// シス担のミカタ
ガバナンス・管理

システム評価・監査 しすてむひょうか・かんさ

システム監査IT監査セキュリティ監査コンプライアンス内部監査システム評価
システム評価・監査について教えて

簡単に言うとこんな感じ!

システム評価・監査は「ITシステムがちゃんと機能しているか、安全か、ルール通りに使われているかを客観的にチェックする仕組み」だよ。飲食店の保健所検査みたいなもので、「自分たちは大丈夫と思ってても外部の目で確認する」という姿勢が大事。特に発注者企業では、ベンダーが作ったシステムが本当に要件を満たしているか・セキュリティは安全かを検証する手段として重要なんだ!

システム評価・監査とは

システム評価・監査(IT Audit / System Audit) とは、組織のITシステムが適切に機能しているか・安全か・法令やポリシーに準拠しているかを、独立した立場から体系的に検証・評価する活動です。

監査には「内部監査」と「外部監査」の2種類があります。内部監査は社内の監査部門や情報システム部門が自社のITシステムを評価するもので、定期的・継続的に行います。外部監査は専門の監査法人・コンサルティング会社などが第三者の立場で実施し、より客観的な評価が可能です。

日本では経済産業省が定める「システム監査基準」(2023年改訂) があり、情報システムの信頼性・安全性・効率性・倫理性の確保を目的とした監査の基準が示されています。上場企業では内部統制の観点から、ITシステムに対する監査が求められる場面が増えています(J-SOX対応)。

発注者がシステムを調達・運用する際には、ベンダーへの過度な依存による「ブラックボックス化」を防ぐためにも、定期的なシステム評価・監査の実施を保守・運用契約に盛り込んでおくことが重要です。

監査の主な種類

監査の種類目的実施タイミング
セキュリティ監査不正アクセス・情報漏洩リスクの評価年1〜2回・事案発生後
コンプライアンス監査法令・社内規程の遵守状況確認年1回・法改正後
性能・可用性監査SLAの達成状況・キャパシティの評価四半期・年次
開発プロセス監査開発標準・品質管理手順の遵守確認プロジェクト途中・完了時
ITガバナンス監査IT投資の効果・意思決定プロセスの評価年次
内部統制監査(J-SOX)財務報告の信頼性に関わるITコントロールの評価年次(上場企業)

システム評価の主な評価軸

評価軸評価内容
信頼性システムが正確に動作し、誤りがないか
安全性不正アクセス・情報漏洩からデータを保護できているか
効率性必要なリソース(コスト・時間)で目的を達成しているか
可用性必要な時に使えるか(稼働率・障害復旧時間)
保守性変更・修正が容易に行えるか

歴史と背景

  • 1969年:EDP監査人協会(現ISACA)が米国で設立。コンピュータを使った会計処理の監査専門家の組織として発足
  • 1978年:ISACAがCISA(公認情報システム監査人)資格を創設。IT監査の専門資格として世界標準に
  • 1992年:COSO(トレッドウェイ委員会組織委員会)が内部統制フレームワークを発表。ITを含む内部統制の概念が整備される
  • 2002年:米国でSOX法(サーベンス・オクスリー法)成立。財務報告に関わるITシステムへの監査が義務化
  • 2008年:日本でJ-SOX(金融商品取引法に基づく内部統制報告制度)が施行。国内上場企業でのIT内部統制監査が必須に
  • 2014年:経済産業省がシステム監査基準・システム管理基準を改訂。クラウド・スマートデバイス対応が追加される
  • 2023年:経済産業省がシステム監査基準を最新版に改訂。DX・AI・ゼロトラストセキュリティ対応が強化される

システム監査の流れ

システム監査の実施フロー ①計画 監査目的・範囲 スケジュール チェックリスト の作成 ②証拠収集 ヒアリング ドキュメント確認 ログ分析 テスト実施 ③評価・分析 問題点の特定 リスクの評価 改善要否の判断 ④報告書作成 発見事項 リスクレベル 改善推奨事項 ⑤フォロー 改善実施の 確認・追跡

関連する規格・RFC

規格・標準内容
経済産業省「システム監査基準」(2023年)日本のシステム監査の基準。信頼性・安全性・効率性・倫理性を評価指針として規定
ISACA COBITIT統制のフレームワーク。監査評価の基準として広く参照される
CISA(公認情報システム監査人)ISACAが認定するIT監査の国際資格
ISO/IEC 27001情報セキュリティマネジメントの国際標準。セキュリティ監査の基準として参照
J-SOX(金融商品取引法)上場企業に求められるIT内部統制の評価・報告制度

関連用語