ログ管理ツール「漏洩チェッカー」の詳細はこちら

システム監査とは

システム監査とは、専門的かつ中立的なシステム監査人に、会社の情報システムが適切に運用されているのか、総合的に点検・評価・検証してもらうことです。

「情報システムのガバナンス、マネジメント、コントロール」(※)に問題がないことを保証してもらえるほか、問題があれば改善に向けたアドバイスを得られます。

要するに、社内での情報システムの扱い方が正しいかを専門家に詳しく診てもらい、問題があれば改善点と具体的な方法を指摘してもらうのが、システム監査です。

何も問題がなければ、安心感が得られることに加え、社内外に信頼性の高さを示せます。

※経済産業省:「システム監査基準」よりhttps://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

システム監査を行う4つの目的

システム監査の目的は、情報システムにまつわるリスクにきちんと対処できているかを点検・評価・検証することにより、以下の4つを実現することです。

・組織体の経営活動と業務活動の効果的かつ効率的な遂行
・組織体の経営活動と業務活動の変革を支援
・組織体の目標達成に寄与する
・利害関係者への説明責任を果たす

上記によると、システム監査は、情報システムが経営や業務の合理化、生産性の向上につながる状態を作るために実行されます。また財務報告の正確性や、法律や契約、内部規定の遵守(コンプライアンス)などに問題がないことを確かめ、社内外に周知することも、システム監査の大きな目的です。

システム監査における6つの観点と12の基準

システム監査では、以下6つの観点から総合的な点検・評価・検証がなされます。

・安全性
・信頼性
・準拠性
・戦略性
・有効性
・効率性

ポイントは、経営戦略や生産能力といった視点でも調査が行われること。つまりセキュリティやコンプライアンスなどの点から適当であっても、システムが経営や業務に役立っていなければ、問題視されるということです。 また「システム監査基準」では、システム監査業務の品質を維持し、監査を効果的かつ効率的なものにすべく、以下12種類の基準が定められています。

1. システム監査人の権限と責任等の明確化
2. 監査能力の保持と向上
3. システム監査に対するニーズの把握と品質の確保
4. システム監査人としての独立性と客観性の保持
5. 慎重な姿勢と倫理の保持
6. 監査計画策定の全般的留意事項
7. リスクの評価に基づく監査計画の策定
8. 監査証拠の入手と評価
9. 監査調書の作成と保管
10. 監査の結論の形成
11. 監査報告書の作成と提出
12. 改善提案のフォローアップ

システム監査の範囲と法的な義務について

システム監査の実施は、法律で義務付けられたものではなく、各組織が任意で行うものです。そのため、システム監査の範囲についても、監査を希望する企業等が好きに決められます。 システム監査の範囲およびテーマとしては、以下のような例が挙げられます。

<ライフサイクルの監査>
・システム開発段階の監査
・運用段階における効率性の監査 など

<テーマ別監査>
・個人情報保護体制の監査
・情報システムの有効性(目的適合性、投資対効果など)の監査
・情報システムの可用性監査
・情報セキュリティ管理体制の監査
・外部委託による保守体制の監査 など

以上のように、システム監査にはさまざまな種類があり、各企業等の課題に応じて、多様なあり方が想定されます。

▼参考
日本システム監査人協会「システム監査を知るための小冊子」

システム監査の必要性

システム監査は、自社ないし現場では気づけないリスクや改善点を発見できるというメリットがあります。結果として、事業の継続に多大なる影響を及ぼす情報システムの大規模な事故や災害を予防することが期待できます。 例えば、システムに重大な欠陥が潜んでいると、突然システムが停止して業務ができなくなったり、情報漏えいによって会社の信用が失墜したりといった事態も起こり得ます。

しかし、システム監査により、欠陥を見つけられれば、問題が顕在化する前に事態を収束させることが可能です。 またシステム監査では、経営や業務の戦略面にも、点検・評価・検証が入るので、経営の合理化や生産性の向上などにつながることも考えられます。以上のようにシステム監査を実施するメリットは大きいため、余裕があれば定期的に行うのが理想的です。

システム監査を行う8つの流れ

日本システム監査人協会によると、システム監査の流れは以下の通りです。監査業務は、システムおよび監査についての専門知識を有すシステム監査人によって行われます。

1. 事前調査
システム監査人が、利用者の希望や経営計画、情報システム部の課題などを調査し、監査の目的やテーマ、範囲、診断内容を決定する工程です。あわせて監査のスケジュール調整もなされます。

2. システム監査計画策定
決定した監査の目的等やスケジュールに基づき、システム監査人はシステム監査計画書を作成し、監査の対象となる部署等に説明を行います。

3. 事前データ収集・分析
文書や記録、質問票などのデータを収集・分析し、調査が必要な項目を絞り込む作業です。

4. 予備調査(課題抽出)
監査の対象部門にヒアリングを実施し、現状を大まかに把握します。事前データの分析結果も踏まえて、本調査で調査・確認する必要のある項目を最終的に選定します。

5. 本調査(監査調書記録)
システム監査計画で定めた項目や手続きに従って、監査対象の調査を実施する工程です。

6. 監査報告書作成
本調査の内容を点検・評価・検討し、システム監査報告書が作成されます。報告書に記載される項目は、評価と改善点、および改善案です。

7. 監査報告
監査報告を確定する前に、監査部門との間で意見交換会が設けられ、報告書に記載された事実に誤りがないかが検討されます。意見交換の内容を踏まえ、監査報告書が確定され、監査結果の報告会が開かれます。

8. 是正状況フォローアップ
監査報告書に記載した改善が適切に実行されているかを確認するとともに、必要に応じて改善策についてのアドバイスがなされる最後の工程です。

すぐにシステム監査を希望する方へ

すぐにシステム監査を希望する場合、まずはシステム監査のサービスを提供しているシステム開発会社や監査法人にお問い合わせください。システム監査は内部で実施することも可能ですが、外部の専門機関に依頼することも可能です。外部機関に依頼するメリットとして、専門性や中立性、公平性といった観点から、より有益かつ公正な結果が得られることが期待できます。

またシステム監査を実施するには、手順や方法などに関する一定のノウハウが必要です。そのため、手続きを円滑に進めるためにも、専門機関に外注するのが良いでしょう。

システム監査とIT監査の関係

システム監査とIT監査は、似て非なるものです。両者の大きな違いとして、法的な義務の有無が挙げられます。 IT監査とは、会社法に規定された「会計監査」の一環です。資本金5億円以上の企業をはじめ、所定の条件を満たす企業に、監査を受けることが義務付けられています。

IT監査の目的は、株主および債権者の権利を保護すべく、財務諸表の正確性や妥当性を検証することです。この検証を担当する監査人は、会社から独立した第三者機関であって、なおかつ公認会計士もしくは監査法人だと法律で決まっています。 そのほか、IT監査については、監査の時期や範囲、種類についても、法定のルールが存在します。

システム監査は自由度が高い

IT監査に比べて、法的な義務のないシステム監査は自由度が高いです。システム監査では、会計監査に限らず、経営戦略や業務の効率、コンプライアンスなど、さまざまな目的・テーマで監査ができます。 また監査の期間や範囲、種類などについても、各社で自由に設定で可能です。

システム監査人に関する決まりも特になく、立場や資格に限らず、好きな監査人を選べます。 IT監査が会社にとっての義務なら、システム監査は会社を良くするための手段です。会社は積極的にシステム監査を活用し、システム上の問題点を洗い出して、経営や業務を向上させるのが望ましいといえます。

まとめ

システム監査は、情報システムの運用に関する問題点を発見し、トラブルを予防したり、業務の効率を高めたりするのに有効です。法定のIT監査とは違い、システム監査は目的や範囲などを会社が自由に設定できるため、経営を改善する手段として積極的に活用するのが良いでしょう。 なお、システム監査は、専門性や中立性などを担保するために外部の専門機関に依頼するのが一般的です。すぐにシステム監査を受けたい場合は、システム監査に詳しい開発会社や監査法人などにお問い合わせください。

関連記事:IPO準備 - 内部監査の審査基準を解説