システム監査の概要 その2
企業の統制
内部統制
内部牽制制度
会社業務を機能的に分割することで、不正・誤謬の防止や発見を促す仕組み。内部監査制度
内部監査規定に基づき、担当者が監査と報告を行う。
外部統制
第三者が客観的に評価・報告を行う。
コントロールの機能
- 予防牽制機能
- 誤謬摘示機能
- 修正回復機能
情報システム
コントロールの観点
信頼性
- 品質向上
- 障害防止
- 障害回復
安全性
効率性
- 経営目的との適合性
- 稼働状況の効率性
可監査性
監査証跡
事象の発生からその結果までを双方向で追跡できる仕組みのこと。
留意点
- 経済性、効率性の考慮 : 詳細であるほど経済性、効率性は低下する
- 見読可能性の提供
- 承認行為の追跡 : 最も重要なプロセス
- 保存期間、保存方法の妥当性
ディジタルフォレンジックス
デジタルフォレンジックとは、犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称。
“forensics”には「法医学」「科学捜査」「鑑識」といった意味があり、分かりやすく意訳すれば「デジタル鑑識」。
デジタルフォレンジック(コンピュータフォレンジック)とは - IT用語辞典 e-Words
情報システムの内部統制
業務処理統制
- 業務フローをベースにリスクチェックを行う
- 完全性(網羅性)、正確性、正当性(妥当性)をチェックする
- コントロールの確保手段
- エディットバリデーション
- トータルチェック
- オンライン連番チェック
- コンピュータファイルマッチング
- ターンアラウンド : 入力データを画面に再表示してチェックすること。
- アクセスコントロール
全般統制
- システム管理基準をベースにチェックする
- システムのライフサイクル全般、安全性、外部委託契約が対象
コントロールの評価
整備状況の評価
存在するコントロールの評価。
運用状況の評価
コントロールが実際に機能しているか。