マモリノジダイとは
会員登録
システム監査とは?実施目的・監査基準・手順・IT監査との違いについて解説
自社が運用しているITシステムに関して、「本当に今のままでいいのか?」と疑問を感じる経営層の方もいらっしゃるのではないでしょうか。
そういった場合に役立つのが「システム監査」です。
導入しているITシステムに無駄がないか、改善すべき点はないのか、といったことが把握できるシステム監査は、システム面に少しでも不安があるようならば是非取り組むべきでしょう。
そこでこの記事では、そもそもシステム監査がどういうものかという基本的なことから、監査を行う際の基準、IT監査との違い、実施手順などについてわかりやすく解説していきます。
目次
システム監査とは何か?
経済産業省は、システム監査について以下のように説明しています。
| システム監査とは、監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスやマネジメント等について、一定の保証や改善のための助言を行うものであり、システムの信頼性等を確保し、企業等に対する信用を高める重要な取組である。 |
出典)経済産業省「システム監査基準」p.1
つまり、企業に導入されているITシステムに何か問題がないか、きちんと活用できているのか、といった点についてのチェックを行うのがシステム監査です。
問題がないと判明すれば一定の保証が得られますし、社内外からの信頼獲得にもつながるでしょう。
改善すべき部分があれば、監査内容に基づいてITシステムの専門家から具体的なアドバイスを受けられます。
システムの不備は、情報漏洩や従業員の不正など、様々な問題の温床となってしまうため、企業のリスクマネジメントにおいてシステム監査は重要な役割を果たします。
システム監査を実施する目的
企業が時間とコストをかけてシステム監査を実施するのには、明確な目的があります。
その目的は多岐にわたりますが、主には以下の点が挙げられます。
- 情報システムの信頼性・安全性・効率性の検証
- 法令や社内規程の遵守状況の確認
- システム投資の妥当性と効果の評価
- システム障害や情報漏洩などのリスク低減
これらの目的を達成することで、最終的には企業の競争力を高め、持続的な成長を支える強固なIT基盤を構築することに繋がるのです。
システム監査とIT監査との違い
システム監査とIT監査は混同されやすいのですが、両者はまったく別の監査であり、様々な違いがあります。
それぞれの違いをまとめたものが、以下の表です。
| システム監査 | IT監査 | |
| 実施義務 | 実施義務はない。 | 法律で実施が義務付けられている。 |
| 目的 | ITシステムの安全性・効率性・信頼性を評価し、問題があれば監査人が改善のための助言をする。このような活動を通してビジネスをサポートするのが目的。 | 会計システムなどによって正確な財務報告ができているかをチェックする。システムの誤作動による数字のミスがないか確認したり、不正の余地がないか調査したりすることで、財務的なリスクを低減させるのが目的。 |
| 時期・範囲 | 実施義務がないため、実施する時期や範囲は企業ごとに自由に決められる。 | 法定監査の一部であるため、実施時期や範囲は特定の規定・基準に沿って決められる。 |
| 監査人 | 監査人は、内部の人間か外部の人間かを問わず、自由に選定できる。 (例)自社のITスタッフや外部のITコンサルタントなど | 監査人は、自社と利害関係のない独立した第三者でなければならない。 (例)監査法人や外部の公認会計士など |
このように、システム監査とIT監査には大きな違いが存在します。
システム監査とプロセス監査との違い
プロセス監査も、システム監査と混同されやすい言葉です。
両社の違いを一言で表すと、「監査の対象(何を見るか)」にあります。
システム監査の対象は、稼働している「情報システム」という成果物(モノ)そのものと、それを取り巻く運用体制です。
システムが設計通りに機能しているか、セキュリティは確保されているかなどを評価します。
そしてプロセス監査の対象は、システムを開発したり運用したりする「プロセス(工程)」です。
たとえば、システム開発のプロセスが、社内で定められた開発標準や手順に沿って適切に進められているか、テストは計画通りに実施されているかなどを評価します。
「良いプロセスが良い成果物を生む」という考え方に基づけば、プロセス監査はシステム監査の品質を高めるための重要な要素と言えます。
システム監査と内部監査との違い
システム監査と内部監査も、違いは「対象」となります。
システム監査は、内部監査の一部であり、「情報システム」という高度な専門性が求められる領域に特化した監査です。
内部監査の対象範囲はもっと広く、「企業の業務活動全般」が含まれます。
会計の正当性、業務プロセスの効率性、法令遵守の状況、リスク管理体制など、経営に関わるあらゆる領域を対象とするのが内部監査です。
参考記事:内部監査とは?目的・役割や具体的な進め方【チェックリスト付】
システム監査における12の基準
システム監査を実施する際には、以下の12の基準を意識するようにしてください。
- システム監査に関する権限と責任
- 専門的能力の保持と向上
- システム監査に対するニーズの把握と品質の確保
- システム監査の独立性・客観性の保持
- システム監査の能力・正当な注意と秘密の保持
- 監査計画の策定
- 監査計画の種類
- 監査証拠の入手と評価
- 監査調書の作成と保管
- 監査の結論
- 監査報告書の作成と報告
- 改善提案や改善計画のフォローアップ
それぞれの基準について具体的に解説していきます。
システム監査に関する権限と責任
効率的で効果的なシステム監査を実施するためには、システム監査を実施する組織や人の権限や責任を明確にしておくことが重要です。
システム監査は、内部の人間が行うこともできます。しかし、より質の高い監査にするために、外部の専門機関へ依頼することもあるでしょう。
その際は、委託先の権限や責任を文書化しておく必要があります。文書化を忘れないよう注意してください。
専門的能力の保持と向上
システム監査の信頼性を高めるには、専門的な知識や能力を持った監査人が対応しなくてはなりません。
したがって、監査人には適切な教育や研修を受けさせ、実務経験を積ませる必要があります。
また、更なる監査能力の向上を図るため、教育・研修は一時的なものではなく、継続的に行われるべきです。
システム監査に対するニーズの把握と品質の確保
法令等で実施が義務付けられている「法定監査」とは違い、システム監査は「任意監査」です。
その分、監査人は、システム監査に際して「具体的にどのようなニーズによって依頼されているのか」を正確に把握しておかなければなりません。
ニーズを理解しないまま監査に踏み切ってしまうと、依頼側が意図していないような評価や助言をしてしまう可能性があります。
システム監査の独立性・客観性の保持
システム監査における監査人は、誰を選定しても問題ありません。
自社の人間に担当させることも、外部へ委託することも可能です。
しかし、監査は「精神的独立性」と「外観的独立性」が担保されていなければ、あまり意味のない監査になってしまうことがあります。
- 精神的独立性 : 忖度なく公正な判断ができるかどうか
- 外観的独立性 : 監査対象先から独立した立場にいるかどうか
特に、自社の人間を監査人にする場合は要注意です。
たとえば、「ITシステムに詳しいから」という理由だけで役職を持たない若い従業員を監査人に選んでしまうと、上司への遠慮から十分な監査ができないということもあります。
内部の人間を監査担当にする場合は、上記2つの独立性が担保されているのかについて確認するようにしてください。
なお、より正確な監査を実施するためには、自社と利害関係のない外部の監査人へ依頼するのも有効です。
システム監査の能力・正当な注意と秘密の保持
システム監査を行う監査人は、前述の通り専門的な能力を持っていることはもちろん、正当な注意を払いながら誠実に監査業務を進めなければなりません。
また、監査で知り得た情報を口外することも厳禁です。
人選は非常に重要ですので、能力だけでなく、人間性も考慮して監査人を選ぶようにしてください。
監査計画の策定
システム監査を実施する際は、まず適切な監査計画の策定から入るべきです。
監査計画を策定する時は、「リスク・アプローチ」を重視しましょう。
リスク・アプローチとは、「自社が導入しているITシステムのリスクの大きさ」に応じた時間や人員を充て、効果的な監査を実施するという方法です。
重大なリスクがある領域に関しては、必ず監査対象とし、「統制の不備」や「潜在的なリスクの発見」といったことを実現できる監査計画を立てなければなりません。
監査計画の種類
監査計画は、以下に分けて策定しましょう。
- 中長期計画(システム監査の中長期における方針)
- 年度計画(中長期計画に基づいた、システム監査の年間スケジュール)
- 個別監査計画(年度計画に基づいた、個々の対象ごとの具体的な監査スケジュール)
上記3つの計画は、原則として「リスク・アプローチ」によって策定する必要があります。
監査証拠の入手と評価
システム監査の実施によって結論を出す場合には、それを裏付ける証拠が必要です。
個別監査計画に基づきながら監査手続きを進め、結論に信憑性を持たせるための具体的な監査証拠を入手していきましょう。
客観的な証拠がなければ、どんな監査結果を提示しようとも説得力がありません。
証拠入手は欠かせない工程となるため、監査を進める際には強く意識してください。
監査調書の作成と保管
システム監査の結論に信頼性を付与するため、結論の根拠となる監査調書の作成・保管も必須です。
監査調書に含めるべき内容の例としては以下の通りです。
- 監査の目的
- 監査の実施者
- 監査の実施日
- 監査証拠(資料・データ・証言・監査証跡を含む記録など)
- 発見事実
また、システム監査を行った監査人の所見は、監査結果の結論についての合理的根拠となるため、必ず調書に記載してください。
監査の結論
監査報告をする前に、監査調書の内容について深堀りし、合理的な根拠に基づいて監査の結論を出す必要があります。
それは、ITシステムに対しての保証目的であっても、今後どうあるべきかという助言目的であっても変わりません。
監査の結論は、感情論や主観を排除し、調書に基づいて論理的に導き出すことが重要です。
監査報告書の作成と報告
監査結果については、「監査報告書」という形で適切に作成し、依頼者や関係者に報告をしなければなりません。
作成された監査報告書は、経営者や取締役会、その他の利害関係者のもとに届きます。
あらゆる人が閲覧する資料となるため、複雑な書式や難解な表現は避け、わかりやすい内容を心がけましょう。
なお、監査報告書には以下の内容を記載してください。
- 監査の目的
- 監査の範囲
- 監査の結果
- 改善のための提案
- 監査対象先による改善計画
改善提案や改善計画のフォローアップ
システム監査の結果、何も問題が見つからなければ、そこで監査は終了となります。
ただし、何かしらの問題が見つかった場合は、監査報告書に改善案が記載されます。改善計画や実施方法に関する情報収集をしなければなりません。
もちろん、ただ改善施策を行うだけでなく、その後もフォローアップも必須です。
改善を行った結果、どの程度まで状況が良くなったのかについてモニタリングを継続していく必要があります。
システム監査を行う手順
システム監査は、主に以下のような流れで実施されます。
- 監査の範囲とテーマを決める
- 予備調査を行う
- 本調査を行う
- 監査報告書を作成する
- 意見交換会や監査報告会を実施する
- フォローアップを行う
それぞれの工程について、詳しく解説していきます。
監査の範囲とテーマを決める
システム監査を行う際は、まず最初に「監査の範囲とテーマ」について決定します。
法定監査とは違い、任意監査であるシステム監査の場合は、どんなテーマでどの程度まで監査するのか、といった点について自由に設定できます。
- どのシステムを重点的に監査すべきか
- 各システムの費用対効果はどうか
- セキュリティ対策は十分か
- 外部に運用を委託しているシステムに問題はないか
上記のようなことを洗い出し、範囲とテーマを決めてください。
予備調査を行う(チェックリスト作成)
システム監査の範囲やテーマが決まったら、まずは予備調査(事前調査)を実施しましょう。
本調査の際に必要となるチェックリストや必要書類などの作成、監査スケジュールの調整を行ってくださ行ってください。
特にチェックリストの作成は重要です。
以下のような監査項目を用意し、万全なシステム監査に備えましょう。
| 基本情報の確認 | ■対象システムの名称 ■システム導入の目的 ■利用部門・ユーザー数 ■システムの導入時期・運用開始日 ■システムの開発・保守担当 |
| 業務プロセスとの関連性 | ■システムが活用されている業務内容 ■業務フローとの整合性 ■業務上の重要性 |
| IT統制の状況 | ■アクセス権限の管理方法 ■ログ管理の有無 ■バックアップ体制 |
| セキュリティ対策 | ■ウイルス対策・ファイアウォールの導入状況 ■外部からのアクセス制限(VPN、IP制限など) ■個人情報・機密情報の取り扱い |
| 運用・保守体制 | ■運用マニュアル・手順書の整備状況 ■障害対応のフロー ■保守契約の有無と内容 |
| リスク評価 | ■過去の障害・トラブル履歴 ■システム停止時の業務への影響 ■代替手段の有無 |
なお、予備調査は「本調査の2ヶ月ほど前」から実施するのが一般的です。
参考記事:内部監査における業務監査のチェックリスト
本調査を行う
諸々の準備が整ったら、予備調査の内容に基づいた本調査を開始します。
各システムの機能の確認や関係者へのヒアリング、現場の視察などを通じて、運用しているITシステムに問題がないかチェックを行ってください。
もし何か問題が見つかれば、監査証拠として保管し、監査調書にまとめておきましょう。
監査報告書を作成する
システム監査における本調査が完了したら、結論を報告するための監査報告書を作成します。
監査報告書には、監査結果に対する評価や問題点、具体的な改善案などが記載されます。
意見交換会や監査報告会を実施する
作成した監査報告書の内容について共有・議論をできるのが、意見交換会です。
意見交換会の実施は、「各部門の責任者との認識の齟齬を把握できる」、「監査人が提案した改善案をブラッシュアップできる」といったメリットがあります。
意見交換会を経て、監査報告書の内容を修正した後、監査報告会で経営陣に監査の結果や改善案を報告してください。
フォローアップを行う
システム監査が完了し、監査報告書を提出しても、まだ終わりではありません。
監査時に浮き彫りになった問題点が改善されているのか、フォローアップも必須です。
引き続き問題があるようならば、監査人は更なる改善案を提示する必要があります。
システム監査人に最適な人材
システム監査の品質は、監査人のスキルや経験に大きく依存します。
では、どのような人材がシステム監査人に適しているのでしょうか。
主に、以下の3つの要素が挙げられます。
大規模なシステム開発の経験がある
情報システムの企画、設計、開発、運用といった一連のライフサイクルを経験している人材は、システム監査人として非常に価値が高いです。
特に大規模で複雑なシステムの開発経験者は、システムの内部構造や開発プロセスにおける潜在的なリスクを深く理解しています。
そのため、こうした人材であれば、机上の知識だけでは見抜けない現場感覚に基づいた的確な問題点の指摘や、現実的な改善提案を行うことができるはずです。
経営や会計といった監査に関連した知識がある
優れたシステム監査人は、システムを「単なる技術」として見るのではなく、それが企業の経営活動にどう貢献し、どのようなリスクをもたらすかという視点を持っています。
そのため、経営戦略や事業計画、さらには会計の知識があると、より大局的で経営層に響く監査を行うことが可能です。
こういった点から、経営や会計に関する監査の経験者や、監査経験はなくとも十分な知識を持っているという人材であれば、安心してシステム監査を任せられるでしょう。
コミュニケーションスキルが高い
システム監査は、人と人との対話なくしては成り立ちません。
監査対象部門の担当者から協力を得て、円滑に情報を引き出すためのヒアリング能力は非常に重要です。
また、監査で発見した専門的な内容を、ITに詳しくない経営層にもわかりやすく説明し、納得してもらうためのプレゼンテーション能力も不可欠です。
システム監査人には、相手の立場を尊重し、建設的な対話ができる高いコミュニケーションスキルが求められます。
システム監査を実施するメリット
システム監査は、企業にとってコストや手間がかかる活動ですが、それを上回る多くのメリットをもたらします。
ここでは、代表的な3つのメリットを紹介します。
費用対効果の悪いシステムを仕分けしてコストカットできる
企業内には、以下のような不要なシステムが存在していることがあります。
- 導入から時間が経ち、現在ではほとんど使われていないシステム
- 機能が重複しているシステム
- 過剰なスペックで維持コストだけが高くついているシステム
システム監査を通じて、社内の情報システム全体を棚卸しし、費用対効果の観点から評価することで、上記のような「負のIT資産」を洗い出すことができます。
不要なシステムを廃棄したり、より安価なサービスに乗り換えたりすることで、ITコスト全体の最適化とコストカットを実現できるはずです。
システム障害のリスクを最小化できる
日々の業務に追われていると、システムのバックアップが正しくできていなかったり、セキュリティパッチの適用が漏れていたり、サーバーの負荷が増大していたりといった、障害の予兆を見過ごしがちです。
システム監査では、専門家の第三者的な視点から、システムの構成や運用状況を客観的にチェックします。
これにより、担当者だけでは気づきにくい潜在的なリスクや脆弱性を早期に発見し、対策を講じることが可能になります。
結果として、事業停止につながるような致命的なシステム障害の発生リスクを最小限に抑えることができるのです。
BCP対策に繋がる
BCP(事業継続計画)とは、地震や水害といった自然災害や、大規模なシステム障害、サイバー攻撃などの緊急事態が発生した際に、重要な事業を中断させない、または中断しても可能な限り短い時間で復旧させるための方針や手順をまとめた計画のことです。
システム監査では、データのバックアップ体制や、災害時のシステム復旧手順、代替システムの準備状況などを評価します。
これにより、自社のBCPにおけるIT面での弱点を特定し、その強化に繋げることが可能です。
まとめ
今回は、システム監査の実施目的や、12の監査基準、システム監査の手順などについて詳しく解説してきました。
システム監査は、実施義務がないとはいえ、業務効率化やリスクマネジメントにおいて大きなメリットがあります。
無駄なシステムを排除したり、運用中のシステムの改善を図ったりすることで、コストカットや事業の活性化を実現可能です。
ぜひとも積極的に取り入れていきましょう。
関連記事
-
【139社の中小企業が回答】残業の実態や残業削減の取り組みを徹底調査!中小企業も残業は減少傾向
ISOおよびプライバシーマーク認証支援の専門企業である株式会社スリーエーコンサルティング(本社:大阪府大阪市北区、代表取締役:竹嶋 寛人)では、企業における残業の実態や残業削減の取り組み状況を把握するべく、139社に対して残業に関する様々なアンケートを実施しました。
回答者は企業の総務・労務・法務担当者で、多くが「中小企業の従業員」となっています。
なお本記事では、調査結果についての概要のみを掲載しております。
調査結果に対する考察や、浮き彫りになった課題点、課題に対する解決策などは、以下のレポート資料に詳しく掲載していますので、ぜひダウンロードしてご覧ください。 -
ISO監査では何を見る? 目的・質問内容・頻度・指摘項目のまとめ
ISO監査とは、ISOと呼ばれる組織が制定した各規格を、組織が遵守できているか確認する監査のことです。ISO監査で登録可と判定されると、社会的信頼を獲得できるほか、業務改善や問題点の発見につながるなど多くのメリットがあります。そこで今回は、ISOの概要や監査でチェックされるポイント、質問されやすい内容や指摘事項まで、幅広く紹介します。
-
コンプライアンス研修とは?目的、効果、研修ネタの事例を徹底解説
コンプライアンス研修とは、企業が従業員のコンプライアンス意識を高めるために取り組む研修を指します。正しく研修を行うことで、企業の法令遵守違反のリスクを未然に防げることがメリットです。企業の経営層の方のなかには「コンプライアンス研修の内容は?」「研修資料のネタはどうやって作ったらいいの?」などの悩みを持っている方も多いことでしょう。そこで今回はコンプライアンス研修について、目的、期待される効果、扱うべきテーマ(ネタ)などを網羅的に解説します。
-
電子契約は中小企業を救う!やり方を覚えてコストカットや業務効率化を図ろう
「契約書の押印のためだけに出社している」
「毎月の収入印紙代や郵送費が経営を圧迫している」
このような悩みを抱えている中小企業の経営者や担当者の方も多いのではないでしょうか。
こういった課題は、「電子契約」を導入することで解消できる可能性があります。
そこでこの記事では、電子契約の基本的な仕組みから、中小企業が導入することで得られる具体的なメリット、そして失敗しないための導入手順やサービス選びのポイントまで、わかりやすく解説していきます。
-
ビジネスにおける「コンプライアンス」の意味とは?定義を理解してガバナンスを強化
コンプライアンスとは、単に法令を遵守するだけでなく、企業が社会規範や倫理に基づいた適正な経営を行うことを指します。近年、情報化の進展や国際的な規制強化により、重要性が高まっているワードです。この記事では、コンプライアンスの基本的な定義から、企業経営における必要性、中小企業ならではの課題と対策、実効性のある方針策定のポイントまでを網羅的に解説します。