システム監査・IT統制・情報システム戦略 | 中小企業診断士1次試験経営情報システム

「システム監査って、普通の監査と何が違うの？」という疑問から学び始めました。財務監査が「お金の流れが正しいか」を確認するのと同様に、システム監査は「情報システムが正しく・安全に・効率的に動いているか」を第三者が確認する仕組みなんですよね。経営者が知っておくべき管理の枠組みだと気づきました。

この記事でわかること

システム監査の目的・手順・監査人の独立性
IT統制（全般統制・業務処理統制）の違い
ISMS・ISO/IEC 27001の概要
情報システム戦略・システム化計画の策定プロセス
SLA（サービスレベルアグリーメント）とITIL

システム監査とは——独立した第三者による検証

システム監査とは、情報システムのリスクに対するコントロール（管理策）が適切に整備・運用されているかを、独立した第三者（システム監査人）が客観的に点検・評価する活動です。

システム監査の目的（試験頻出）

① 信頼性：システムが正確にデータを処理・保管しているか
② 安全性：不正アクセス・災害からシステムを守れているか
③ 効率性：資源（ハード・ソフト・人材）が無駄なく活用されているか

監査人の独立性が最重要原則。被監査部門から独立していなければ客観性が保てない。

監査の種類	内容
予備調査	監査対象の概要把握。関連文書・規程の収集と分析
本調査	インタビュー・観察・書類調査・実地確認。コントロールの実態を検証
監査報告	発見事項・問題点・改善勧告を経営者・監査依頼者に報告
フォローアップ	勧告事項の改善状況を確認

IT統制——内部統制とシステムの関係

財務報告に係る内部統制（J-SOX）では、IT統制が重要な構成要素です。IT統制は2種類に分類されます。

IT統制の種類	内容	具体例
IT全般統制	個別業務に横断的に影響するITシステムの管理。すべての業務処理統制の基盤	アクセス管理・変更管理・障害管理・データバックアップ
IT業務処理統制	特定の業務プロセス内でのシステムによる自動チェック	入力値の範囲チェック・重複入力防止・承認ワークフロー

内部統制の6つの基本的要素（J-SOX）

①統制環境 ②リスクの評価と対応 ③統制活動 ④情報と伝達 ⑤モニタリング ⑥ITへの対応
「ITへの対応」がIT統制に相当。他の5要素すべてに関わる横断的要素として位置づけられる

ISMS・ISO/IEC 27001——情報セキュリティ管理の国際規格

ISMS（情報セキュリティマネジメントシステム）

情報の機密性・完全性・可用性を維持・改善するための管理体系。PDCAサイクルで継続的に改善する。

ISO/IEC 27001：ISMSの国際規格。認証取得により取引先・顧客へのセキュリティ対策の証明に使われる。

情報セキュリティの3要素（CIA）：
・機密性（Confidentiality）：権限のない者がアクセスできないこと
・完全性（Integrity）：データが改ざん・破壊されていないこと
・可用性（Availability）：必要なときにシステムやデータを使えること

情報システム戦略とシステム化計画

フェーズ	内容
情報システム戦略の策定	経営戦略とIT戦略を整合させる。全社的なIT投資の方向性・優先順位を決定
業務要件の定義	現状の業務分析（As-Is）と将来像（To-Be）の整理。改善すべき課題を明確化
システム化計画の策定	開発・導入スケジュール・予算・体制・リスクを計画。RFI・RFP（提案依頼書）の作成
システム選定・調達	ベンダー評価・契約。スクラッチ開発 vs パッケージ導入の選択

SLAとITIL

SLA（Service Level Agreement）：ITサービスの品質水準（稼働率・応答時間・障害対応時間）をサービス提供者とユーザーが合意した契約
ITIL（IT Infrastructure Library）：ITサービスマネジメントのベストプラクティス集。英国政府が整備。サービスデスク・インシデント管理・変更管理などのプロセスを定義
稼働率：MTBF ÷（MTBF + MTTR）。MTBF=平均故障間隔、MTTR=平均修復時間