マモリノジダイとは
会員登録
システム監査とは?実施目的・監査基準・手順・IT監査との違いについて解説
自社が運用しているITシステムに関して、「本当に今のままでいいのか?」と疑問を感じる経営層の方もいらっしゃるのではないでしょうか。
そういった場合に役立つのが「システム監査」です。
導入しているITシステムに無駄がないか、改善すべき点はないのか、といったことが把握できるシステム監査は、システム面に少しでも不安があるようならば是非取り組むべきでしょう。
そこでこの記事では、そもそもシステム監査がどういうものかという基本的なことから、監査を行う際の基準、IT監査との違い、実施手順などについてわかりやすく解説していきます。
目次
システム監査とは何か?
経済産業省は、システム監査について以下のように説明しています。
| システム監査とは、監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、ガバナンスやマネジメント等について、一定の保証や改善のための助言を行うものであり、システムの信頼性等を確保し、企業等に対する信用を高める重要な取組である。 |
出典)経済産業省「システム監査基準」p.1
つまり、企業に導入されているITシステムに何か問題がないか、きちんと活用できているのか、といった点についてのチェックを行うのがシステム監査です。
問題がないと判明すれば一定の保証が得られますし、社内外からの信頼獲得にもつながるでしょう。
改善すべき部分があれば、監査内容に基づいてITシステムの専門家から具体的なアドバイスを受けられます。
システムの不備は、情報漏洩や従業員の不正など、様々な問題の温床となってしまうため、企業のリスクマネジメントにおいてシステム監査は重要な役割を果たします。
システム監査を実施する目的
企業が時間とコストをかけてシステム監査を実施するのには、明確な目的があります。
その目的は多岐にわたりますが、主には以下の点が挙げられます。
- 情報システムの信頼性・安全性・効率性の検証
- 法令や社内規程の遵守状況の確認
- システム投資の妥当性と効果の評価
- システム障害や情報漏洩などのリスク低減
これらの目的を達成することで、最終的には企業の競争力を高め、持続的な成長を支える強固なIT基盤を構築することに繋がるのです。
システム監査とIT監査との違い
システム監査とIT監査は混同されやすいのですが、両者はまったく別の監査であり、様々な違いがあります。
それぞれの違いをまとめたものが、以下の表です。
| システム監査 | IT監査 | |
| 実施義務 | 実施義務はない。 | 法律で実施が義務付けられている。 |
| 目的 | ITシステムの安全性・効率性・信頼性を評価し、問題があれば監査人が改善のための助言をする。このような活動を通してビジネスをサポートするのが目的。 | 会計システムなどによって正確な財務報告ができているかをチェックする。システムの誤作動による数字のミスがないか確認したり、不正の余地がないか調査したりすることで、財務的なリスクを低減させるのが目的。 |
| 時期・範囲 | 実施義務がないため、実施する時期や範囲は企業ごとに自由に決められる。 | 法定監査の一部であるため、実施時期や範囲は特定の規定・基準に沿って決められる。 |
| 監査人 | 監査人は、内部の人間か外部の人間かを問わず、自由に選定できる。 (例)自社のITスタッフや外部のITコンサルタントなど | 監査人は、自社と利害関係のない独立した第三者でなければならない。 (例)監査法人や外部の公認会計士など |
このように、システム監査とIT監査には大きな違いが存在します。
システム監査とプロセス監査との違い
プロセス監査も、システム監査と混同されやすい言葉です。
両社の違いを一言で表すと、「監査の対象(何を見るか)」にあります。
システム監査の対象は、稼働している「情報システム」という成果物(モノ)そのものと、それを取り巻く運用体制です。
システムが設計通りに機能しているか、セキュリティは確保されているかなどを評価します。
そしてプロセス監査の対象は、システムを開発したり運用したりする「プロセス(工程)」です。
たとえば、システム開発のプロセスが、社内で定められた開発標準や手順に沿って適切に進められているか、テストは計画通りに実施されているかなどを評価します。
「良いプロセスが良い成果物を生む」という考え方に基づけば、プロセス監査はシステム監査の品質を高めるための重要な要素と言えます。
システム監査と内部監査との違い
システム監査と内部監査も、違いは「対象」となります。
システム監査は、内部監査の一部であり、「情報システム」という高度な専門性が求められる領域に特化した監査です。
内部監査の対象範囲はもっと広く、「企業の業務活動全般」が含まれます。
会計の正当性、業務プロセスの効率性、法令遵守の状況、リスク管理体制など、経営に関わるあらゆる領域を対象とするのが内部監査です。
参考記事:内部監査とは?目的・役割や具体的な進め方【チェックリスト付】
システム監査における12の基準
システム監査を実施する際には、以下の12の基準を意識するようにしてください。
- システム監査に関する権限と責任
- 専門的能力の保持と向上
- システム監査に対するニーズの把握と品質の確保
- システム監査の独立性・客観性の保持
- システム監査の能力・正当な注意と秘密の保持
- 監査計画の策定
- 監査計画の種類
- 監査証拠の入手と評価
- 監査調書の作成と保管
- 監査の結論
- 監査報告書の作成と報告
- 改善提案や改善計画のフォローアップ
それぞれの基準について具体的に解説していきます。
システム監査に関する権限と責任
効率的で効果的なシステム監査を実施するためには、システム監査を実施する組織や人の権限や責任を明確にしておくことが重要です。
システム監査は、内部の人間が行うこともできます。しかし、より質の高い監査にするために、外部の専門機関へ依頼することもあるでしょう。
その際は、委託先の権限や責任を文書化しておく必要があります。文書化を忘れないよう注意してください。
専門的能力の保持と向上
システム監査の信頼性を高めるには、専門的な知識や能力を持った監査人が対応しなくてはなりません。
したがって、監査人には適切な教育や研修を受けさせ、実務経験を積ませる必要があります。
また、更なる監査能力の向上を図るため、教育・研修は一時的なものではなく、継続的に行われるべきです。
システム監査に対するニーズの把握と品質の確保
法令等で実施が義務付けられている「法定監査」とは違い、システム監査は「任意監査」です。
その分、監査人は、システム監査に際して「具体的にどのようなニーズによって依頼されているのか」を正確に把握しておかなければなりません。
ニーズを理解しないまま監査に踏み切ってしまうと、依頼側が意図していないような評価や助言をしてしまう可能性があります。
システム監査の独立性・客観性の保持
システム監査における監査人は、誰を選定しても問題ありません。
自社の人間に担当させることも、外部へ委託することも可能です。
しかし、監査は「精神的独立性」と「外観的独立性」が担保されていなければ、あまり意味のない監査になってしまうことがあります。
- 精神的独立性 : 忖度なく公正な判断ができるかどうか
- 外観的独立性 : 監査対象先から独立した立場にいるかどうか
特に、自社の人間を監査人にする場合は要注意です。
たとえば、「ITシステムに詳しいから」という理由だけで役職を持たない若い従業員を監査人に選んでしまうと、上司への遠慮から十分な監査ができないということもあります。
内部の人間を監査担当にする場合は、上記2つの独立性が担保されているのかについて確認するようにしてください。
なお、より正確な監査を実施するためには、自社と利害関係のない外部の監査人へ依頼するのも有効です。
システム監査の能力・正当な注意と秘密の保持
システム監査を行う監査人は、前述の通り専門的な能力を持っていることはもちろん、正当な注意を払いながら誠実に監査業務を進めなければなりません。
また、監査で知り得た情報を口外することも厳禁です。
人選は非常に重要ですので、能力だけでなく、人間性も考慮して監査人を選ぶようにしてください。
監査計画の策定
システム監査を実施する際は、まず適切な監査計画の策定から入るべきです。
監査計画を策定する時は、「リスク・アプローチ」を重視しましょう。
リスク・アプローチとは、「自社が導入しているITシステムのリスクの大きさ」に応じた時間や人員を充て、効果的な監査を実施するという方法です。
重大なリスクがある領域に関しては、必ず監査対象とし、「統制の不備」や「潜在的なリスクの発見」といったことを実現できる監査計画を立てなければなりません。
監査計画の種類
監査計画は、以下に分けて策定しましょう。
- 中長期計画(システム監査の中長期における方針)
- 年度計画(中長期計画に基づいた、システム監査の年間スケジュール)
- 個別監査計画(年度計画に基づいた、個々の対象ごとの具体的な監査スケジュール)
上記3つの計画は、原則として「リスク・アプローチ」によって策定する必要があります。
監査証拠の入手と評価
システム監査の実施によって結論を出す場合には、それを裏付ける証拠が必要です。
個別監査計画に基づきながら監査手続きを進め、結論に信憑性を持たせるための具体的な監査証拠を入手していきましょう。
客観的な証拠がなければ、どんな監査結果を提示しようとも説得力がありません。
証拠入手は欠かせない工程となるため、監査を進める際には強く意識してください。
監査調書の作成と保管
システム監査の結論に信頼性を付与するため、結論の根拠となる監査調書の作成・保管も必須です。
監査調書に含めるべき内容の例としては以下の通りです。
- 監査の目的
- 監査の実施者
- 監査の実施日
- 監査証拠(資料・データ・証言・監査証跡を含む記録など)
- 発見事実
また、システム監査を行った監査人の所見は、監査結果の結論についての合理的根拠となるため、必ず調書に記載してください。
監査の結論
監査報告をする前に、監査調書の内容について深堀りし、合理的な根拠に基づいて監査の結論を出す必要があります。
それは、ITシステムに対しての保証目的であっても、今後どうあるべきかという助言目的であっても変わりません。
監査の結論は、感情論や主観を排除し、調書に基づいて論理的に導き出すことが重要です。
監査報告書の作成と報告
監査結果については、「監査報告書」という形で適切に作成し、依頼者や関係者に報告をしなければなりません。
作成された監査報告書は、経営者や取締役会、その他の利害関係者のもとに届きます。
あらゆる人が閲覧する資料となるため、複雑な書式や難解な表現は避け、わかりやすい内容を心がけましょう。
なお、監査報告書には以下の内容を記載してください。
- 監査の目的
- 監査の範囲
- 監査の結果
- 改善のための提案
- 監査対象先による改善計画
改善提案や改善計画のフォローアップ
システム監査の結果、何も問題が見つからなければ、そこで監査は終了となります。
ただし、何かしらの問題が見つかった場合は、監査報告書に改善案が記載されます。改善計画や実施方法に関する情報収集をしなければなりません。
もちろん、ただ改善施策を行うだけでなく、その後もフォローアップも必須です。
改善を行った結果、どの程度まで状況が良くなったのかについてモニタリングを継続していく必要があります。
システム監査を行う手順
システム監査は、主に以下のような流れで実施されます。
- 監査の範囲とテーマを決める
- 予備調査を行う
- 本調査を行う
- 監査報告書を作成する
- 意見交換会や監査報告会を実施する
- フォローアップを行う
それぞれの工程について、詳しく解説していきます。
監査の範囲とテーマを決める
システム監査を行う際は、まず最初に「監査の範囲とテーマ」について決定します。
法定監査とは違い、任意監査であるシステム監査の場合は、どんなテーマでどの程度まで監査するのか、といった点について自由に設定できます。
- どのシステムを重点的に監査すべきか
- 各システムの費用対効果はどうか
- セキュリティ対策は十分か
- 外部に運用を委託しているシステムに問題はないか
上記のようなことを洗い出し、範囲とテーマを決めてください。
予備調査を行う(チェックリスト作成)
システム監査の範囲やテーマが決まったら、まずは予備調査(事前調査)を実施しましょう。
本調査の際に必要となるチェックリストや必要書類などの作成、監査スケジュールの調整を行ってくださ行ってください。
特にチェックリストの作成は重要です。
以下のような監査項目を用意し、万全なシステム監査に備えましょう。
| 基本情報の確認 | ■対象システムの名称 ■システム導入の目的 ■利用部門・ユーザー数 ■システムの導入時期・運用開始日 ■システムの開発・保守担当 |
| 業務プロセスとの関連性 | ■システムが活用されている業務内容 ■業務フローとの整合性 ■業務上の重要性 |
| IT統制の状況 | ■アクセス権限の管理方法 ■ログ管理の有無 ■バックアップ体制 |
| セキュリティ対策 | ■ウイルス対策・ファイアウォールの導入状況 ■外部からのアクセス制限(VPN、IP制限など) ■個人情報・機密情報の取り扱い |
| 運用・保守体制 | ■運用マニュアル・手順書の整備状況 ■障害対応のフロー ■保守契約の有無と内容 |
| リスク評価 | ■過去の障害・トラブル履歴 ■システム停止時の業務への影響 ■代替手段の有無 |
なお、予備調査は「本調査の2ヶ月ほど前」から実施するのが一般的です。
参考記事:内部監査における業務監査のチェックリスト
本調査を行う
諸々の準備が整ったら、予備調査の内容に基づいた本調査を開始します。
各システムの機能の確認や関係者へのヒアリング、現場の視察などを通じて、運用しているITシステムに問題がないかチェックを行ってください。
もし何か問題が見つかれば、監査証拠として保管し、監査調書にまとめておきましょう。
監査報告書を作成する
システム監査における本調査が完了したら、結論を報告するための監査報告書を作成します。
監査報告書には、監査結果に対する評価や問題点、具体的な改善案などが記載されます。
意見交換会や監査報告会を実施する
作成した監査報告書の内容について共有・議論をできるのが、意見交換会です。
意見交換会の実施は、「各部門の責任者との認識の齟齬を把握できる」、「監査人が提案した改善案をブラッシュアップできる」といったメリットがあります。
意見交換会を経て、監査報告書の内容を修正した後、監査報告会で経営陣に監査の結果や改善案を報告してください。
フォローアップを行う
システム監査が完了し、監査報告書を提出しても、まだ終わりではありません。
監査時に浮き彫りになった問題点が改善されているのか、フォローアップも必須です。
引き続き問題があるようならば、監査人は更なる改善案を提示する必要があります。
システム監査人に最適な人材
システム監査の品質は、監査人のスキルや経験に大きく依存します。
では、どのような人材がシステム監査人に適しているのでしょうか。
主に、以下の3つの要素が挙げられます。
大規模なシステム開発の経験がある
情報システムの企画、設計、開発、運用といった一連のライフサイクルを経験している人材は、システム監査人として非常に価値が高いです。
特に大規模で複雑なシステムの開発経験者は、システムの内部構造や開発プロセスにおける潜在的なリスクを深く理解しています。
そのため、こうした人材であれば、机上の知識だけでは見抜けない現場感覚に基づいた的確な問題点の指摘や、現実的な改善提案を行うことができるはずです。
経営や会計といった監査に関連した知識がある
優れたシステム監査人は、システムを「単なる技術」として見るのではなく、それが企業の経営活動にどう貢献し、どのようなリスクをもたらすかという視点を持っています。
そのため、経営戦略や事業計画、さらには会計の知識があると、より大局的で経営層に響く監査を行うことが可能です。
こういった点から、経営や会計に関する監査の経験者や、監査経験はなくとも十分な知識を持っているという人材であれば、安心してシステム監査を任せられるでしょう。
コミュニケーションスキルが高い
システム監査は、人と人との対話なくしては成り立ちません。
監査対象部門の担当者から協力を得て、円滑に情報を引き出すためのヒアリング能力は非常に重要です。
また、監査で発見した専門的な内容を、ITに詳しくない経営層にもわかりやすく説明し、納得してもらうためのプレゼンテーション能力も不可欠です。
システム監査人には、相手の立場を尊重し、建設的な対話ができる高いコミュニケーションスキルが求められます。
システム監査を実施するメリット
システム監査は、企業にとってコストや手間がかかる活動ですが、それを上回る多くのメリットをもたらします。
ここでは、代表的な3つのメリットを紹介します。
費用対効果の悪いシステムを仕分けしてコストカットできる
企業内には、以下のような不要なシステムが存在していることがあります。
- 導入から時間が経ち、現在ではほとんど使われていないシステム
- 機能が重複しているシステム
- 過剰なスペックで維持コストだけが高くついているシステム
システム監査を通じて、社内の情報システム全体を棚卸しし、費用対効果の観点から評価することで、上記のような「負のIT資産」を洗い出すことができます。
不要なシステムを廃棄したり、より安価なサービスに乗り換えたりすることで、ITコスト全体の最適化とコストカットを実現できるはずです。
システム障害のリスクを最小化できる
日々の業務に追われていると、システムのバックアップが正しくできていなかったり、セキュリティパッチの適用が漏れていたり、サーバーの負荷が増大していたりといった、障害の予兆を見過ごしがちです。
システム監査では、専門家の第三者的な視点から、システムの構成や運用状況を客観的にチェックします。
これにより、担当者だけでは気づきにくい潜在的なリスクや脆弱性を早期に発見し、対策を講じることが可能になります。
結果として、事業停止につながるような致命的なシステム障害の発生リスクを最小限に抑えることができるのです。
BCP対策に繋がる
BCP(事業継続計画)とは、地震や水害といった自然災害や、大規模なシステム障害、サイバー攻撃などの緊急事態が発生した際に、重要な事業を中断させない、または中断しても可能な限り短い時間で復旧させるための方針や手順をまとめた計画のことです。
システム監査では、データのバックアップ体制や、災害時のシステム復旧手順、代替システムの準備状況などを評価します。
これにより、自社のBCPにおけるIT面での弱点を特定し、その強化に繋げることが可能です。
まとめ
今回は、システム監査の実施目的や、12の監査基準、システム監査の手順などについて詳しく解説してきました。
システム監査は、実施義務がないとはいえ、業務効率化やリスクマネジメントにおいて大きなメリットがあります。
無駄なシステムを排除したり、運用中のシステムの改善を図ったりすることで、コストカットや事業の活性化を実現可能です。
ぜひとも積極的に取り入れていきましょう。
関連記事
-
環境基本法とは?内容と中小企業の取り組み事例をわかりやすく紹介
近年、地球温暖化や資源の枯渇、生物多様性の損失など、私たちの暮らしや経済活動に深刻な影響を及ぼす環境問題への関心が世界的に高まっています。こうした状況に対し、日本の環境政策の根幹をなしているのが「環境基本法」です。
環境基本法では、事業者に対して環境に配慮した企業活動が求められています。
この記事では、環境基本法の制定背景や企業が環境保全に取り組むべき理由、中小企業の具体的な取り組み事例まで、幅広く解説します。環境基本法への理解を深め、持続可能な社会に向けた取り組みを考えていきましょう。
-
個人情報保護士ってどんな資格?経営者は採用すべき?必要ない?
近年、個人情報の取り扱いに関する意識が高まり、企業にはより厳格な管理が求められるようになっています。特に中小企業は、専門の法務部門担当者が不足しがちであり、個人情報管理のリスクが大きいのが現状です。
そこで注目されるのが「個人情報保護士」という資格です。この資格を取得することで、個人情報の適切な管理方法を習得し、企業のリスクを低減することが可能になります。
しかし、「個人情報保護士」は国家資格ではありません。企業にとって本当に信頼できる資格なのか疑問を持つ方もいるでしょう。
本記事では、「個人情報保護士」の基本から、中小企業における必要性、取得のメリット、取得方法、企業として推奨すべき資格かどうか、を詳しく解説します。
-
残業規制により何が変わった?業種別の2024年問題や違反時の罰則
2019年から順次施行されている働き方改革関連法により、企業は従業員の残業について今まで以上に敏感になる必要が出てきました。
特に、2024年4月から残業規制が適用される4業種においては、深刻な影響が出る可能性が指摘されていることから、「2024年問題」と言われています。
この記事では、残業規制がどういうものかについてや、2024年問題に向けての対策などについて、詳しく解説していきます。
-
パワーハラスメントの定義を知って職場のトラブルに備えよう!厚生労働省の定義をもとに解説
パワーハラスメント(パワハラ)は、職場の人間関係を悪化させる深刻な問題です。中小企業では、指導とハラスメントの境界が曖昧になりがちで、知らないうちに法令違反にあたるリスクもあります。
厚生労働省が示す明確な定義を理解しておくことは、企業としての義務であり、トラブルを未然に防ぐ第一歩です。
本記事では、パワハラに該当する条件や厚労省の「3要件・6類型」、中小企業でも求められる対応策まで、具体的に解説します。防止体制の整備や社内周知のポイントまで網羅していますので、職場の健全化に向けた実践的なヒントとしてご活用ください。
-
会社法施行規則とは?実務とリスク回避のために知っておくべき基本ガイド
会社法施行規則は、会社法を実務レベルで運用するための細かなルールを定めた、重要な省令です。円滑に会社を運営し、コンプライアンス体制を構築するには、規則を正しく理解し、遵守する必要があります。
この記事では、会社法施行規則の基本的な目的や構成、実務面におけるポイントについて解説します。
会社経営における法的な側面をしっかりと押さえ、安心して事業に集中するためにも、ぜひ参考にしてください。