システム監査
1システム監査とは...?

■システム監査
独立した立場の監査人が公平かつ客観的な立場から情報システムに関するリスクについて検討評価を行う

■ダブルループ
日常のコントロールが内側のループ、そしてその有効性をチェックする行為が外側のループすなわち監査である

■システム監査人の要件
独立性
外観上の独立性
精神上の独立性
適格性
公正不偏な態度
正当な注意義務、守秘義務
監査に関する知識や能力
実務経験

■保証型監査と助言型監査
コントロールのレベルの高い企業では保証型監査が主になる

■システム監査の必要性
内部監査会計監査の一環としてのシステム監査
情報システムが経営戦略の実現にとって大きな要素となる
情報システムの安全な運用の必要性

■コントロールとは
記録と照合することを意味する
称号の対象としては以下のようなものがある
組織の目的
組織の規範
社会の規範

■コントロールの必要性
組織でないと大きなことができない権限を移譲する代わりにチェックする機能が必要になる

■企業活動に対するコントロール内部統制と外部統制とがある
内部統制はさらに内部牽制制度と内部監査制度に分かれる

■コントロールの機能
・予防牽制機能
問題が発生する行動や機会を牽制する機能
・誤謬適示機能
問題が発生した場合に検出し警告する機能
・修正回復機能
問題が発生した場合に現状を回復し最小限に留める機能

■コントロールの目的
以下の性質を保証する。
・信頼性確保
品質を確保・維持する機構が機能しているか？
問題に対する仕組みができているか？
・安全性確保
災害からの保護は問題ないか？
セキュリティ面の保護は問題ないか？
・効率性確保
目的適合性は満たしているか？
費用対効果は考慮されているか？

■情報システムの特徴とコントロール
情報処理の特性を知る
処理の大量性、高速性、均一性広域性

■想定されるリスク
相互牽制機能の欠落
記録の不可視化
機密データの軽視
データの信頼が低下

■システムの監査性
コントロールが存在すること
監査証跡が存在すること

■コントロールの機能の有効性を検証するための証跡
・信頼性を確保するためのコントロール証跡
テスト結果報告書
メンテナンス履歴簿
・安全性を確保するためのコントロール証跡
アクセスログ
操作ログ
・効率性を確保するためのコントロール証跡
ニーズ調査報告書
費用対効果分析表

■監査証跡確保時の留意点
経済性効率性の考慮
見読可能性の提供
承認行為の追跡
保存期間保存方法の妥当性

■情報システムの内部統制
業務処理統制と全般統制
モノを正確に作る統制とモノを作る環境整備の統制

■全般統制
システムの開発にかかわる管理
システムの運用管理内外からのアクセス管理
外部委託に関する契約管理