システム監査とは?意義や内容を具体的に紹介
情報システム無しでは成り立たないほどの情報化社会となった現代、システム監査は必要不可欠と言えます。
本記事では、システム監査の内容や流れ、類似しているように思えるIT監査との違いなどについて解説していきます。
システム監査とは
システム監査とは、企業の業務で使用されている情報処理システムを対象に、内部・外部に対して信頼性が維持されているか、また経営に役立っているかなどを監査することです。
情報システムには、種々のリスクが常に付きまといます。経済産業省が定める「システム監査基準」では、リスクコントロールの目的を以下のように定めています。
- 組織体の経営方針および戦略目標の実現に貢献するため
- 組織体の目的を実現するよう安全、有効、効率的に機能するため
- 内部または外部に報告する情報の信頼性を保つように機能するため
- 関連法令、契約または内部規程等に準拠するようにするため
システム監査基準ではシステム監査の目的を、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証または評価することによって、保証あるいは助言を行いITガバナンスの実現に寄与すること」であると定義しています。
情報漏洩が企業の存続を左右するほど大きな問題になる現代において、システム監査は企業の情報システム管理状況を客観的に評価し助言する、極めて重要な役割を果たすものとなっています。
システム監査業務の流れ
ここで、システム監査の流れを簡単にご紹介します。
1.監査範囲とテーマを決める
システム監査では、監査目的に合わせて自由に範囲を決め、テーマを設定できます。テーマの例としては、以下のようなものがあります。
- 個人情報保護体制の監査
- 情報システムの有効性(目的適合性、投資対効果など)の監査
- 情報システムの可用性監査
- 情報セキュリティー管理体制の監査
- 外部委託による保守体制の監査
2.予備調査
本調査の前に、監査に必要な書類やチェックリストを作成しておきます。
3.本調査
監査範囲の責任者との面談や関連する管理記録のチェック、システム機能の確認などを行い、これらを監査証拠として保管します。
4.監査報告書の作成
監査が終了したら、結果を経営者や部門ごとの責任者に公表するために報告書を作成します。監査範囲やテーマ、総合評価や見つかった問題点などを記載します。
5.意見交換会
監査対象範囲の責任者と面談し、報告書の内容に誤認や意見がないかを聞き取ります。しかるべきところでは責任者の意見を取り入れ、報告書を修正します。
6.監査報告会
完成したシステム監査報告書の内容を経営者に説明します。
7.フォローアップ
最後にフォローアップです。監査時に判明した問題点が改善されているか確認し、場合によっては改善のためのアドバイスを行います。
システム監査では監査人を自由に選定でき、外部の監査人に依頼することもできます。大手監査法人では、システム監査の際に以下のような評価サービスを実施しています。
1.管理ルールの適用状況評価
会社が定めた規程・基準等を担当部門や外部委託先が遵守しているか、施行されているルールや規制がその会社の業務実態を考慮した際に適切なものとなっているか、などを評価します。
2.システム開発プロジェクトの運用状況評価
大規模なシステム開発に対し、品質・コスト・納期の3つを満たすプロジェクト管理になっているかを評価します。
3.システム障害の対応策策定プロセスの妥当性評価、改善状況評価
ハードウェア障害、ヒューマンエラー、ソフトウェア障害などのシステム障害の対応策は必要な関係者との意見調整に基づいて策定されているか、また対応策は確実に実施されているかなどを評価します。
4.IT戦略の策定プロセスの評価、戦略に対する実行状況の評価
業務プロセスとITシステムとの整合性を取るためにはIT戦略策定の成功が必須です。IT戦略および計画がその企業の戦略に基づいて定められ、実行のための行動計画策定・資源配分は適切か、また投資対効果の測定は適切に行われているかを評価します。
5.情報セキュリティー管理体制の評価
定期的に見直しが必要な情報セキュリティーポリシーに不足がないか、スタンダード等に準拠したセキュリティー管理手続きが整備されているか、システムに実装されたセキュリティー機能は有効に機能しているかを評価します。
6.外部委託先における、委託業務の管理体制の評価
外部委託先の中で委託業務を遂行するために必要な管理手続きが整備され、有効に運用されているかを評価します。
7.アプリケーションコントロールの有効性評価
アプリケーションシステム上に業務プロセス上必要な機能や項目が十分に実装されているか、パラメータは適切か、また有効に機能しているかを評価します。
8.データの完全性評価
システム上のデータの完全性、システム間のデータ整合性など、ツールを用いて検証・評価します。
システム監査とIT監査の違い
システム監査と似た意味に思われがちなのが、IT監査(ここでは会計監査の一環として行われるIT監査を指す)です。
ここでは、この2つの相違点について説明します。
1.監査の目的
システム監査では、「システム開発の品質向上」や「情報セキュリティー対策の適正運用確認」など、自由に目的を決めることができます。
IT監査は、会計監査人などが財務報告の適正性に関して意見を述べる、という目的を達成するために行われます。
2.監査の時期や範囲
システム監査では、監査手続きの時期や範囲、種類についても企業ごとに自由に決めることができます。
他方、IT監査は法定監査の一環として行われるものであるため、監査手続きの時期や範囲、種類は監査基準等のルールに従わなければなりません。
3.監査人の選定
システム監査では、監査人も自由に設定することが可能です。IT監査では、第三者である独立した監査人による監査でなければなりません。
まとめ
どんな業種でも情報システムは必須であり、現代の企業は情報管理にまつわるリスクと常に隣り合わせの状態であると言えます。
情報漏洩は企業にとって非常に大きな打撃となります。リスクを生む部分を定期的に丁寧に監査することで、未然に防ぎましょう。
