システム監査技法

システム監査の技法としては、一般的な資料の閲覧、収集、質問などのほかに次のような方法があります。

統計的サンプリング法
- 全体のうち一部分をサンプルとして抽出し、その分析結果を全体の性質として推測を行います。
監査モジュール法
- 対象のプログラムに監査用のモジュールを組み込み、実行時のデータを抽出します。
ITF 法 (Integrated Test Facility)
- 稼働中のシステムにテスト用の架空口座 (テストデータ) を作成し、実際の口座と同じトランザクションを行い正確性をチェックします。
コンピュータ支援監査技法 (CAAT : Computer Assisted Audit Techniques)
- ツールとしてコンピュータを利用する監査技法の総称。 ITF 法も CAAT の一例。

監査証跡とコントロール

監査対象のシステムの入力から出力までの処理の内容やプロセスを追跡できる一連の記録を、 監査証跡 と言います。アプリケーションのログファイルなどがこれに当たります。

監査証跡はシステムの 信頼性 、 安全性 、 効率性 が確保されていることを実証するために用いられます。

また、信頼性や安全性や効率性のために統制を行うことを コントロール と言います。画面上で入力した値が規則に則っているか検査する エディットバリデーションチェック や、データの合計を検査して入力間違いがないか確認する コントロールトータルチェック などがあります。

システム監査基準
- システム監査人のための行動規範です。一般基準、実施基準、報告基準からなります。
システム管理基準
- システム監査基準に則り 判断の尺度 に用いる項目です。全部で 287 項目もあります。
情報セキュリティ監査基準
- 情報セキュリティ監査人のため の 行動規範 です。システム監査基準の情報セキュリティバージョン…だそうです。
情報セキュリティ管理基準
- お察しの通り。
- ISO 27001 及び ISO 27002 をもとに策定され、「 ISMS適合性評価制度 」で用いられる適合性評価の尺度と整合されています。
個人情報保護関連法規
- 個人情報保護に関する法律や、プライバシーマーク制度に関する JIS Q 15001 などのガイドラインを用い、個人情報保護に関する監査を行います。
知的財産権関連法規
- 権利侵害行為を指摘するために用いられます。
労働関連法規
- 労働環境について指摘するために用いられます。
法定監査関連法規
- 会計監査などの法定監査との連携を図るために用いられます。