システム監査とは、企業の情報システムが適切に運用されているかを専門家が中立的な立場で点検し、評価するプロセスです。システムの安全性や信頼性、効率性を確認し、経営活動をサポートするために欠かせない施策です。

本記事では、システム監査の目的や流れ、さらにその必要性について詳しく解説します。経営戦略に役立てるためのシステム監査の重要性を理解し、トラブルを未然に防ぐ方法を学びましょう。

システム監査とは

システム監査とは、専門的かつ中立的なシステム監査人に、会社の情報システムが適切に運用されているのか、総合的に点検・評価・検証してもらうことです。

「情報システムのガバナンス、マネジメント、コントロール」(※)に問題がないことを保証してもらえるほか、問題があれば改善に向けたアドバイスを得られます。

要するに、社内での情報システムの扱い方が正しいかを専門家に詳しく診てもらい、問題があれば改善点と具体的な方法を指摘してもらうのが、システム監査です。

何も問題がなければ、安心感が得られることに加え、社内外に信頼性の高さを示せます。

※経済産業省:「システム監査基準」よりhttps://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

システム監査を行う4つの目的

システム監査の目的は、情報システムにまつわるリスクにきちんと対処できているかを点検・評価・検証することにより、以下の4つを実現することです。

・組織体の経営活動と業務活動の効果的かつ効率的な遂行
・組織体の経営活動と業務活動の変革を支援
・組織体の目標達成に寄与する
・利害関係者への説明責任を果たす

上記によると、システム監査は、情報システムが経営や業務の合理化、生産性の向上につながる状態を作るために実行されます。また財務報告の正確性や、法律や契約、内部規定の遵守(コンプライアンス)などに問題がないことを確かめ、社内外に周知することも、システム監査の大きな目的です。

システム監査における6つの観点と12の基準

システム監査では、以下6つの観点から総合的な点検・評価・検証がなされます。

・安全性
・信頼性
・準拠性
・戦略性
・有効性
・効率性

ポイントは、経営戦略や生産能力といった視点でも調査が行われること。つまりセキュリティやコンプライアンスなどの点から適当であっても、システムが経営や業務に役立っていなければ、問題視されるということです。 また「システム監査基準」では、システム監査業務の品質を維持し、監査を効果的かつ効率的なものにすべく、以下12種類の基準が定められています。

1. システム監査人の権限と責任等の明確化
2. 監査能力の保持と向上
3. システム監査に対するニーズの把握と品質の確保
4. システム監査人としての独立性と客観性の保持
5. 慎重な姿勢と倫理の保持
6. 監査計画策定の全般的留意事項
7. リスクの評価に基づく監査計画の策定
8. 監査証拠の入手と評価
9. 監査調書の作成と保管
10. 監査の結論の形成
11. 監査報告書の作成と提出
12. 改善提案のフォローアップ

システム監査の範囲と法的な義務について

システム監査の実施は、法律で義務付けられたものではなく、各組織が任意で行うものです。そのため、システム監査の範囲についても、監査を希望する企業等が好きに決められます。 システム監査の範囲およびテーマとしては、以下のような例が挙げられます。

<ライフサイクルの監査>
・システム開発段階の監査
・運用段階における効率性の監査 など

<テーマ別監査>
・個人情報保護体制の監査
・情報システムの有効性(目的適合性、投資対効果など)の監査
・情報システムの可用性監査
・情報セキュリティ管理体制の監査
・外部委託による保守体制の監査 など

以上のように、システム監査にはさまざまな種類があり、各企業等の課題に応じて、多様なあり方が想定されます。

▼参考
日本システム監査人協会「システム監査を知るための小冊子」

システム監査の必要性

システム監査は、自社ないし現場では気づけないリスクや改善点を発見できるというメリットがあります。結果として、事業の継続に多大なる影響を及ぼす情報システムの大規模な事故や災害を予防することが期待できます。 例えば、システムに重大な欠陥が潜んでいると、突然システムが停止して業務ができなくなったり、情報漏えいによって会社の信用が失墜したりといった事態も起こり得ます。

しかし、システム監査により、欠陥を見つけられれば、問題が顕在化する前に事態を収束させることが可能です。 またシステム監査では、経営や業務の戦略面にも、点検・評価・検証が入るので、経営の合理化や生産性の向上などにつながることも考えられます。以上のようにシステム監査を実施するメリットは大きいため、余裕があれば定期的に行うのが理想的です。

システム監査を行う8つの流れ

日本システム監査人協会によると、システム監査の流れは以下の通りです。監査業務は、システムおよび監査についての専門知識を有すシステム監査人によって行われます。

1. 事前調査
システム監査人が、利用者の希望や経営計画、情報システム部の課題などを調査し、監査の目的やテーマ、範囲、診断内容を決定する工程です。あわせて監査のスケジュール調整もなされます。

2. システム監査計画策定
決定した監査の目的等やスケジュールに基づき、システム監査人はシステム監査計画書を作成し、監査の対象となる部署等に説明を行います。

3. 事前データ収集・分析
文書や記録、質問票などのデータを収集・分析し、調査が必要な項目を絞り込む作業です。

4. 予備調査(課題抽出)
監査の対象部門にヒアリングを実施し、現状を大まかに把握します。事前データの分析結果も踏まえて、本調査で調査・確認する必要のある項目を最終的に選定します。

5. 本調査(監査調書記録)
システム監査計画で定めた項目や手続きに従って、監査対象の調査を実施する工程です。

6. 監査報告書作成
本調査の内容を点検・評価・検討し、システム監査報告書が作成されます。報告書に記載される項目は、評価と改善点、および改善案です。

7. 監査報告
監査報告を確定する前に、監査部門との間で意見交換会が設けられ、報告書に記載された事実に誤りがないかが検討されます。意見交換の内容を踏まえ、監査報告書が確定され、監査結果の報告会が開かれます。

8. 是正状況フォローアップ
監査報告書に記載した改善が適切に実行されているかを確認するとともに、必要に応じて改善策についてのアドバイスがなされる最後の工程です。

すぐにシステム監査を希望する方へ

すぐにシステム監査を希望する場合、まずはシステム監査のサービスを提供しているシステム開発会社や監査法人にお問い合わせください。システム監査は内部で実施することも可能ですが、外部の専門機関に依頼することも可能です。外部機関に依頼するメリットとして、専門性や中立性、公平性といった観点から、より有益かつ公正な結果が得られることが期待できます。

またシステム監査を実施するには、手順や方法などに関する一定のノウハウが必要です。そのため、手続きを円滑に進めるためにも、専門機関に外注するのが良いでしょう。

システム監査とIT監査の関係

システム監査とIT監査は、似て非なるものです。両者の大きな違いとして、法的な義務の有無が挙げられます。 IT監査とは、会社法に規定された「会計監査」の一環です。資本金5億円以上の企業をはじめ、所定の条件を満たす企業に、監査を受けることが義務付けられています。

IT監査の目的は、株主および債権者の権利を保護すべく、財務諸表の正確性や妥当性を検証することです。この検証を担当する監査人は、会社から独立した第三者機関であって、なおかつ公認会計士もしくは監査法人だと法律で決まっています。 そのほか、IT監査については、監査の時期や範囲、種類についても、法定のルールが存在します。

システム監査は自由度が高い

IT監査に比べて、法的な義務のないシステム監査は自由度が高いです。システム監査では、会計監査に限らず、経営戦略や業務の効率、コンプライアンスなど、さまざまな目的・テーマで監査ができます。 また監査の期間や範囲、種類などについても、各社で自由に設定で可能です。

システム監査人に関する決まりも特になく、立場や資格に限らず、好きな監査人を選べます。 IT監査が会社にとっての義務なら、システム監査は会社を良くするための手段です。会社は積極的にシステム監査を活用し、システム上の問題点を洗い出して、経営や業務を向上させるのが望ましいといえます。

IT資産管理の重要性と「漏洩チェッカー」の活用

システム監査において、IT資産管理は重要な項目の一つです。適切な管理が行われていない場合、情報漏洩や業務効率の低下といったリスクが高まります。システム監査を通じて、企業のIT資産が適正に運用されているかを確認し、問題があれば早期に対策を講じることが必要です。

そのため、IT資産管理を強化するための具体的なツールとして「漏洩チェッカー」の導入を強く推奨します。

「漏洩チェッカー」は、IT資産管理の基本機能に加え、情報漏洩対策にも特化したツールです。従業員のWeb操作やソフトウェア利用状況、ログオン・ログオフの記録を包括的に監視し、企業内のIT資産が適切に運用されているかを確認できます。

まずは、無料配布中のIT管理チェックリストを活用し、現状のIT資産管理状況を簡易的に確認することをおすすめします。これにより、必要な機能を把握した上で、適切な管理ツールを導入する判断が可能です。

特に、中小企業や限られた予算での運用を求める企業にとって、「漏洩チェッカー」は費用対効果が高い選択肢です。必要な機能のみを選択して導入できるため、初期費用を抑えつつ、効果的なIT資産管理を実現できます。

まとめ

システム監査は、情報システムの運用に関する問題点を発見し、トラブルを予防したり、業務の効率を高めたりするのに有効です。法定のIT監査とは違い、システム監査は目的や範囲などを会社が自由に設定できるため、経営を改善する手段として積極的に活用するのが良いでしょう。 なお、システム監査は、専門性や中立性などを担保するために外部の専門機関に依頼するのが一般的です。すぐにシステム監査を受けたい場合は、システム監査に詳しい開発会社や監査法人などにお問い合わせください。

関連記事:IPO準備 - 内部監査の審査基準を解説

低コストでセキュリティ対策を始めるなら

  • 「セキュリティ対策が求められているが、予算が限られている」
  • 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「漏洩チェッカー」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点も「漏洩チェッカー」の特徴です。

まずは無料で資料をダウンロードしてお確かめください。

漏洩チェッカー:https://stmn.co.jp/roei-checker/
運営会社:株式会社スタメン(東証グロース市場4019)

著者情報

漏洩チェッカー 編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

漏洩チェッカーは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。