ITパスポートの試験では必ずと言っていいほど、システム監査人の問題が出題されます!ここでは、システム監査人の問題が出題されたときにしっかり得点できるようにするために、解説と過去問題を踏まえて学習し、抑えれるようにしていきましょう!
システム監査とは
システム監査とは、情報システムやITシステムの運用、セキュリティ、などに対するリスクコントロールを独立した第三者がチェック・評価することです。
また、システム監査は、システム監査基準おいて、監査計画策定、予備調査、本調査、監査調書の作成、監査報告書の提出、フォローアップの流れで行われます。
なぜシステム監査が必要かと言うと、近年では、ITや情報システムの使用が高まる中、不正アクセスが増えており、そのリスクをコントロールすることが企業の課題となっております。そこをしっかりと対応するためにも、システム監査を行うことが重要になってきます。
全体像としてはこのような感じになります
①から⑤の順序がシステム監査の流れとなります。イメージとしてこの流れを頭の中に入れておきましょう!
ここからは実際に出題された過去問題をもとにシステム監査のイメージをつかんでいきましょう!
システム監査の目的
問題では、「システム監査の目的に関する記述として、適切なものはどれか。」という問題が出題されました。
下記が選択肢として出ました。
開発すべきシステムの具体的な用途を分析し、システム要件を明らかにすること
情報システムが設置されている施設とその環境を総合的に企画、管理、活用すること
情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与すること
知識、スキル、ツール及び技法をプロジェクト活動に適用することによってプロジェクトの要求事項を満足させること
回答としては↓になります
「情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与すること」
システム監査の目的は、情報システムに対するリスク管理を適切に対応しているかどうかを評価して、組織全体の目標達成に寄与することです。
寄与するとは、役に立つや貢献するという意味
システムが適正に運用されているか、セキュリティ対策が十分であるか、運用プロセスが効果的であるかを監査し、改善点を見出すことで、リスク管理の強化と目標達成を支援します。
システム監査人の役割
問題では、「システム監査人の役割に関する記述として、適切なものはどれか。」という問題がよく問われます。実際に問題で、このような選択肢がありました。
業務の流れや内容に着目して、業務フロー、業務記述書、リスクコントロールマトリクスを作成し、リスクを評価し適切な統制を導入する。
情報システムの企画、開発、運用、保守などの各局面に沿って、適切なモニタリングや自己点検の仕組みを導入し、情報システムが安定的に運用されるような措置を講じる。
情報システムのリスクが適切かつ効果的にコントロールされているかについて、被監査部門から独立した立場で検証し、依頼者に報告する。
情報システムのリスクが適切にコントロールされるように、方針や目標を定め体制を整える。
回答としては↓になります
「情報システムのリスクが適切かつ効果的にコントロールされているかについて、被監査部門から独立した立場で検証し、依頼者に報告する。」
システム監査人は、監査の対象から外観上の独立し、客観的な立場から、情報システムのリスクに対するコントロールが適切に整備・運用されているかを監査(調査)します。
監査(調査)後には、監査手続で入手した監査証拠に基づいてシステム監査報告書を作成し、明らかになった問題を被監査側に伝えると同時に問題点に対しての改善命令を行います。そして被監査側により決定や計画、制定された改善計画の実行をフォローアップするという役割をもっています。
リスクが適切にコントロールがされているか、独立した立場というところが
キーワードになってくるかも!
どのような人が監査を行うのか
実際にシステム監査人の役割としてこのような問題が出題されました。
システム監査人は、監査対象となる組織と同一の指揮命令系統に属していないなど、外観上の独立性が確保されている必要がある。また、システム監査人は 客観的な立場で公正な判断を行うという精神的な態度が求められる。
実際には赤いマーカー部分が空欄になっており、そこに当てはまる語句はどれかという問題です。問題からわかるのは、システム監査人は、上記で説明した独立した第三者行うものなので、このような形となります。試験では、システム監査人は、誰が行うものかという問題がよく出題されるので、誰が行うのかしっかり覚えておきましょう!
応用問題としてこのような問題があります
「有料のメールサービスを提供している企業において、メールサービスに関する開発・設備投資の費用対効果の効率性を対象にしてシステム監査を実施するとき、システム監査人が所属している組織として、最も適切なものはどれか。」
社長直轄の品質保証部門
メールサービスに必要な機器の調達を行う運用部門
メールサービスの機能の選定や費用対効果の評価を行う企画部門
メールシステムの開発部門
問題では、メールシステムに関する開発・設備投資の効率性が監査対象になっています。監査対象業務にかかわる部門の人間が監査を行うことはできません。自分の業務を自分で監査するのでは客観的な監査が期待できないからです。運用部門、企画部門、開発部門のいずれもメールサービスとのかかわりがあり、システム監査人の独立性がないので、システム監査人が所属する部署として適切なのは、社長直轄の品質保証部門に所属する場合のみになります。
