システム監査 【information systems audit】

監査の対象となるのは、情報システムの企画・開発・導入から運用・保守・廃棄までの各段階、および、情報システムに関連する組織体制や業務手順、情報資産の管理状況、コンプライアンス規定、事業継続計画（BCP）などである。

これらについて、主にリスクへの備えの観点から、システムの有用性や費用対効果、障害や災害への耐性や対策、外部からの攻撃などの脅威からの防護、個人情報や機密情報の保護などを総合的に調査する。

調査は現場への立ち入りやスタッフへの聞き取り、資料や記録の収集と精査などを伴い、報告や提言などはこれらの活動で得られた証拠を元に組み立てられる。結果は組織の長に報告され、問題点がある場合は改善策の勧告などを行うこともある。その後も実施状況を点検して改善を促すなどフォローアップを行なう。

日本では1985年に当時の通商産業省が「システム監査基準」を策定・公表し、数次に渡る改訂を経て現在も経済産業省が発行を継続している。国内の企業などへのシステム監査はこれを基準として実施されることが多い。

システム監査人 (information systems auditor)

企業などに対してシステム監査を実施する人のことをシステム監査人という。対象組織の長（経営者など）の依頼に基づいて独立した立場で監査を実施し、結果を報告する。

システム監査人のうち、当該組織に所属するが情報システム部門からは独立した身分・部門である場合を「内部監査人」、監査法人の監査人など組織に所属しない外部の専門家などのことを「外部監査人」という。

法律上の規制や免許などは特に存在せず、制度上は誰でも実施できるが、実際には情報システムの開発・運用と経営上の管理・統制の両方について深い見識と豊富な経験が求められる。

IPA（情報処理振興機構）が国家試験の情報処理技術者試験の一環として「システム監査技術者試験」を実施しているほか、ISACA（情報システムコントロール協会）東京支部が国際資格「CISA」（Certified Information Systems Auditor：公認情報システム監査人）を発行している。

関連用語

ERP

【Enterprise Resource Planning】

システムエンジニア

【SE】

アカウント

【account】

メールアドレス

【e-mail address】

情報処理技術者試験

【Information Technology Engineer examination】

情報システム

【information system】

プロジェクトマネジメント

【project management】

プロセス

【process】

バージョン

【version】

システム

【system】

ITガバナンス

【IT governance】

ツール

【tool】

データ

【data】

セキュリティ

【security】

保守

【maintenance】

信頼性

【reliability】

ステークホルダー

【stakeholder】

フィージビリティスタディ

【feasibility study】

リスク

【risk】

情報セキュリティ

【information security】