システム監査とは、
・企業の情報システムが適切に運用されているか
・法的リスクが適切に管理されているか など
独立した第三者が評価することです。
システム監査の目的は、
・企業活動が適正か
・法律やセキュリティの観点でリスクがないか などを
監視(確認)することです。
システムをつくったり、管理したりした当事者ではない
第三者の立場から調査や評価をおこないます。
仮に問題が発見されても、当事者を通報したり逮捕したりすることはなく、指摘にとどまります。
システム監査人は、独立した第三者である必要があります。
そのため、監査を受ける当事者と利害関係のない人物が監査をおこないます。 監査をおこなう人は、2パターンに分類されます。
・内部監査人:社内で独立した部署として存在する監査部門の担当者
・外部監査人:公認会計士や外部コンサルタントなどの社外の担当者
経済産業省が公表するシステム監査人の職業倫理として、外観上の独立性と精神上の独立性について学びましょう。
システム監査人は、職業倫理に従い、誠実に業務をおこなわなければなりません。
・外観上の独立性
システム監査人は、監査を客観的におこなうため、監査対象(企業のプロジェクトや開発組織)の組織から独立している必要がある。
そのため、監査対象の組織と利害関係があってはならない。
・精神上の独立性
システム監査人は、システム監査をおこなう際に、偏った判断をせず、常に公正かつ客観的に監査判断をおこなわなければならない。
(例)精神上の独立性の具体例
監査人の田中さんは、プロジェクトAの開発中盤から監査担当となった。
その後、監査を進める中で、田中さんは個人情報の取り扱いに関する重大な欠陥を発見した。
田中さんが指摘することで、開発は企画設計から振り出しに戻ることになるが、企業として誠実に事業を営むために、欠陥箇所を指摘し、プロジェクト全体の見直しをおこなうことになった。
システム監査人は、監査対象の企業が管理する「システム」に対して、リスクコントロールが適正におこなわれているかを第三者の立場から評価します。
例えば、「アカウント」にかかわる個人情報保護の観点が抜けていないか、企業にとって損害が出ない対応ができているか等、システム監査人が評価・指摘することで、企業は健全にサービスを運営できます。
レピュテーションリスクとは、企業へのマイナス評価や評判が広まることで生じる経営リスクのことです。監査人が正しく企業を評価することで、レピュテーションリスクを低減できます。
レピュテーション(reputation)は、評価・評判という意味です。「風評被害を発生させるリスク」を取り除く仕事も監査人の仕事であると覚えておきましょう◎
企業は、経営者のものではなく、資金を提供する株主のものです。
コーポレート・ガバナンス(corporate governance:企業統治)とは、株主の利益を最大化できるよう、経営者と事業を監視する仕組みのことです。
企業の ガバナンスが効いている 状態とは、企業内の統制がとれており、不祥事や情報漏えいのリスクが低い状態を指します。
ITガバナンスとは、コーポレート・ガバナンスから派生した言葉で、企業がITを活用するための規律をつくったり、監視したりする仕組みのことです。
システム監査人が役割を果たすことで、担保されます。
今日も最後までブログを見てくださり、ありがとうございました!
次のITすきま教室でお会いしましょう👋
ITすきま教室では講師や講演のご依頼もお受けしております。
YouTubeチャンネル運営のほか、ナレーターや司会業としても活動してきた経験から、分かりやすく満足度の高い講義をご提供します!
YouTube好評運用中!
解説が分かりやすいと沢山の方からご好評をいただいており、IT資格勉強コンテンツで日本トップの登録者数を集めています。すきま時間を使って勉強して資格合格や成績アップを目指しましょう!
YoutubeチャンネルはこちらX(旧Twitter)で関連用語を3時間に1度つぶやきます!
すきま時間の学習にお役立てください!
