キーワード
» 2005年10月22日 00時00分 公開

情報システム用語事典:システム監査(しすてむかんさ)

information systems audit / system auditing / 情報システム監査

[@IT情報マネジメント編集部,@IT]

 企業・自治体などの組織体の情報システムを対象にした監査のこと。情報システムの開発・運用・利用の状況を、それにかかわる当事者からは独立した第三者が客観的な立場から点検・評価して、関係者(通常はトップマネジメント)に対して報告することをいう。

 企業において経営や業務プロセスがITへの依存度を高めるに従い、情報システムの信頼性・安全性・効率性の確保についても重要性が高まっている。他方、情報システムの開発・運営には極めて高い専門知識が必要で、当事者(情報システム部門など)以外の利害関係者(企業経営者やエンドユーザーなど)がその信頼性・安全性・効率性の妥当性や管理状況などを把握することは簡単ではない。

 そこで情報システムに関する十分な知識を持ち、当事者から独立した監査人が一定の基準(システム監査基準など)に基づいてエビデンスを収集・評価して、利害関係者に情報システムの実態やリスクなどをレポートするのがシステム監査である。

 システム監査の対象は、コンピュータ・システムそのもののほかに、情報システムのライフサイクル(企画・開発、運用・保守、利用)全体が含まれ、情報システム部門のマネジメント体制や内部統制、あるいはコンピュータを適用した業務の内容などの幅広い範囲が監査対象となり得る。またシステム監査を実施する監査主体は、企業内部の監査部門(内部監査)の場合と、外部のシステム監査企業(外部監査)の場合がある。実際にどの分野をどの程度実施するか、内部監査か外部監査かは、監査の目的やテーマによって異なってくる。

 システム監査それ自体は任意監査だが、会計監査や監査役監査(業務監査)、情報セキュリティ監査(情報セキュリティ対策の義務を負う場合など)の一環として実施される場合、法定監査/強制監査の性質を帯びることになる。

 初期のシステム監査は、主に会計システム内部における会計データの真正性確保が目的だったが、1980年代にはシステムの安定稼働が大きなテーマとなった。1990年代になるとコンプライアンスやセキュリティなどが課題となり、近年ではIT戦略やITガバナンスの検証、リスク管理、品質管理、情報資産保護、社会的責任(CSR)などの視点を導入することが提唱されている。

日本版SOX法&コンプライアンス 新着記事

▼従来の文書管理製品と同じと思わないでほしい〜オラクル

▼情報セキュリティの悩みを共有、 日本CISO協会が発足

▼「安いSaaSで、高収益につながる予算編成を」

日本版SOX法ポータル 新着記事

▼規律のないアジャイル開発は失敗する

▼転職初日に、“東京地裁からの出頭命令”

▼従来の文書管理製品と同じと思わないでほしい〜オラクル

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -