システム監査

システム監査とは

情報システムにまつわるリスクに対する『コントロール』を評価すること。

何かしらのコントロールが既に存在して、そのコントロールが有効に機能していることをチェックする。

システム監査人の要件

独立性
適格性（態度、倫理観、専門性）
実務経験

監査の種類

保証型監査: 監査を実施した限りにおいて、コントロールが適切である旨を監査意見として表明する形態の監査。
助言型監査: コントロール上の欠陥及び懸念事項等の問題点を検出し、改善提言を監査意見として表明する形態の監査。

ITガバナンス

6つの原則《システム管理基準(平成30年)》: 責任、戦略、取得、パフォーマンス、適合、人間行動。
EDMモデル: 評価(Evaluate)、指示(Direct)、モニタ(Monitor)

コントロール

機能

問題の発生に対する「予防」「警告」「修正」。

目的

信頼性: 品質。障害に対する回復。; 監査証跡の例：テスト結果報告書。障害管理表。障害時のログ。
安全性: 自然災害からの保護。不正アクセスや破壊後期からの保護。; 監査証跡の例：アクセスログ。操作ログ。
効率性: 情報システムの資源の活用。費用対効果。; 監査証跡の例：費用対効果分析表。

内部統制の種類

業務処理統制（アプリケーションコントロール）

業務処理の過程において、データの信頼性を確保するためのコントロール。

業務フローを作成し、リスクを洗い出す。リスクに対してどのようなコントロールが存在するかを調査する。リスクに対するコントロールが適切か脆弱かを次の観点で確認する。

完全性（網羅性）: データに漏れがなく、重複がないこと。; 入力内容のチェック。合計値・整合性のチェック。照合によるデータの抜けチェック。
正確性: 連番に抜けはないか。合計値・整合性のチェック。照合によるデータの抜けチェック。入力内容の再表示。
正当性: データが正当な承認を受けていること。; アクセスコントロール。

全般統制（ゼネラルコントロール）

データ処理が行われる環境自体が適切な状態にあることに関するコントロール。

用語集

デジタルフォレンジック: 電磁的記録の証拠保全、調査・分析、改ざんへの分析等を行う一連の科学的調査手法・技術の総称。
OODAループ: 監視、情勢判断、意思決定、行動の4つの段階で指揮官のあるべき意思決定プロセス。
SDCAサイクル: 標準化、実行、評価、改善の4段階を繰り返すことで業務を標準化する手法。