧告 | “システム保守運用基準書”に緊急の場合のデータ修正のルールが記載するとともに、記載内容を最新状態に保つこと | データ修正を行う場合には、“システム保守運用基準書”に従って、事前にユーザ部門の責任者及びシステム開発部の責任者の承認を得ることを徹底すること |