マモリノジダイとは
お役立ち資料
システム監査とは?実施目的・監査基準・手順・IT監査との違いについて解説
自社が運用しているITシステムに関して、「本当に今のままでいいのか?」と疑問を感じる経営層の方もいらっしゃるのではないでしょうか。
そういった場合に役立つのが「システム監査」です。
導入しているITシステムに無駄がないか、改善すべき点はないのか、といったことが把握できるシステム監査は、システム面に少しでも不安があるようならば是非取り組むべきでしょう。
そこでこの記事では、そもそもシステム監査がどういうものかという基本的なことから、監査を行う際の基準、IT監査との違い、実施手順などについてわかりやすく解説していきます。
システム監査とは
この項目では、システム監査の役割や、システム監査が必要な目的、IT監査との違いについて紹介します。
システム監査とは何か?
経済産業省は、システム監査について以下のように説明しています。
| システム監査とは、監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスやマネジメント等について、一定の保証や改善のための助言を行うものであり、システムの信頼性等を確保し、企業等に対する信用を高める重要な取組である。 |
出典)経済産業省「システム監査基準」p.1
つまり、企業に導入されているITシステムに何か問題がないか、きちんと活用できているのか、といった点についてのチェックを行うのがシステム監査です。
問題がないと判明すれば一定の保証が得られますし、社内外からの信頼獲得にもつながるでしょう。
改善すべき部分があれば、監査内容に基づいてITシステムの専門家から具体的なアドバイスを受けられます。
システムの不備は、情報漏洩や従業員の不正など、様々な問題の温床となってしまうため、企業のリスクマネジメントにおいてシステム監査は重要な役割を果たします。
システム監査が必要な理由
システム監査は、法律によって義務付けられているわけではありません。
しかし、システム監査を受けることで多くのメリットを享受できるため、システム監査の実施は望ましいと言えます。
たとえば、企業がシステム監査を受けることで、以下のようなメリットが得られます。
費用対効果の悪いシステムを仕分けしてコストカットできる
ハッキングなどの攻撃を防ぐための高度なセキュリティについて、専門家から助言を受けられる
助言に基づいてシステムメンテナンスを行うことで、障害発生リスクを低減できる
システム監査の実施にはこのようなメリットがあるため、企業価値向上を目指して積極的に実施すべきです。
システム監査とIT監査との違い
システム監査とIT監査は混同されやすいのですが、両者はまったく別の監査であり、様々な違いがあります。
それぞれの違いをまとめたものが、以下の表です。
| システム監査 | IT監査 | |
| 実施義務 | 実施義務はない。 | 法律で実施が義務付けられている。 |
| 目的 | ITシステムの安全性・効率性・信頼性を評価し、問題があれば監査人が改善のための助言をする。このような活動を通してビジネスをサポートするのが目的。 | 会計システムなどによって正確な財務報告ができているかをチェックする。システムの誤作動による数字のミスがないか確認したり、不正の余地がないか調査したりすることで、財務的なリスクを低減させるのが目的。 |
| 時期・範囲 | 実施義務がないため、実施する時期や範囲は企業ごとに自由に決められる。 | 法定監査の一部であるため、実施時期や範囲は特定の規定・基準に沿って決められる。 |
| 監査人 | 監査人は、内部の人間か外部の人間かを問わず、自由に選定できる。 (例)自社のITスタッフや外部のITコンサルタントなど | 監査人は、自社と利害関係のない独立した第三者でなければならない。 (例)監査法人や外部の公認会計士など |
このように、システム監査とIT監査には大きな違いが存在します。
システム監査における12の基準
システム監査を実施する際には、以下の12の基準を意識するようにしてください。
- システム監査に関する権限と責任
- 専門的能力の保持と向上
- システム監査に対するニーズの把握と品質の確保
- システム監査の独立性・客観性の保持
- システム監査の能力・正当な注意と秘密の保持
- 監査計画の策定
- 監査計画の種類
- 監査証拠の入手と評価
- 監査調書の作成と保管
- 監査の結論
- 監査報告書の作成と報告
- 改善提案や改善計画のフォローアップ
それぞれの基準について具体的に解説していきます。
システム監査に関する権限と責任
効率的で効果的なシステム監査を実施するためには、システム監査を実施する組織や人の権限や責任を明確にしておくことが重要です。
システム監査は、内部の人間が行うこともできます。しかし、より質の高い監査にするために、外部の専門機関へ依頼することもあるでしょう。
その際は、委託先の権限や責任を文書化しておく必要があります。文書化を忘れないよう注意してください。
専門的能力の保持と向上
システム監査の信頼性を高めるには、専門的な知識や能力を持った監査人が対応しなくてはなりません。
したがって、監査人には適切な教育や研修を受けさせ、実務経験を積ませる必要があります。
また、更なる監査能力の向上を図るため、教育・研修は一時的なものではなく、継続的に行われるべきです。
システム監査に対するニーズの把握と品質の確保
法令等で実施が義務付けられている「法定監査」とは違い、システム監査は「任意監査」です。
その分、監査人は、システム監査に際して「具体的にどのようなニーズによって依頼されているのか」を正確に把握しておかなければなりません。
ニーズを理解しないまま監査に踏み切ってしまうと、依頼側が意図していないような評価や助言をしてしまう可能性があります。
システム監査の独立性・客観性の保持
システム監査における監査人は、誰を選定しても問題ありません。
自社の人間に担当させることも、外部へ委託することも可能です。
しかし、監査は「精神的独立性」と「外観的独立性」が担保されていなければ、あまり意味のない監査になってしまうことがあります。
- 精神的独立性 : 忖度なく公正な判断ができるかどうか
- 外観的独立性 : 監査対象先から独立した立場にいるかどうか
特に、自社の人間を監査人にする場合は要注意です。
たとえば、「ITシステムに詳しいから」という理由だけで役職を持たない若い従業員を監査人に選んでしまうと、上司への遠慮から十分な監査ができないということもあります。
内部の人間を監査担当にする場合は、上記2つの独立性が担保されているのかについて確認するようにしてください。
なお、より正確な監査を実施するためには、自社と利害関係のない外部の監査人へ依頼するのも有効です。
システム監査の能力・正当な注意と秘密の保持
システム監査を行う監査人は、前述の通り専門的な能力を持っていることはもちろん、正当な注意を払いながら誠実に監査業務を進めなければなりません。
また、監査で知り得た情報を口外することも厳禁です。
人選は非常に重要ですので、能力だけでなく、人間性も考慮して監査人を選ぶようにしてください。
監査計画の策定
システム監査を実施する際は、まず適切な監査計画の策定から入るべきです。
監査計画を策定する時は、「リスク・アプローチ」を重視しましょう。
リスク・アプローチとは、「自社が導入しているITシステムのリスクの大きさ」に応じた時間や人員を充て、効果的な監査を実施するという方法です。
重大なリスクがある領域に関しては、必ず監査対象とし、「統制の不備」や「潜在的なリスクの発見」といったことを実現できる監査計画を立てなければなりません。
監査計画の種類
監査計画は、以下に分けて策定しましょう。
- 中長期計画(システム監査の中長期における方針)
- 年度計画(中長期計画に基づいた、システム監査の年間スケジュール)
- 個別監査計画(年度計画に基づいた、個々の対象ごとの具体的な監査スケジュール)
上記3つの計画は、原則として「リスク・アプローチ」によって策定する必要があります。
監査証拠の入手と評価
システム監査の実施によって結論を出す場合には、それを裏付ける証拠が必要です。
個別監査計画に基づきながら監査手続きを進め、結論に信憑性を持たせるための具体的な監査証拠を入手していきましょう。
客観的な証拠がなければ、どんな監査結果を提示しようとも説得力がありません。
証拠入手は欠かせない工程となるため、監査を進める際には強く意識してください。
監査調書の作成と保管
システム監査の結論に信頼性を付与するため、結論の根拠となる監査調書の作成・保管も必須です。
監査調書に含めるべき内容の例としては以下の通りです。
- 監査の目的
- 監査の実施者
- 監査の実施日
- 監査証拠(資料・データ・証言・監査証跡を含む記録など)
- 発見事実
また、システム監査を行った監査人の所見は、監査結果の結論についての合理的根拠となるため、必ず調書に記載してください。
監査の結論
監査報告をする前に、監査調書の内容について深堀りし、合理的な根拠に基づいて監査の結論を出す必要があります。
それは、ITシステムに対しての保証目的であっても、今後どうあるべきかという助言目的であっても変わりません。
監査の結論は、感情論や主観を排除し、調書に基づいて論理的に導き出すことが重要です。
監査報告書の作成と報告
監査結果については、「監査報告書」という形で適切に作成し、依頼者や関係者に報告をしなければなりません。
作成された監査報告書は、経営者や取締役会、その他の利害関係者のもとに届きます。
あらゆる人が閲覧する資料となるため、複雑な書式や難解な表現は避け、わかりやすい内容を心がけましょう。
なお、監査報告書には以下の内容を記載してください。
- 監査の目的
- 監査の範囲
- 監査の結果
- 改善のための提案
- 監査対象先による改善計画
改善提案や改善計画のフォローアップ
システム監査の結果、何も問題が見つからなければ、そこで監査は終了となります。
ただし、何かしらの問題が見つかった場合は、監査報告書に改善案が記載されます。改善計画や実施方法に関する情報収集をしなければなりません。
もちろん、ただ改善施策を行うだけでなく、その後もフォローアップも必須です。
改善を行った結果、どの程度まで状況が良くなったのかについてモニタリングを継続していく必要があります。
システム監査を行う流れ
システム監査は、主に以下のような流れで実施されます。
- 監査の範囲とテーマを決める
- 予備調査を行う
- 本調査を行う
- 監査報告書を作成する
- 意見交換会や監査報告会を実施する
- フォローアップを行う
それぞれの工程について、詳しく解説していきます。
監査の範囲とテーマを決める
システム監査を行う際は、まず最初に「監査の範囲とテーマ」について決定します。
法定監査とは違い、任意監査であるシステム監査の場合は、どんなテーマでどの程度まで監査するのか、といった点について自由に設定できます。
- どのシステムを重点的に監査すべきか
- 各システムの費用対効果はどうか
- セキュリティ対策は十分か
- 外部に運用を委託しているシステムに問題はないか
上記のようなことを洗い出し、範囲とテーマを決めてください。
予備調査を行う
システム監査の範囲やテーマが決まったら、まずは予備調査(事前調査)を実施しましょう。
本調査の際に必要となるチェックリストや必要書類などの作成、監査スケジュールの調整を行ってくださ行ってください。
なお、予備調査は「本調査の2ヶ月ほど前」から実施するのが一般的です。
本調査を行う
諸々の準備が整ったら、予備調査の内容に基づいた本調査を開始します。
各システムの機能の確認や関係者へのヒアリング、現場の視察などを通じて、運用しているITシステムに問題がないかチェックを行ってください。
もし何か問題が見つかれば、監査証拠として保管し、監査調書にまとめておきましょう。
監査報告書を作成する
システム監査における本調査が完了したら、結論を報告するための監査報告書を作成します。
監査報告書には、監査結果に対する評価や問題点、具体的な改善案などが記載されます。
意見交換会や監査報告会を実施する
作成した監査報告書の内容について共有・議論をできるのが、意見交換会です。
意見交換会の実施は、「各部門の責任者との認識の齟齬を把握できる」、「監査人が提案した改善案をブラッシュアップできる」といったメリットがあります。
意見交換会を経て、監査報告書の内容を修正した後、監査報告会で経営陣に監査の結果や改善案を報告してください。
フォローアップを行う
システム監査が完了し、監査報告書を提出しても、まだ終わりではありません。
監査時に浮き彫りになった問題点が改善されているのか、フォローアップも必須です。
引き続き問題があるようならば、監査人は更なる改善案を提示する必要があります。
まとめ
今回は、システム監査の実施目的や、12の監査基準、システム監査の手順などについて詳しく解説してきました。
システム監査は、実施義務がないとはいえ、業務効率化やリスクマネジメントにおいて大きなメリットがあります。
無駄なシステムを排除したり、運用中のシステムの改善を図ったりすることで、コストカットや事業の活性化を実現可能です。
ぜひとも積極的に取り入れていきましょう。
