システム監査

システム監査

システム監査とは

監査対象から独立かつ客観的な立場のシステム監査人が情報システムを総合的に点検・評価し、組織体の長に助言・勧告をするとともにフォローアップする一連の活動のこと。
情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与する。

システム監査の各プロセスにおける責任

監査対象システムの管理：システム管理部門の責任
監査報告書に記載した監査意見：システム監査人の責任
監査報告会で指摘した問題点の改善：被監査部門の責任
監査結果の外部への開示：経営部門の責任

事業継続計画（BCP：Business Continuity Plan）とは

予期せぬ災害が発生した場合に、最低限の事業を継続し、または早期に復旧・再開が出来るようにするために企業が定めた行動計画のこと。
緊急連絡網の構築や重要な業務の優先順位付け、および策定したBCPの従業員への周知が必要になる。

システム管理基準について

システムテストについての定義
1. システムテスト計画は、開発およびテストの責任者が承認すること。
2. システムテストに当たっては、システム要求事項を網羅してテストケースを設定して行うこと。
3. テストデータの作成およびシステムテストは、テスト計画に基づいて行うこと。
4. システムテストは、本番環境と隔離された環境で行うこと。
5. システムテストは、開発当事者以外のものが参画すること。
6. システムテストは、適切なテスト手法および標準を使用すること。
7. システムテストの結果は、ユーザ・開発・運用および保守の責任者が承認すること。
8. システムテストの経過および結果は記録および保管すること。

ソフトウェア資産管理（SAM：Software Asset Management）とは

組織において利用しているソフトウェア、それが稼動するハードウェア、そしてソフトウェアライセンスの3つの資産を管理すること。
これにより、ライセンスコンプライアンスに対応し、ソフトウェア資産に関わるリスクを低減・回避することを目的としている。

システム監査の流れ

①計画　⇒　②実施　⇒　③報告、という流れで監査を実施する。
「監査項目（何を監査するのか）」と「監査手続き（どんな方法で監査するのか）」を明確にする。

信頼性：情報システムの品質並びに障害の発生、影響範囲および回復の度合い
安全性：情報システムの自然災害、不正および破壊行為からの保護の度合い
効率性：情報システムの資源の活用および費用対効果の度合い

システム監査基準とは

システム監査人の独立性、客観性と職業倫理について下記のように定めている。

外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなくてはならない。

精神上の独立性
システム監査人は、システム監査実施にあたり、偏向を排し、常に公正かつ客観的に監査判断を行わなくてはならない。

職業倫理と誠実性
システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

---

内部統制

内部統制とは

企業の健全な経営を実現するために、その組織の内部において適用されるルールや業務プロセスを整備し運用すること。
またその結果確立されたシステムの事を指す。
この中で、ITを利用して行う内部統制のことをIT統制という。
IT統制は、「全般統制」と「業務統制活動」に分かれる。

業務統制活動とは

適切な業務を行うためにシステムに組み込まれた機能のこと。

アクセスコントロール
利用者の属性によって参照できるリソースやリソースへの操作をパスワードを用いて制限することでリスクを最小化する機能。

エディットバリデーションチェック
「値が範囲内に収まっているか」、「論理的に正しいか」、「決められたフォーマットになっているか」など、利用者による入力値が予定されたものであるかを確認することで入力値の正確性を高める機能。

コントロールトータルチェック
入力された数値の合計と、出力された数値の合計を照合し完全性を確認する機能。

プルーフリスト
入力データを加工せずにそのままプリントアウトしたもので、これと受注伝票を照合することで、入力データの完全性および一意性の確認を行う。

マッチング
入力内容がマスターデータなどのあらかじめ登録済みであるデータと合致しているかを確かめる機能。