学校のテストで、自分の解答を自分で採点したことはありますか。ついつい自分に甘くなってしまったり、間違いを見逃してしまったりすることはありませんか。
ITシステムも同じです。自分たちで作ったシステムを自分たちだけで大丈夫だと言うだけでは、客観的な正しさは証明できません。
そこで重要になるのが、第三者の厳しい目でチェックしてもらうシステム監査です。今回は、ITパスポート試験でもよく問われるシステム監査のポイントを、初心者の方に向けてわかりやすく解説します。
システム監査とは?第三者の視点で客観的に評価すること
システム監査は、情報システムが正しく、安全に、そして効率よく運用されているかを、独立した立場の人がチェックし、評価することです。
たとえると、プロの医師が行う健康診断や、建物の安全点検のようなものです。自分では気づかない病気や、隠れた建物の傷みを見つけてもらうことで、大きなトラブルを未然に防ぐことができます。
システム監査の最重要キーワード:独立性と客観性
試験で最も狙われやすいのが、監査を行う人の立ち位置です。
- 独立性(どくりつせい): 監査対象のシステムを作ったり、運用したりしているグループとは、全く関係のない立場であること。
- 客観性(きゃっかんせい): 個人の感情や思い込みに左右されず、事実(証拠)に基づいて公平に判断すること。
自分の作ったシステムを自分で監査してはいけません。これを自己監査の禁止といいます。第三者の立場だからこそ、厳しい指摘や公正な評価ができるのです。
システム監査の流れ:4つのステップ
システム監査は、行き当たりばったりで行うのではなく、決められた手順で進められます。
1. 監査計画: いつ、何を、どこまで調べるかの計画を立てます。
2. 監査実施: 実際のデータやログ、マニュアルなどを確認し、担当者にインタビューをして証拠(監査証跡)を集めます。
3. 監査報告: チェックした結果を監査報告書にまとめ、経営層や関係者に報告します。
4. フォローアップ: 指摘した問題点が正しく改善されたかどうかを後日確認します。
監査証跡(かんさしょうせき)とは?
監査のときに確かにこうなっていますという証拠になる記録のことを、監査証跡(オーディットトレイル)と呼びます。
たとえば、誰がいつシステムにログインしたかというアクセスログや、設定の変更を記録した操作ログなどが代表的です。これらが時系列で正しく残っていることで、不正がないかを確かめることができます。
ITパスポート試験での出題ポイント
試験では、以下の点が特によく出題されます。
- 独立性の確保: 監査人はシステム開発や運用の担当者であってはならない。
- 監査報告先: 監査結果は、監査を依頼した経営層(代表者)などに報告する。
- フォローアップの役割: 指摘した問題が改善されているかを確認するまでが監査のプロセス。
過去問演習
実際の試験問題を通じて、知識を定着させましょう。
過去問1
システム監査人の独立性に関する記述として、最も適切なものはどれか。
(平成29年度 秋 問54 一部改変)ア:監査対象システムの開発に参加したメンバーが、そのシステムの運用開始後に監査を行う。
イ:監査対象部門の責任者が、自らその部門のシステムの監査を行う。
ウ:監査対象部門から独立した、客観的な立場にある第三者が監査を行う。
エ:監査対象システムの設計を行った外部コンサルタントが、そのシステムの監査を行う。
解答:ウ
解説:監査人は監査対象から独立した立場でなければなりません。ア、イ、エはいずれも開発や運用、設計に関わっているため、独立性が保たれているとは言えません。
過去問2
システム監査において、指摘した問題点の改善状況を確認する活動を何と呼ぶか。
(令和元年度 問52 一部改変)ア:システム監査計画の策定
イ:予備調査の実施
ウ:監査報告書の提出
エ:フォローアップの実施
解答:エ
解説:改善状況を確認するのはフォローアップです。これが監査の一連の流れの最後になります。
まとめ
システム監査は、システムの安心・安全を証明するための大切な儀式です。
- 独立性 = 第三者がチェックすること
- 監査証跡 = 証拠となるログなどの記録
- 流れ = 計画・実施・報告・フォローアップ
何が入っているか分からないという不安をなくし、本当はこうあるべきだという視点でチェックすることが、より良いIT社会の実現につながります。
