システム監査 †
- 監査 ... 独立性の確保された組織(場合によって社外組織)が、監査対象部門の業務活動の状況や業務活動を行った結果としての記録の内容を調査し、適切かどうかを評価し、問題があれば指摘し改善を勧める活動
- システム監査 ... 監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動
- システム監査は任意監査。法的に義務付けられているわけではない
- システム監査は内部監査/外部監査の双方がある。ほとんどは内部監査だが、金融機関は外部監査するよう金融庁から指示が出されている
- システム監査を単独で行うのではなく、業務監査と一緒に行うと、業務活動の中での情報システムの在り方について一緒に考えられるのでより監査の効果が得られる
- 情報システムの構築・各種サービスを事業としているITベンダにとっては、システム監査を行っていることが、提供する製品やサービスの品質を高め、お客さまに安心感を与えることになる
- システム監査の実施状況は年1回以上でも約30%程度
システム監査の進め方 †
1. 事前調査
2. 監査計画策定
3. 予備調査
4. 本調査
5. 監査報告書作成
6. 意見報告会
7. 監査報告会
8. フォローアップ
情報システムの「コントロール」 †
情報システムを企画、開発、運用する中で、信頼性を高めるためのさまざまな対応のこと。
例)
- 企画段階 ... ユーザー要求を要件定義書にまとめ、ユーザー部門の責任者に承認を得ること
- 開発段階 ... 要件定義書で定義されたユーザー要求が基本設計書に盛り込まれていることを、設計レビューによって確認すること
- 運用段階 ... 障害発生時に速やかに確実な対処が行えるように、障害発生時の連絡手順、対処手順をあらかじめ策定しておくこと
情報システムのコントロールは、4つの段階でとらえる。
- 予防 ... 不具合を発生させないためのコントロール
- 発見 ... 不具合をいち早く発見するためのコントロール
- 極小化 ... 不具合による被害の範囲を最小限にするためのコントロール
- 復旧 ... 不具合を是正し、正常な状態に戻すためのコントロール
情報システムの信頼性 †
システム監査基準では以下のように定義
信頼性 ... 情報システムの品質並びに障害の発生、影響範囲及び回復の度合
具体的には以下の項目の対応度合
- 情報システムを活用して業務活動を行っていく中で、情報システムによる処理が要求したとおりに行われること(要求した品質の実現)
- 情報システムが安定的に稼働し必要なときに使えること(障害発生の防止)
- 障害が発生した場合に被害を最小限に抑えること(業務活動への影響の極小化)
- 障害が発生した後での正常状態への復旧が早く行われること(正常な業務活動への回復の迅速性)
情報システムの安全性 †
システム監査基準では以下のように定義
安全性 ... 情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合
具体的には以下の脅威への対応度合
脅威 | 例 |
災害 | 地震、落雷、洪水、火事、停電、漏水 |
故障 | システム障害、ネットワーク障害、設備障害 |
過失 | 入力ミス、操作ミス、運用ミス、チェック漏れ、ソフトウェアバグ |
不正 | 物理的破壊、ネットワーク不正アクセス、権限外使用、情報の盗用・漏えい・改ざん |
情報システムの効率性 †
システム監査基準では以下のように定義
情報システムの資源の活用及び費用対効果の度合
リンク集 †