ホーム
マネジメント系
F. サービスマネジメント
ⅩⅥ. システム監査
1. システム監査

1.2.2. システム監査の流れ

1. 概要

1.1. システム監査の定義

 システム監査とは、情報システムに関する管理体制や運用状況を客観的に評価し、改善の方向性を示すためのプロセスです。組織の情報システムが適切に運用され、リスクが十分に管理されているかを確認するために実施されます。

1.2. システム監査の目的と重要性

 システム監査は、監査計画の策定、監査の実施、監査報告とフォローアップという一連の流れで行われます。
 この目的は、組織内のシステムに潜むリスクを早期に発見し、改善提案を通じてシステムの安全性・信頼性を向上させることにあります。
 応用情報処理技術者試験の受験者にとっては、システム監査の流れと各手順が実務におけるリスク管理やガバナンスの重要な要素となるため、しっかりと理解する必要があります。

flowchart TD
 A[監査計画の策定(リスクアプローチ)]
 B[監査の実施]
 C[監査報告とフォローアップ]
 A --> B
 B --> C

 図1:システム監査プロセスの全体フロー

2. 詳細説明

2.1. 監査計画の策定

 システム監査の第一ステップは、リスクの評価に基づく監査計画の策定(リスクアプローチ)です。

  • 組織内のシステムやプロセスに存在するリスクを洗い出し、優先順位をつけた上で、どの領域を重点的に監査するかを決定します。
  • このプロセスでは、監査の目的、範囲、スケジュール、必要なリソースなどを明確にすることが求められます。

2.2. 監査の実施

 監査計画に基づき、実際の監査活動が開始されます。

  • 監査証拠の入手と評価
    システムや業務プロセスから、客観的な証拠を収集し、その正確性や完全性を評価します。
  • 監査調書の作成と保管
    収集した証拠や監査の過程、評価結果を記録した監査調書を作成し、後日の検証やフォローアップに備えて保管します。
  • 監査の結論の形成
    収集した情報を元に、システム運用の問題点や改善点を明確にし、最終的な監査の結論を導き出します。

2.3. 監査報告とフォローアップ

 監査実施後は、その結果を関係者に伝え、必要な改善措置が実行されるようフォローアップを行います。

  • 監査報告書の作成と報告
    監査の目的、実施内容、結果、結論、そして改善提案を含む監査報告書を作成し、関係部署や経営陣に報告します。
  • 改善提案のフォローアップ
    監査報告書で提示された改善提案が実際に実行され、その効果が確認されるよう定期的に再評価を行います。

2.4. 監査プロセス概要表

監査プロセス段階 主な手順・キーワード 具体的手法
監査計画の策定 リスクの評価に基づく監査計画の策定(リスクアプローチ) リスク分析、監査範囲の決定、スケジュール設定
監査の実施 監査証拠の入手と評価、監査調書の作成と保管、監査の結論の形成 証拠収集、調書作成、評価基準の適用
監査報告とフォローアップ 監査報告書の作成と報告、改善提案のフォローアップ 報告書作成、改善計画の策定、定期的な再評価

 表1:監査プロセス各段階と関連キーワード一覧

3. 応用例

3.1. 業界におけるシステム監査の活用

 企業では、システムの信頼性向上とリスク管理の一環として、定期的にシステム監査が実施されています。
 例えば、大手IT企業や金融機関では、システム障害や情報漏洩といったリスクを未然に防ぐために、リスクの評価に基づく監査計画の策定(リスクアプローチ)が重視されています。
 また、監査過程においては、監査証拠の入手と評価や監査調書の作成と保管が徹底され、問題点の早期発見と迅速な改善が図られています。

3.2. 実務でのフォローアップの重要性

 監査報告書の提出後、経営陣は監査の結論の形成に基づき、具体的な対策を検討します。

  • その際、監査報告書の作成と報告が正確であれば、組織全体での改善活動がスムーズに進みます。
  • さらに、改善提案のフォローアップを定期的に実施することで、持続的なシステムの最適化とリスク低減が実現されます。

4. 例題

例題1

問題:
  ある企業では、情報システムに対する監査を計画する際、リスク評価を行い、どのシステム領域を重点的に監査するかを決定しました。
  この際に重要となる手順と、その後の監査実施における証拠収集・評価プロセスを、キーワードを用いて説明しなさい。

 企業はまず、リスクの評価に基づく監査計画の策定(リスクアプローチ)を実施し、リスクの高いシステム領域を特定します。
 次に、監査実施フェーズでは、監査証拠の入手と評価を通じてシステムの運用状況を確認し、証拠を収集します。
 さらに、監査調書の作成と保管により、監査の過程と結果を記録し、最終的に監査の結論の形成を行います。

例題2

問題:
  監査が終了した後のフェーズにおいて、どのようにして監査結果を関係者に伝え、改善提案が実施されるかを説明してください。

 監査終了後、まず監査報告書の作成と報告が行われ、監査の結果や問題点、改善提案が明確にまとめられます。
 その後、改善提案のフォローアップを通じて、実際に改善策が実施され、その効果が確認されることで、システム全体の安全性と信頼性が向上します。

5. まとめ

 システム監査は、監査計画の策定、監査の実施、監査報告とフォローアップという流れに沿って進められます。
 特に、リスクの評価に基づく監査計画の策定(リスクアプローチ)により重点領域が明確になり、監査証拠の入手と評価、監査調書の作成と保管を経て、最終的には監査の結論の形成がなされます。
 その後、監査報告書の作成と報告および改善提案のフォローアップにより、監査結果が効果的に活用され、組織全体のシステムの健全性が確保されます。
 情報処理技術者は、この一連のプロセスと各キーワードの意味を正確に理解することが、実務への応用において非常に重要です。