Day #13 システム監査
※注意:個人で勉強した内容を記事として書き起こしています。内容が必ずしも正しいという保証はありません。もし間違いを見つけられましたら、コメントなどでお知らせいただけると嬉しいです。
監査 とは
ある対象に対して遵守すべき法令や基準と照らし合わせ正しく運用されているかを評価し、ステークホルダに伝達することを 監査 と言います。
監査の種類は、対象、手法、 監査人 によって分類されます。
対象で区別する場合、 システム監査 、会計監査、 情報セキュリティ監査 、個人情報保護監査、コンプライアンス監査などに区別されます。
監査を行う 監査人 によって区別する場合、 外部監査 (独立した第三者が行う) と 内部監査 (組織の内部で行う) に分けられます。
さらに、監査の手法によって区別する場合は、 保証型監査 (基準との比較で適合を保証) と 助言型監査 (改善提案を行う) に分けられます。
システム監査人 の要件
システム監査人の要件の中で最も大切なのは 独立性 です。
内部監査の場合でも、社内の独立した部署で行われます。これは、監査対象から監査人が独立した立場にいなければならないためです。
外見上の独立性 だけでなく、公正かつ客観的な判断ができるよう 精神上の独立性 も求められます。また、監査人は 職業倫理と誠実性 、そして 専門能力 を持って職務を実施します。
こうした独立性を保った企業を探すための システム監査企業台帳 を経済産業省が公表しています。
システム監査の原本
システム監査基準の原本は、経済産業省のサイトで掲載されています。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の手順
システム監査は、次の手順で実施されます。
- 監査計画
- 予備調査
- 本調査
- 評価・結論
システム監査計画
実施するシステム監査の目的を有効かつ効率的に達成するため、監査手続の内容、時間、範囲などを 監査計画 としてまとめます。
監査計画は、臨機応変に修正できるよう弾力的に運用します。
システム監査の実施
監査結果を裏付けるのに十分な 監査証拠 を入手する手続きを 監査手続 と言います。予備調査、本調査ではこれを行います。
そして、監査手続の結果と関連資料を 監査調書 としてまとめます。
システム監査の報告
実施した監査についての 監査報告書 を作成し、監査の依頼者 (組織体の長) に提出します。
実施した監査の対象や概要、保証意見や助言意見、 指摘事項 と 改善勧告 、制約などを記載します。
システム監査終了後の任務
システム監査人は、調査報告書の記載事項について責任を負います。必要であれは、実施結果の妥当性を評価する システム監査の品質評価 も行われます。
また、監査の結果に基づいて改善できるよう フォローアップ (改善指導) を行います。
