システム監査は、情報システムの利活用や管理が適切かを、独立した立場から証拠にもとづいて評価する活動です。SG試験で迷いやすい情報セキュリティ監査との違いも整理します。

sg sg-management system_audit sg-security-management

まず結論

システム監査とは、情報システムの利活用や管理が適切に行われているかを、独立した立場から証拠にもとづいて評価し、保証または改善の助言を行う活動です。

SG試験では、システム監査を「システムの不具合を探す作業」とだけ考えると迷いやすくなります。

ポイントは、次の3つです。

  • 対象は、情報システムやその管理全体
  • 判断は、基準と証拠にもとづく
  • 目的は、保証または改善の助言

選択肢では、システム監査人が直接システムを開発したり、運用作業を担当したりするように書かれていたら注意です。システム監査人は、基本的に評価する立場です。

直感的な説明

システム監査は、会社の情報システムに対する「健康診断」のようなものです。

情報システムは、導入して終わりではありません。

  • 業務に役立っているか
  • 安全に運用されているか
  • 障害や不正への対策があるか
  • 権限管理やログ管理が適切か
  • 経営や業務の目的に合っているか

といった点を確認する必要があります。

たとえば、販売管理システムがあったとして、画面が動くかどうかだけを確認しても十分ではありません。

システム監査では、

  • 承認ルールが守られているか
  • データの修正履歴が残っているか
  • 権限が必要な人だけに付与されているか
  • 障害時の復旧手順が用意されているか

といった、情報システムを安全かつ有効に使うための管理を確認します。

つまり、システム監査は「システムそのもの」だけでなく、システムを使う組織の管理のしかたも見る活動です。

定義・仕組み

システム監査では、専門性と客観性を備えたシステム監査人が、一定の基準にもとづいて情報システムを点検・評価・検証します。

主な流れは、次のように考えると分かりやすいです。

  1. 監査の目的と対象を決める
    どのシステム、どの業務、どの管理プロセスを確認するかを決めます。

  2. 基準を決める
    法令、規程、契約、システム監査基準、社内ルールなど、何に照らして判断するかを明確にします。

  3. 監査証拠を集める
    設計書、運用記録、ログ、承認履歴、障害記録、ヒアリング結果などを確認します。

  4. 評価・検証する
    基準と実際の運用を比べ、適切に管理されているかを判断します。

  5. 報告・助言する
    監査結果をまとめ、必要に応じて改善につながる助言を行います。

経済産業省のシステム監査基準では、情報システムに関するガバナンス、マネジメント、コントロールの適切性などを確認する考え方が示されています。

SG試験では、細かい基準名を暗記するよりも、システム監査は、情報システムを組織として適切に管理できているかを確認する活動と押さえることが大切です。

どんな場面で使う?

システム監査は、情報システムの管理状況を客観的に確認したい場面で使います。

たとえば、次のような場面です。

  • 新しい業務システムを導入した後、管理が適切か確認する
  • アクセス権限の付与や削除がルールどおりか確認する
  • 障害対応やバックアップの運用が適切か確認する
  • 委託先に任せているシステム運用が契約どおりか確認する
  • システム変更時の承認やテストが実施されているか確認する

ここで注意したいのは、システム監査はシステム開発そのものを行う活動ではないという点です。

たとえば、監査でバックアップ手順に問題が見つかった場合、システム監査人は問題点を指摘し、改善を助言します。

しかし、バックアップ設定を実際に変更するのは、通常は運用担当者やシステム管理者の役割です。

SG試験では、選択肢に次のような表現がある場合は注意しましょう。

  • システム監査人がシステムの設計を担当する
  • システム監査人が運用手順を直接実行する
  • 証拠を確認せず、担当者の説明だけで適切と判断する

システム監査は、あくまで独立した立場から確認・評価・報告・助言する活動です。

よくある誤解・混同

システム監査と情報セキュリティ監査の違い

システム監査は、情報システムの利活用や管理全体を対象にします。

一方、情報セキュリティ監査は、情報資産を守るためのセキュリティ管理策や対策が適切かを確認します。

用語 主な対象 見るポイント
システム監査 情報システム全体 ガバナンス、マネジメント、コントロール
情報セキュリティ監査 情報資産・セキュリティ対策 機密性、完全性、可用性を守る管理策

SG試験では、情報システム全体の管理を見るならシステム監査、情報資産を守る管理策を見るなら情報セキュリティ監査と切り分けると判断しやすいです。

システム監査とシステムテストの違い

システムテストは、開発したシステムが要求どおりに動くかを確認するテストです。

一方、システム監査は、情報システムの管理や運用が適切かを評価する活動です。

つまり、システムテストは「作ったシステムが動くか」を確認し、システム監査は「システムが組織として適切に管理されているか」を確認します。

システム監査人は運用担当者ではない

システム監査人は、情報システムの運用を代わりに行う人ではありません。

監査人が運用作業まで担当してしまうと、自分で行った作業を自分で評価することになり、客観性が弱くなります。

SG試験では、監査人の役割を問う選択肢で、直接実施するという表現が出てきたら慎重に見ましょう。

システム監査人の基本は、

  • 確認する
  • 評価する
  • 報告する
  • 助言する

という立場です。

保証と助言の違い

システム監査には、保証型と助言型の考え方があります。

種類 目的 判断のポイント
保証型監査 適切に行われているかを確認し、結果を示す 利害関係者に安心材料を示す
助言型監査 問題点を指摘し、改善を提案する 改善につなげる

保証型は「適切かどうかを評価して示す」、助言型は「より良くするために提案する」と考えると整理しやすいです。

まとめ(試験直前用)

システム監査は、情報システムの有効性や管理状況を、証拠にもとづいて客観的に評価する活動です。

試験では、次の基準で選択肢を切り分けましょう。

  • 対象は情報システム全体か:開発・運用・管理・統制まで広く見る
  • 証拠にもとづいているか:ログ、記録、手順書、承認履歴などを確認する
  • 監査人の立場は独立しているか:直接運用する人ではなく、評価する人
  • 目的は保証か助言か:結果を示すのか、改善を提案するのかを分ける

システム監査は、単なる動作確認や不具合探しではありません。
情報システムを組織として適切に使い、管理できているかを確認する活動として押さえておきましょう。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る