💻 ITパスポート｜マネジメント系

システム監査とは？

ITシステムが「信頼できるか・安全か・有効に使われているか」を第三者が独立して検証・評価すること。

🎬 こんなシーンを想像

IT担当のDさん。自社の基幹システムに問題がないか経営陣が心配している。そこで外部の専門家（システム監査人）を呼んで、システムの安全性・正確性・効率性を独立した立場で評価してもらうことにした。

→ これがシステム監査。「自分で自分を調べる」ではなく「第三者が検証する」のが核心。

🔍 システム監査が見る3つの観点

システムが正確に・安定して動いているか（誤作動・データ不整合がないか）

不正アクセス・情報漏洩・災害に対して守られているか

業務目標に対して効果的・効率的に活用されているか

🗺️ システム監査の進め方

① 監査計画の立案

監査目的・対象・スケジュールを決める。経営者またはトップの承認を得る。

▼

② 予備調査

関連文書・ドキュメントを事前に収集・確認。監査の焦点を絞る。

▼

③ 本調査（実地調査）

インタビュー・観察・ドキュメントレビューを通じてシステムの実態を調べる。

▼

④ 監査報告書の作成

問題点・改善提言をまとめた報告書を作成し、経営者に提出する。

▼

⑤ フォローアップ

改善が実施されたか確認する（システム監査人が改善作業自体は行わない）。

⚠️ ひっかけ注意ポイント

「システム監査人が問題を直す」は×

システム監査人の仕事は評価・報告・改善提言まで。実際の改善作業は被監査部門（担当者）が行う。監査人が直接修正することは独立性を損なう。

内部監査 vs システム監査の混同

内部監査は会社組織の中の監査部門が行う広い監査。システム監査は「ITシステムの信頼性・安全性・有効性」に特化した監査。対象が違う。

会計監査との混同

会計監査は財務諸表の正確性を見る監査。システム監査はITシステム全体を対象にする。財務系のシステムを監査することもあるが、目的が違う。

「独立性」が最重要キーワード

システム監査人は監査対象のシステム開発・運用に関与していないこと（独立性の保持）が大前提。関与した人が監査するのは利益相反で無効。

🧠 覚え方（無理やりゴロ）

「システム監査」＝ITの健康診断
医者（監査人）が患者（システム）を診て「ここが悪い」と伝える。
医者は薬を処方するが、手術（改善作業）はしない！

3観点：「しん（信頼性）・あん（安全性）・ゆう（有効性）」
信頼・安全・有効＝「しんあんゆう」