現代社会は情報システム無しでは成り立ちません。企業も、政府機関もあらゆる人々がデジタルに依存しています。そうした中で企業にとって欠かせないのが「システム監査」です。システム監査をすることで信頼性の担保や経営への貢献度などがわかります。本稿では、そんなシステム監査の概要や流れなどについて解説します。
システム監査とは?
そもそも「監査」とは何か?
監査(かんさ、audit または auditing)とは、ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること。(監査 – Wikipediaより抜粋)
つまり、監査対象が法令や規則と照らし合わせて、健全な経営活動を実施しているかどうかの正当性を確認することです。さらに、その結果を株主などのステークホルダー(利害関係者)に公表することを指します。
では、システム監査とは何か?
それは企業が業務で使用している情報処理システムを対象に、内部及び外部に対してその信頼性が維持されているか、あるいは経営活動に役立っているかを監査することを意味します。情報システムによって企業が多大な生産性を手にしますが、それと同時に従来にはなかったリスクも生じます。経済産業省が策定した「システム監査基準」では、システム監査の意義と目的について以下のように述べています。
システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。引用:経済産業省 システム監査基準
会計監査と違い、システム監査は上場企業であっても義務化はされていません。しかしながら、上場企業の経営資金は株主によって成り立っているものでもあるため、システム監査を実施し、ステークホルダーに情報処理システムの有効性と堅牢性を証明することが欠かせません。
システム監査の内容
システム監査の内容は実施企業によって異なります。ここでは一般的なシステム監査業務の流れについてご紹介します。
1.システム監査の範囲とテーマを決める
システム監査では目的に応じてその範囲を自由に設定し、テーマを決めます。主な例を以下にご紹介します。
- 個人情報の保護体制調査
- 経営に対する情報処理システムの有効性の調査
- 情報処理システムの可用性調査
- 情報セキュリティの管理体制の調査
- 外部委託契約による保守体制の調査
2.予備調査の実施
システム監査にはさまざまな書類が必要になり、調査項目も多岐にわたります。そのため予備調査として関連部署に特定の書類提出を指示したり、チェックリスト等を作成して本調査に備えます。予備調査は一般的に、本調査の1~2ヵ月前に実施されます。
3.本調査の実施
予備調査が完了すれば、システム監査範囲の責任者との面談や、関連する管理記録のチェック、システム機能確認などを実施し、それらの結果を監査証拠として管理します。
4.監査報告書の作成
システム監査が終了したら、結果を経営者や部門ごとの責任者に公表するために報告書を作成し、監査範囲やテーマ、総合評価や見つかった問題点などを記載します。
5.意見交換の実施
システム監査の対象範囲責任者と面談などを実施し、方向書の内容に誤認が無いかを確認し、責任者の意見も取り入れつつ最終的な報告書を完成させていきます。
6.監査報告会の実施
システム監査報告書が完成したら、その内容を経営者および役員に報告/説明をします。
7.フォローアップの実施
システム監査時に判明した問題点については、改善されているかどうかを監視し、場合によっては改善のためのアドバイスなどを実施します。
[SMART_CONTENT]
システム監査とIT監査との違い
システム監査と混同されがちなのが会計監査の一環として実施されるIT監査です。この2つの監査の違いは、下記の通りです。
監査目的の違い
システム監査は、システム開発の品質向上および情報セキュリティ対策の運用適正化など、自由に設定することができます。そのため、企業ごとに監査目的が違い、さまざまなシステム監査が実施されています。一方、IT監査は会計監査の一環なので会社法によって実施義務が制定されており、会計監査人などが財務報告の適正性について意見を述べるという目的で実施されます。IT監査の結果は会計監査人によって意見表明され、ステークホルダーに公表されます。
監査時期/範囲の違い
システム監査の実施は法律によって義務付けられていないため、監査手続きの次期や範囲、種類については企業ごとに自由に決めることができます。一方、会計監査の一環として実施されるIT監査は、監査手続きの次期や範囲、種類は監査基準等のルールに従わなければなりません。
監査人の選定
システム監査では、監査人を自由に設定することが可能ですが、IT監査では第三者である独立した監査人(公認会計士や監査法人)による監査でなければいけません。
[RELATED_POSTS]
監査法人によるシステム監査
会計監査等を実施する監査法人では、実施が任意であるシステム監査を行うサービスを提供しているところもあります。監査法人では、どういった評価サービスが実施されるのでしょうか?
- 管理ルールの適用状況評価
- 開発プロジェクトの運用状況評価
- システム障害の対策プロセスの妥当性評価
- IT戦略の策定プロセスの評価
- 情報セキュリティの管理体制の評価
- 外部委託先における委託業務の管理体制の評価
- アプリケーションコントロールの有効性評価
- データの完全性評価
このように、監査法人のシステム監査サービスを利用することで、あらゆる確度から情報処理システムの有効性と妥当性などを検証することができます。
システム監査を内製化する場合は、監査プロセスを大幅に削減するためにERP(Enterprise Resource Planning)が活躍します。ERPは複数の業務アプリケーションを統合したシステム製品なので、情報処理システムごとに対応していた監査作業を一元化でき、システム監査を効率良く行えます。システム監査を効率化するためにも、ERPの有効性についてぜひご検討ください。
