Contents
  1. テーマ:避難訓練をしていない学校は安全か? ~「もしも」に備える監査の視点~
  2. 【練習問題】パート2 セクションA-3-d

テーマ:避難訓練をしていない学校は安全か? ~「もしも」に備える監査の視点~

セクションA-3-dは、監査計画を立てる際、「災害やシステム障害が起きたとき、この部門やプロセスはすぐに復旧できるのか?」という視点を持つことを求めています。

リスク管理には2つの側面があります。

  1. 予防(Prevention): 事故が起きないようにする。
  2. 回復(Resilience): 起きてしまった後に、素早く立ち直る。

このセクションは後者、つまり「打たれ強さ(レジリエンス)」に焦点を当てます。

1. 導入:BCPとDRPの違い

試験で頻出する基礎用語を整理しましょう。

  • BCP(事業継続計画 – Business Continuity Plan): ビジネス全体(人、建物、業務プロセス)をどう継続させるかの計画。
    • 例:本社が火事になったら、サテライトオフィスで業務を再開する。
  • DRP(災害復旧計画 – Disaster Recovery Plan): 主にITシステムやデータをどう復旧させるかの計画。BCPの一部として機能します。
    • 例:サーバーがダウンしたら、バックアップデータから24時間以内に復元する。

イメージ:
転んで怪我をしたとき、「どうやって止血し、病院に行き、学校に戻るか」を考えるのがBCP。「折れた骨をどう繋ぐか」という技術的な治療がDRPです。

2. 計画策定時に認識すべき4つの重要概念

監査人は計画段階で、以下の要素が整備されているかを確認します。

① ビジネス・インパクト分析(BIA:Business Impact Analysis)

これが全ての基礎です。「どの業務が止まると一番ヤバいか?」を格付けします。

  • RTO(目標復旧時間): いつまでに復旧しないと倒産するか?
  • RPO(目標復旧時点): どの時点のデータまで戻せれば許容できるか?(1時間前か、1日前か)
  • 監査ポイント: 「BIAを行わずに、適当に復旧優先順位を決めていないか?」
② インシデント管理(Incident Management)

「火が出た瞬間の初動」です。

  • 誰に連絡するか? 誰が対策本部を立ち上げるか?
  • 監査ポイント: 緊急連絡網やエスカレーション・フローが古くなっていないか?(辞めた人が責任者になっていないか?)
③ バックアップとリカバリ(Backup & Recovery)

データの命綱です。

  • 監査ポイント: 「バックアップを取っているか」だけでなく、「そのバックアップから本当にデータを戻せるか(リカバリ)」が重要です。多くの企業がバックアップは取っていますが、戻す練習をしておらず、いざという時に失敗します。
④ テスト(Testing / Exercise)

「机上の空論」になっていないかの確認です。

  • 机上ウォークスルー、シミュレーション、実地訓練など。
  • 監査ポイント: 「最後にテストをしたのはいつか?」「テストの結果、見つかった課題は修正されたか?」

3. 事業の回復力(Business Resilience)への進化

2025年GIASでは、単なる「復旧(Recovery)」を超えて「回復力(Resilience)」という言葉が強調されています。 これは、「元の状態に戻る」だけでなく、「危機を学習の機会とし、より強くなって適応する能力」を含みます。

監査計画を立てる際は、 「この組織は、過去の障害(インシデント)から学んでいるか?」 「サプライチェーンが寸断されたとき、代替ルートを確保できる柔軟性があるか?」 といった戦略的な視点も必要です。

まとめ

セクションA-3-dのポイントは、「計画書があるだけで安心するな」です。

  • BIA(分析)に基づいているか?
  • テスト(訓練)されているか?
  • バックアップは戻せるか?

監査人は、防災頭巾を被って避難訓練に参加するわけではありませんが、「その避難計画で本当に命(ビジネス)が助かるのか」を冷静に評価する役割を担っています。

【練習問題】パート2 セクションA-3-d

Q1. 内部監査人が事業継続計画(BCP)の監査を計画している。BCPの有効性を評価する際、その計画が組織の真のニーズに基づいているかを確認するために、まずレビューすべき最も基本的な文書(プロセス)はどれか。

A. 災害復旧計画(DRP)の詳細なIT手順書

B. ビジネス・インパクト分析(BIA)の結果

C. 外部の保険契約書の内容

D. 全従業員の緊急連絡先リスト

【解答・解説】

正解と解説を表示

正解(B): ビジネス・インパクト分析(BIA)は、BCP/DRPの基礎となるプロセスです。BIAによって「どの業務が重要で、どのくらいの時間で復旧させる必要があるか(RTO/RPO)」が特定されて初めて、適切な計画が策定できます。BIAなきBCPは、単なる当て推量に過ぎません。

不正解(A): DRPはBIAの結果に基づいて作成されるべきものであり、BIAが先です。

不正解(C): 保険はリスク転嫁の手段ですが、事業継続の優先順位を決定する根拠にはなりません。

不正解(D): 連絡網はBCPの一部ですが、計画全体の基礎となる分析プロセスではありません。

Q2. ある組織のバックアップ管理プロセスを監査中に、内部監査人は「日次バックアップはスケジュール通り正常に実行されているが、過去2年間、バックアップデータからのリストア(復元)テストが行われていない」ことを発見した。この状況に関する監査人の評価として、最も適切なものはどれか。

A. バックアップログが「成功」となっている以上、データは安全であり、テストの欠如は軽微な問題である。

B. リストアテストはシステムに負荷をかけるため、実際の災害が発生するまで行うべきではない。

C. バックアップが取れていても、復元できる保証がないため、これは事業の回復力に関わる重大なリスク(コントロールの不備)である。

D. テストを行うのは内部監査人の責任であるため、監査人が自らサーバーを操作してリストアを試みるべきである。

【解答・解説】

正解と解説を表示

正解(C): 「バックアップは取れているが、戻せなかった」というのはDRPにおける最も典型的な失敗例です。定期的なリカバリテスト(復元訓練)が行われていない場合、いざという時にデータが破損していたり、手順が分からなかったりする可能性が高く、事業継続に対する重大なリスクとなります。

不正解(A): ログ上の成功は、データの中身が正常であることを保証しません。

不正解(B): 災害時に初めて試すのは手遅れです。テスト環境などを用いて定期的に確認する必要があります。

不正解(D): 運用操作を行うのはIT部門(経営者側)の責任です。監査人はその実施状況を評価する立場であり、自ら操作してはいけません。

Q3. 個々の監査業務の計画において「インシデント管理」の有効性を評価する際、内部監査人が着目すべき点として、最も適切でないものはどれか。

A. インシデント発生時の報告ルート(エスカレーション・フロー)が明確に定義され、最新の状態に保たれているか。

B. 過去のインシデント対応の記録が分析され、「教訓(Lessons Learned)」として再発防止や計画の改善に活かされているか。

C. 重大なインシデントが発生した際、広報部門や法務部門と連携して対外的なコミュニケーションを行う手順が含まれているか。

D. インシデントが発生しないように、すべてのシステムをインターネットから遮断し、紙ベースの業務に戻すよう指示しているか。

【解答・解説】

正解と解説を表示

正解(D): インシデント管理は、発生した事象への「対応」に関するものです。すべてのシステムを遮断してアナログに戻すという極端な予防策は、現代のビジネス環境において「事業の回復力」や「実用性」の観点から非現実的であり、適切なインシデント管理の評価視点ではありません。

不正解(A): 迅速な報告と意思決定はインシデント対応の要です。

不正解(B): 失敗から学ぶプロセスは、GIASが重視する「レジリエンス(回復力)」の強化に不可欠です。

不正解(C): 危機管理広報(Reputation Riskへの対応)もインシデント管理の重要な要素です。