ホーム
マネジメント系
F. サービスマネジメント
ⅩⅥ. システム監査
1. システム監査

1.3. システム監査の対象業務

1. 概要

 システム監査は、単に情報システムの技術的側面だけでなく、組織全体のガバナンスや各業務プロセスにまで評価対象が広がる重要な分野です。応用情報処理技術者試験シラバスのマネジメント系「サービスマネジメント」では、システム監査の対象業務として、情報システムの企画・開発(アジャイル開発を含む)・運用・保守・廃棄の各プロセス、さらに外部サービスの調達・利活用プロセスが含まれています。これらの各プロセスにおいて、企画プロセスの妥当性開発・運用・保守プロセスの信頼性・効率性リスクコントロール準拠性適時性情報セキュリティなど、多角的な評価が求められます。監査目的及び対象範囲は、内部監査規程システム監査委託契約書、その他の契約書や監査計画により明確に定められるため、その理解が非常に重要です。

flowchart LR
    A[企画プロセス]
    B[開発プロセス
(アジャイル開発含む)]
    C[運用プロセス]
    D[保守プロセス]
    E[廃棄プロセス]
    F[外部サービス調達・利活用]

    A --> B
    B --> C
    C --> D
    D --> E
    A --- F
    B --- F
    C --- F
    D --- F
    E --- F

図1:システム監査の対象プロセス全体像

2. 詳細説明

2.1. システム監査の基本概念

 システム監査は、情報システムが組織の目標や法令・規程に準拠して運用されているか、また各プロセスにおいて適切なコントロールが機能しているかを確認する活動です。ここでは、情報セキュリティ対策やリスク管理、適時性の確保が特に重視されます。

2.2. システム監査の対象業務プロセス

① 企画プロセス

  • システム企画段階では、企画プロセスの妥当性が評価対象となり、事業戦略や要件定義が十分にリスクを考慮し、適時性を持って策定されているかを検証します。

② 開発・運用・保守プロセス

  • システム開発(アジャイル開発を含む)では、開発・運用・保守プロセスの信頼性・効率性が重要視されます。ソフトウェアの品質管理、変更管理、運用中のトラブル対応、情報セキュリティ対策が適切に実施されているかをチェックします。

③ 廃棄プロセスおよび外部サービスの調達・利活用

  • システムの廃棄や外部サービスの調達においては、システム監査委託契約書などの契約内容や、内部監査規程に基づくコントロール、準拠性の確認が求められます。
プロセス 評価項目
企画プロセス 企画プロセスの妥当性、リスク評価、適時性、コントロール設計
開発プロセス 開発・運用・保守プロセスの信頼性・効率性、変更管理、情報セキュリティ対策
運用・保守プロセス システムの安定運用、障害対応、リスク管理、効率的なメンテナンス
廃棄プロセス 廃棄手続き、データ消去、準拠性、リスク管理
外部サービス調達・利活用 契約内容の遵守(システム監査委託契約書等)、外部サービスのリスク管理、コントロール

表1: 各プロセスの評価項目一覧

2.3. システム監査の実施方法と評価項目

 システム監査を実施する際は、監査計画に沿って各プロセスの評価項目を明確にします。具体的には、各業務プロセスでのリスク管理、コントロールの有効性、適時性、情報セキュリティ対策の状況を、内部監査規程システム監査委託契約書、その他契約書類や監査計画書によって裏付けながら評価します。

3. 応用例

 企業が新たなクラウドサービスを導入する際、システム監査は次のように応用されます。まず、企画段階では、クラウドサービス導入計画が企業戦略に沿っているか、企画プロセスの妥当性が検証されます。次に、アジャイル開発手法を用いたシステム構築においては、開発・運用・保守プロセスの信頼性・効率性が評価され、変更管理や情報セキュリティ対策が適切に実施されているか確認されます。さらに、クラウドサービス提供企業との契約(システム監査委託契約書等)や、内部監査規程に基づく監査計画が策定され、適時性や準拠性が担保されるよう運用されます。これにより、企業全体のリスクが低減され、システム全体のガバナンスが強化されます。

flowchart TD
    A[クラウドサービス導入企画]
    B[要件定義・リスク評価]
    C[アジャイル開発による構築]
    D[運用開始・保守管理]
    E[システム監査の実施]
    
    A --> B
    B --> C
    C --> D
    D --> E
    E ---|契約・監査計画に基づく| A

4. 例題

例題1

問題: システム監査において、企画プロセスの妥当性を評価する際に注目すべき点を3つ挙げよ。

  • 事業戦略との整合性
  • リスク評価の実施状況と適時性の確保
  • 初期段階でのコントロール設計および情報セキュリティ対策の充実度

例題2

問題: システム監査の対象範囲を明確にするために、監査実施時に参照すべき文書を2つ挙げよ。

  • 内部監査規程
  • システム監査委託契約書(およびその他契約書類や監査計画書)

5. まとめ

 システム監査は、単なる技術的評価に留まらず、企画プロセスの妥当性開発・運用・保守プロセスの信頼性・効率性、さらにリスク管理、コントロール準拠性適時性情報セキュリティといった多角的な評価を必要とします。これらの評価は、内部監査規程システム監査委託契約書などの文書に基づいて、監査目的や対象範囲を明確に定めることで、組織全体のガバナンス強化に寄与します。情報処理技術者は、各プロセスの評価ポイントを正確に理解し、実務に応用する視点を養うことが重要です。