アフィリエイト広告(Amazonアソシエイトや楽天アフィリエイトなど)を掲載しています。
サイト内で紹介している広告の利用や商品を購入すると、売上の⼀部がフェンリルの備忘録に還元されることがあります。
【ITパスポート】システム監査
ITパスポートの「システム監査」に関するまとめです。
システム監査
独立した第三者であるシステム監査人によって、情報システムにまつわるリスクに適切に対処しているかどうかを総合的に検証・評価し、その関係者に助言や勧告を行なうことです。システム監査計画の策定→システム監査の実施→システム監査報告・フォローアップ、という流れで行なわれます。
概ね2問ないし3問程度安定して出題されている範囲です。システム監査の手順、システム監査人に適した人物について、などが出題されています。
システム監査計画の策定
効果的かつ効率的な監査を行なうために、監査の目的やテーマ、監査対象、監査手続きなどを明確にし、システム監査計画書として文書化します。
システム監査の実施
システム監査は予備調査→本調査→評価・結論という流れで行なわれます。
予備調査 | 対象となるシステムの概要を把握するために行なう調査のこと。 |
本調査 | システム監査計画書に従い、具体的に行なう調査のこと。 |
評価・結論 | 本調査の内容を分析・評価し、結論を出すこと。 |
代表的な監査技法
チェックリスト法 | 質問事項に回答してもらう方法。 |
ドキュメントレビュー法 | 収集した資料をもとに調査する方法。 |
突合法(照合法) | 関連する記録を照合したり、記録をさかのぼって調査する方法。 |
現地調査法 | 現地に出向いて実際の作業状況を調査する方法。 |
インタビュー法 | 特定者に口頭で質問する方法。 |
システム監査報告・フォローアップ
システム監査が終了したら、システム監査人はシステム監査報告書を作成し、依頼者への報告を行ないます。また、このシステム監査報告書に基づいて、必要な措置が講じられるように継続的にフォローアップを行ないます。
実際に出題された問題
※問題文の著作権は独立行政法人情報処理推進機構(IPA)に帰属します。
令和3年 問55
有料のメールサービスを提供している企業において、メールサービスに関する開発・設備投資の費用対効果の効率性を対象にしてシステム監査を実施するとき、システム監査人が所属している組織として、最も適切なものはどれか。
【ア】社長直轄の品質保証部門
【イ】メールサービスに必要な機器の調達を行う運用部門
【ウ】メールサービスの機能の選定や費用対効果の評価を行う企画部門
【エ】メールシステムの開発部門
【解説】システム監査を公正かつ客観的に行なうため、システム監査人は独立した第三者でなければなりません。したがって、メールサービスに関わりの深い運用部門、企画部門、開発部門は不適切ということになります。
令和2年 問41
システム監査の目的に関して、次の記述中のa、bに入れる字句の適切な組合せはどれか。
情報システムに関わるリスクに対するコントロールの適切な整備・運用について、[a]のシステム監査人が[b]することによって、 ITガバナンスの実現に寄与する。
a | b | |
【ア】 | 業務に精通した主管部門 | 構築 |
【イ】 | 業務に精通した主管部門 | 評価 |
【ウ】 | 独立かつ専門的な立場 | 構築 |
【エ】 | 独立かつ専門的な立場 | 評価 |
【解説】システム監査を公正かつ客観的に行なうため、システム監査人は独立した第三者でなければなりません。また、システム監査人は分析・評価し、結論を出すものであり、監査人自らが体制を構築するわけではありません。