システム監査

ITパスポート試験では出題率が高い分野である。システム監査とは、システムの脆弱性や機能性を監査・査定することである。具体的には、多角的な視点から情報システムを評価し、評価結果に対して改善策を提案する。第三者が評価することで客観的な査定を受けられる。

　システム監査とは、システムに関するリスクに対して適切な対策・整備・運用ができているかを調査すること。監査の対象には、業務、会計、情報システム、情報セキュリティなどがあるが、ITパスポートでは、システム監査が中心に出題される。

　監査をするとき、システム開発の発注元やベンダが実施すると客観性に欠けるため、監査人と呼ばれる第三者に監査を依頼するのが一般的です。独立した第三者が、独立した立場で評価することで、企業における情報システムのリスクを正しくコントロールできます。

　監査人は、有効で高い品質の監査を実施するためにあらかじめ基準を設けて調査をします。この監査人が従う基準のことをシステム監査基準といいます。

　監査を実施するためには以下の流れで行います。

①監査依頼

　監査は依頼人が監査人に依頼を出してからスタートします。監査の目的や監査対象などを決めて、情報システムが安全か、不正がないかを確認するために監査依頼を出します。

②調査実施

　システム監査は、通常コンサルタント会社や公認会計士、社内監査部門が実施します。監査の対象となるのは、システムを使っている部門になり、ヒアリング、現地調査、レビューなどの調査を実施し、情報を収集します。

③調査結果報告

　調査を終えると、監査人は依頼人に監査結果をまとめた。システムを利用している企業経営者に報告するのが一般的です。加えて、監査結果をもとに改善勧告を出します。

④改善（フォローアップ）

　監査によって指摘された項目につき、必要に応じて対応を実施します。改善活動を実施するのは監査人ではなく、依頼人側の担当者です。担当者は改善計画を立てて改善活動を行います。