監査は、基準に照らして業務や仕組みが適切かを証拠にもとづいて確認する活動です。SG試験で迷いやすいシステム監査・情報セキュリティ監査との関係も整理します。

sg sg-management system_audit sg-security-management

まず結論

監査とは、決められた基準に照らして、業務や仕組みが適切に行われているかを証拠にもとづいて確認する活動です。

SG試験では、監査を単なるチェック作業としてではなく、基準・証拠・客観的な評価という視点で判断できるかが問われます。

特に、次のような切り分けが重要です。

  • 監査は、担当者の感想で判断するものではない
  • 監査は、証拠にもとづいて評価する
  • 監査は、問題点の発見だけでなく、保証や改善の助言につながる

選択肢で「印象」「経験」「任意の判断」だけで評価すると書かれていたら注意です。監査では、あくまで基準に対してどうかを確認します。

直感的な説明

監査は、日常でいうと「健康診断」に近いイメージです。

健康診断では、なんとなく元気そうかどうかではなく、血圧・血液検査・問診などの結果を見て、体の状態を確認します。

監査も同じです。

会社の業務や情報システムについて、

  • 規程どおりに運用されているか
  • 記録が残っているか
  • 承認や点検が実施されているか
  • リスクに対する対策が機能しているか

といった点を、証拠を見ながら確認します。

つまり監査は、「ちゃんとやっています」と言うだけではなく、「ちゃんとやっていることを示せるか」を確認する活動です。

SG試験では、この「証拠で確認する」という感覚を持っていると、選択肢を切りやすくなります。

定義・仕組み

監査では、主に次の流れで確認します。

  1. 基準を決める
    法令、規格、社内規程、契約、管理基準など、何に照らして確認するかを決めます。

  2. 証拠を集める
    記録、ログ、申請書、承認履歴、手順書、ヒアリング結果などを確認します。

  3. 基準と実態を比べる
    決められたルールと、実際の運用にずれがないかを見ます。

  4. 結果を報告する
    適切に行われている点、問題がある点、改善が必要な点を整理します。

監査で大切なのは、監査人が勝手な感覚で判断しないことです。

たとえば、情報セキュリティに関する監査では、経済産業省の情報セキュリティ監査制度のように、監査基準や管理基準をもとに確認する考え方があります。

また、情報システムを対象にする場合は、経済産業省のシステム監査基準のように、情報システムの利活用、管理、統制などを確認する考え方が示されています。

SG試験では細かい条文を暗記するより、監査は「基準」と「証拠」にもとづく客観的な確認であると押さえることが大切です。

どんな場面で使う?

監査は、組織の活動が適切に行われているかを第三者的な視点で確認したい場面で使います。

たとえば、次のような場面です。

  • 情報セキュリティ対策が規程どおりに運用されているか確認する
  • アクセス権限の付与・削除が適切に行われているか確認する
  • 委託先管理が契約やルールに沿っているか確認する
  • システム運用の手順や記録が適切か確認する
  • ISMSなどのマネジメントシステムが有効に機能しているか確認する

ここでのポイントは、監査は「作業を代わりに実施すること」ではないという点です。

たとえば、アクセス権限の棚卸しを実施するのは運用担当者の仕事です。監査では、その棚卸しがルールどおりに行われ、記録が残り、問題があれば是正されているかを確認します。

SG試験では、選択肢で次のように書かれていたら注意です。

  • 監査人が実際の運用作業を担当する
  • 監査人が対策を直接実施する
  • 証拠を確認せず、担当者の説明だけで判断する

監査人は、基本的に確認・評価・報告・助言を行う立場です。運用そのものを担当する立場とは分けて考えます。

よくある誤解・混同

監査と点検の違い

点検は、決められた項目を確認する日常的なチェックです。

一方、監査は、基準に照らして証拠を集め、対象の有効性や適切性を評価する活動です。

点検は現場運用の一部として行われることが多く、監査はより客観的な立場から確認するイメージです。

情報セキュリティ監査との違い

情報セキュリティ監査は、監査のうち、情報資産を守るための管理策や対策が適切かを確認するものです。

対象は、情報資産、アクセス管理、セキュリティ対策、教育、委託先管理などです。

SG試験では、情報セキュリティ監査は「情報資産を守る仕組みの評価」と考えると整理しやすいです。

システム監査との違い

システム監査は、監査のうち、情報システムの利活用や管理が適切かを確認するものです。

対象は、情報システム、ITガバナンス、システム運用、内部統制、リスク管理などです。

情報セキュリティ監査よりも、情報システム全体の管理や活用に広く目を向けるイメージです。

保証型監査と助言型監査の違い

監査には、目的によって次のような考え方があります。

種類 目的 見方
保証型監査 適切に行われているかを確認し、結果を示す 「問題なく行われているか」
助言型監査 問題点を指摘し、改善に役立つ助言を行う 「どう改善すればよいか」

SG試験では、保証は評価結果を示す、助言は改善提案につながると切り分けると判断しやすいです。

まとめ(試験直前用)

監査は、基準に照らして、証拠にもとづき、客観的に確認する活動です。

試験では、次の基準で選択肢を切り分けましょう。

  • 基準があるか:法令・規程・管理基準などに照らしているか
  • 証拠があるか:記録・ログ・手順書などで確認しているか
  • 立場が分かれているか:運用担当ではなく、確認・評価する立場か
  • 目的が合っているか:保証なのか、改善の助言なのか

監査は「なんとなく確認すること」ではありません。
基準・証拠・客観性の3点を思い出すと、SG試験のひっかけに対応しやすくなります。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る