|
システム監査の意義
システム監査とは、対象から独立かつ客観的立場の人が情報システムを総合的(信頼性・安全性・効率性の観点)に点検および評価し、組織の長に助言および勧告するとともにフォローアップする一連の活動を言います。
システム監査の目的は情報システムの信頼性、安全性、効率性を向上させることにあります。
監査技法
監査技法には従来から内部監査等に使われてきた監査証拠の入手手法があります。
チェックリスト法
チェックリストや質問書よって特定者の回答を得ます。
ドキュメントレビュー法
関連資料や文書を自分で調査します。
突合法(照合法)
関連する記録同士を突き合わせるか、結果の記録とさかのぼった原因事象の原始データとを突き合わせます。
現地調査法
対象作業状況を現地に赴いて自分で調査します。
インタビュー法
特定事象の立証のため、直接特定の人に問い合わせ回答を得ます。
しかし、現在ではコンピューター処理の正確性等をチェックするためにコンピューターを利用する方法があります。これは監査時点で利用するものと、あらかじめシステムに組み込まれた仕掛けを利用するものとがあります。
テストデータ法
対象システムにテストデータを入力して出力の正確性を検証します。
監査プログラム法
監査の必要に応じてシステムに含まれているファイルの検索・抽出・加工等を容易な操作で可能とする汎用監査ソフトウェアを利用します。
監査モジュール法
指定条件に合致するデータを抽出記録する監査モジュールを監査用に事前に組み込んで利用します。
ITF法
監査対象ファイル内に監査人の口座(ミニカンパニー)を作り、これにテストデータを用いて各種の操作をして処理の正確性を検証します。
並行シミュレーション法
特定の処理機能を有するテストプログラムを監査人側で用意し、そのプログラムと監査対象プログラムとの同一データに対する実行結果を比較します。
スナップショット法
監査対象プログラムにあらかじめスナップショットのモジュールを組み込んでおいて、特定の条件でメモリダンプをとります。
トレーシング法
監査対象プログラムの処理を追跡して、その正確性を検証します。
コード比較法
検査済みのプログラムを、監査対象プログラムとコーディングのレベルでコード比較し、プログラムの改ざんの有無を確認します。
監査証跡
情報システムの処理過程だけでなく、運用環境をも事後的に追跡できる仕組みのことです。可視性がなくとも、合理的な時間内に見読可能な様式で提供できれば監査証跡(オーディットトレイル)となります。情報システムの監査は、こうした監査証跡に基づいて行われることが多いです。
|