情報システムの運用(第14回)
システム監査(マネジメント系・サービスマネジメント)
配布資料
- 第14回(問1~問20)
- 解答なし,解答あり,解説(要ID・パスワード)
訂正
(なし)
中分類12 「システム監査」
【位置付け】
表: ITパスポート出題範囲(マネジメント系)
| 共通キャリアスキルフレームワーク |
出題範囲(出題の考え方) |
| 分野 |
大分類 |
中分類 |
マ
ネ
ジ
メ
ン
ト
系 |
4 | 開発技術 |
8 | システム開発技術 |
- 要件定義,システム設計,プログラミング,テスト,ソフトウェア保守などシステム開発のプロセスの基本的な流れを問う。
- システム開発における見積りの考え方を問う。
|
| 9 | ソフトウェア開発管理技術 |
- 代表的な開発モデルや開発手法に関する意義や目的について問う。
|
| 5 | プロジェクトマネジメント |
10 | プロジェクトマネジメント |
- プロジェクトマネジメントの意義,目的,考え方,プロセス,手法を問う。
|
| 6 | サービスマネジメント |
11 | サービスマネジメント |
- ITサービスマネジメントの意義,目的,考え方を問う。
- サービスデスク(ヘルプデスク)など関連項目に関する理解を問う。
- コンピュータやネットワークなどのシステム環境整備に関する考え方を問う。
|
| 12 | システム監査 |
- システム監査の意義,目的,考え方,対象を問う。
- 計画,調査,報告など,システム監査の流れを問う。
- 内部統制,IT ガバナンスの意義,目的,考え方を問う。
|
【小分類】
【目標】
- システム監査の意義,目的,考え方,対象を理解する。
- システム監査のプロセスの基本的な流れを理解する。
【説明】
- 企業などにおける監査業務について,目的と主な種類を理解する。また,情報システムを対象に実施するシステム監査について,意義,目的及び基本的な流れを理解する。
【項目】
- (1) 監査業務
- 監査業務について,目的と種類を理解する。
- 用語例:会計監査,業務監査,情報セキュリティ監査,システム監査
- (2) システム監査
- システム監査の目的とシステム監査のプロセスの基本的な流れを理解する。
-
- ①システム監査の目的
- システム監査の目的は,被監査部門から独立した立場で,情報システムを幅広い観点から調査し,システムが経営に貢献しているかを判断することであることを理解する。
- ②システム監査のプロセスの流れ
- システム監査のプロセスには,情報システムの総合的な点検,評価,経営者への結果説明,改善点の勧告及び改善状況の確認と,そのフォローアップなどの活動があることを理解する。
- 用語例:システム監査人,システム監査基準,システム監査計画,予備調査,本調査,監査証拠,システム監査報告書
【目標】
- 企業などにおける内部統制,ITガバナンスの目的,考え方を理解する。
【説明】
- 企業などの健全な運営を実現するために,内部統制やITガバナンスがあることを知り,その目的と考え方を理解する。
【項目】
- (1) 内部統制
- 内部統制とは,企業など自らが業務を適正に遂行していくために,体制を構築して運用する仕組みであることを理解する。その実現には,業務プロセスの明確化,職務分掌,実施ルールの設定及びそのチェック体制の確立が必要であることを理解する。
- 用語例:モニタリング,リスクコントロールマトリクス(RCM)
- (2) ITガバナンス
- ITガバナンスとは,情報システム戦略を策定し,実行を統制することであり,企業などが競争力を高めるために必要であることを理解する。
小分類31 「システム監査」
1. 監査業務
監査とは
監査とは,企業の業務を第三者の立場で検証・評価すること。
普段業務に携わっている人間では,慣れてしまって気がつかない部分などを指摘する。
監査の種類
監査業務には以下のようなものがある。
- 会計監査
- 業務監査
- 情報セキュリティ監査
- システム監査
- • 監査役
- 取締役から独立した立場で監査を行う者。
- 商法により,すべての株式会社は,監査役監査の実施が義務付けられている。
監査役の選任は,株主総会で行われる。
- 日本版SOX法により,すべての上場企業は,公認会計士による内部統制監査の実施が義務付けられている。
2. システム監査
システム監査とは
システム監査では,情報システムの点検・評価,改善勧告や対処の助言,改善情報の確認とその後のフォローアップを行う。
システム監査を行う者
システム部門への監査は,監査対象と関係のない人間が行うことが重要。
監査対象にかかわりのない人の目で確認することによって,適正な監査が遂行できる。
システム監査の手順
システム監査の手順は基本的には以下の3つの手順からなる。
- (1) 計画:計画を策定して,「システム監査計画書」を作成
- ①事前調査
②監査計画策定
- (2) 調査:監査を実施して,「システム監査報告書」を作成
- ③予備調査
④本調査
⑤監査報告書作成
- (3) 報告:経営者に報告
- ⑥意見交換会
⑦監査報告会
必要に応じて以下の手順を追加することもある。
- (4) 事後:事後対応
- ⑧フォローアップ
小分類32 「内部統制」
1. 内部統制
内部統制とは
内部統制とは,企業自らが業務の適正な遂行(企業目的の達成)のために,体制を構築して運用する仕組みのこと。
企業を管理する役割を持つ経営者の主導で整備・運用が進められ,組織内のすべての者によって遂行されるマネジメントプロセス(管理活動)。
以下の4つの目標を持ち,6つの基本要素からなる。
内部統制の4つの目的
- ①業務の有効性・効率性
- 事業活動の目標の達成のため,業務の有効性及び効率性を高める。
- ②財務報告の信頼性
- 財務諸表,および,財務諸表に重要な影響を及ぼす可能性が有る情報について,その信頼性を担保する。
- ③法令遵守
- 事業活動に関わる法令,会計基準,規範,および,各社の倫理綱領やガイドラインを順守させる。
- ④資産の保全
- 会社の有形資産と無形資産の取得やその使用,処分が,正当な手続きや承認のもとで適切に行われるようにする。
内部統制の6つの基本的要素
- ①統制環境
- 組織の環境(気風)を整えることで,統制に対する組織内のすべての者の意識に影響を与えるとともに,すべての基本的要素の基盤となる。
- ②リスクの評価と対応
- リスクの識別,分析及び評価するプロセス,および,リスクの評価を受けて,当該リスクへの適切な対応を選択するプロセス。
- なお,リスクとは,組織目標の達成に影響を与える事象のうち,組織目標の達成を阻害する要因。
- ③統制活動
- 経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続き。
- 例:ある作業に関して,最終的責任者がだれであるかを明確にする。
- ④情報と伝達
- 必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられることを確保すること。
- 例:連絡・報告・相談をスムーズに行なうためそれを阻害するパワ・ハラやセクハラ等の禁止を明文化する。
- ⑤モニタリング
- 内部統制が有効に機能していることを継続的に評価するプロセス。
- 内部監査や外部監査において,監査側が統制活動を監査するためのサンプルの採取がスムーズに行なえるかどうかが特に重要。
- ⑥ITへの対応
- 組織目標を達成するために予め適切な方針及び手続き(情報管理規定など)を定め,それを踏まえて,業務の実施において組織の内外のITに対し,適切に対応すること。
- 例:上記4つの目的,6つの基本的要素を踏まえて情報システムを構築すること,財務関連データ情報の更新に関して更新履歴を正確に記録すること。
その実現には,(1) 業務プロセスの明確化,(2) 職務分掌,(3) 実施ルールの設定及びそのチェック体制の確立が必要。
職務分掌(しょくむぶんしょう)
仕事の役割分担や仕事の権限を明確にすること。
組織内の役割や権限の所在を明確にすることで,組織運営が円滑になり,かつ,マネジメント体制の構築も適切に行える。
内部統制の構築においての職務分掌は,業務の担当者と承認者を分離するなど,それぞれの担当者間で適切に相互牽制を働かせることにより,業務の適正さを保つ組織体制を築くためのプロセスという意味合いをもつ。
内部統制の評価法
以下の2種類がある。
- ①日常的モニタリング
- 業務実施部門によって,自らの業務を評価。
- ②独立的モニタリング
- 監査部門や監査人などの業務実施部門から独立した立場の者が,業務を評価。
2. ITガバナンス
ITガバナンスとは
ITガバナンス(IT Governance)とは,ITを適切に活用する組織能力。
企業が競争優位性を構築するために,
IT戦略の策定・実行をガイドし,あるべき方向へ導く組織能力であり,
ITへの投資・効果・リスクを継続的に最適化する為の組織的な仕組みのこと。
すぎうら しげき <>