[情報処理技術者] システム監査

Posted by yama3 2009年 07月 28日. 資格試験 -
このエントリをはてなブックマークに追加このエントリをdel.icio.usに追加このエントリをLivedoor Clipに追加このエントリをYahoo!ブックマークに追加このエントリをFC2ブックマークに追加このエントリをNifty Clipに追加このエントリをPOOKMARK. Airlinesに追加このエントリをBuzzurl(バザール)に追加このエントリをChoixに追加このエントリをnewsingに追加

情報処理技術者関連の資格を受ける人の多くが躓いてしまう&そのまま大した対策もしないで
受験本番を迎えてしまう分野の1つであるシステム監査について書かせて
いただきます。といっても、自分自身もさっき書いた「この分野で躓いてしまう人」でありかつ、
「大した対策もしないで受験本番を迎えてしまう人」だったりします。ですので、今回はしっかり
インプットを行い、このブログ記事を通してアウトプットを行い、次の受験日に備えたいと思います。

重要キーワード

システム監査、システム監査基準、情報セキュリティ監査、内部監査、JIS Q 9001(ISO 9001)、
品質マネジメントシステム、監査調書、監査報告書、内部統制、ITガバナンス、COSO、固有の限界、
全般統制、システム監査報告書

なにやら、難しそうな単語が並んでいますね。

システム監査に関する詳細は続きにて

システム監査の基本

システム監査とは、監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に
点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動のことを
言います。
つまり、各企業の情報システムを客観的に評価し、問題があればそれを企業の方に説明することです。
そのためには、監査対象から独立な立場からシステム監査を行う必要があります。この「独立」というのは、
監査人が被監査主体と身分上で密接な利害関係を有しない(外観上の独立性)、偏向を排し、常に公正かつ
客観的に監査判断を行う(精神上の独立)が求められています。さらにここでいう
情報システム」とは具体的に何を指しているのか?を知る必要があります。

「情報システム」とは?

システム監査のほかに、「情報セキュリティ監査」と呼ばれるものも存在するため、
ここでは一緒に説明します。情報セキュリティ監査の対象は、「情報セキュリティに関わるモノなら
何でも対象とします。また、システム監査では、「情報システムに関わらない文書情報」は対象には含めません。

システム監査の手順

これはシステム監査だけに特化したものではないですが、システム監査の手順は、基本的には
「予備調査」「本調査」「評価・結論」の順に行います。この「予備調査」のシステム監査手続きでは、
アンケート調査を行い、監査対象に対する被監査部門の管理者及びリスクの認識についての情報を収集する
といったことを行います。またこの「本調査」を行ったあと、「評価・結論」を行うことになるのですが、
ここで「監査調書」という資料を作成することになります。監査調書とは、「監査結果の裏づけとなる」
資料のことで、実施された監査手続きの「結果とその関連資料」が記載されます。しかし、この監査調書は
「義務ではない」ということを頭に入れておくといいでしょう。また、これに関する問題では、文章表現を
少し変えて、「必要に応じて被監査部門から入手した証拠資料を添付する」と書かれていることも
ありますが、これは監査調書のことを表しています。

システム監査人の責任・権限・義務

システム監査人の責任として、自分の判断に対する根拠を明確にする責任を持っています。
また、監査を進めるために、被監査主体に対して、資料の提出を求める権限を持っています。
また、監査の業務上知り得た秘密を漏らしたり、不当な目的のために利用してはいけない、
という義務を負うことになります。
試験でよく見かける問題に、「システム監査人は、被監査主体に対して資料の提出を求める
権限を持っている」という記述が正しいかどうか?という趣旨のものがあるのですが、
「正しい」という結論に達します。

システム監査人が行うこと・行わないこと

システム監査人は、情報システムから独立した立場であることを再度思い出してください。
たとえば、システム監査人は原則として、情報システムを調達しません、構築しません、
運用保守しません。システム監査人が行うことは、被監査部門の組織内で、内部統制が
機能していることの「確認」です。

行うこと

  • ソフトウェアパッケージに適合するハードウェア性能の検討が行われていることを確認する

行わないこと

  • 自社開発と購入の場合の費用対効果をそれぞれ分析し、比較して、ソフトウェアパッケージを選定する
  • ほかの同種のソフトウェアパッケージに関する資料を取り寄せ、価格、性能などを比較する
  • 必要な情報システムを構築・運用保守する

内部統制

一般に企業などの組織内部において、違法行為や不正、ミスやエラーなどが行われることなく、
組織が健全かつ有効・効率的に運営されるよう各業務で所定の基準や手続きを定め、それに基づいて
管理・監視・保証を行うこと。そのための一連の仕組みを内部統制システムという。この内部統制が
行われていることを確認することが監査であり、監査をシステムの観点で監査することを
システム監査といいます。

内部統制で重要なことは、「内部統制が働かなくなるのはどのようなときか?」です。これは
内部統制が有する固有の限界」と呼ばれています。たとえば、「内部統制を整備
及び運用する役割と責任」を持つ「経営者」が自ら内部統制をやめてしまった」とします。
こうなると何が起こるか?ということです。

内部統制の限界には以下の4つが指摘されています。

  • 内部統制は判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある。
  • 内部統制は当初想定していなかった組織内外の環境の変化や非定型的な取引などには、必ずしも対応しない場合がある。
  • 内部統制の整備及び運用に際しては、費用と便益との比較均衡が求められる。
  • 経営者が不当な目的のために、内部統制を無視、無効ならしめることがある。

例題(過去問)

必要事項をインプットしたあとは、インプットされた事項をどんどんアウトプットしていく必要が
あります。また、インプット量についても、この記事だけでは十分ではないと思われますし、
このスペースだけで全てを網羅することは無理かと思います。また、ここにあげる問題の答えは
ここでは敢えて書きません。ですので、以下の例題を解いてみて、まだ自分の知識が十分ではない、
と感じたらさらに深い知識を身につけるためにもGoogleなどで検索してみるといいかと思います。

  • “システム監査基準”の報告基準で定めている事項はに「改善勧告のフォローアップ」は含まれているか。
  • システム監査の特質は?
  • システム監査と情報セキュリティ監査における監査対象の違いは?
  • JIS Q 9001(ISO 9001)の内部監査とシステム監査の関係は?
  • 監査調書とは?
  • 内部統制が有する固有の限界とは?
  • ITガバナンスとは?

参考記事

関連記事

人気ブログランキングへ

[PR]

トラックバック

http://yamablo.com/2009/07/28-234425.php/trackback

コメント

Get Adobe Flash playerPlugin by wpburn.com wordpress themes