システム監査を基礎から学ぶ

システム監査(System Audit)概要

システム監査の手法の解説コンピュータの性能・ネットワーク技術の進化で、業務システム、経理システムをはじめとする情報システムの高度化、複雑化はさらに大きく進んでいます。

これに対して、情報システムにまつわる管理策の導入や適切な運用は、コンピュータの進化に合わせて十分に発展してきたとは言い難く、その重要性が高まってきています。

このため、情報システムに対するコントロールに寄与するため、経済産業省により『システム管理・監査基準』が策定され、多くの企業で導入されています。

「システム管理基準」については、情報戦略を立案し、その効果的なシステム投資や情報システムのリスク管理(リスク評価、コントロール)を行うために利用することも可能です。

これは、企業がシステム管理を行う上での実践規範として活用されます。例えば、内部監査でシステム監査を実施する上でもこのような基準を利用すると大変有益であると考えられます。

「システム監査基準」については、システム管理基準に基づいて情報システムに対する管理活動が実施されているかを、客観的に評価するといった監査の場面において、システム監査人が監査を行う上で遵守すべきする重要な行動規範、基準の一つとなります。

 

システム監査の目的とは

システム監査の目的については、上記で紹介したシステム監査基準で、下記の目的が設定されています。

「情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場からシステム監査人が検証または評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現する。」

というものです。

ここで、リスクアセスメントは、情報システムのリスクの大小を評価し、その結果に基づいてどのように対応するかを決定するために行います。

リスクアセスメントの結果により、会社にとって大きなリスクがありそうだと考えれば何らかのコントロールをうつことになります。逆に、リスクがそれほど大きくなければ、そのまま何もしないということも考えられます。

そして監査人の要件として、独立かつ専門的な立場が必要とされます。監査される側とは別に、独立した立場にある監査人(客観的な判断ができること、専門性を有していることなどの要件がある)が監査を行うことにシステム監査の本質的な意味があります。

システム監査の実効力を保つうえでも重要な要件の一つです。そして、ここでは保証という概念が登場します。保証とは、システム監査の主題に対して、企業に関連するステークホルダーに対して、利害関係者の信頼に応えるため、システム監査人が担う責任となるのです。

 

システム監査の手続き

システム監査の観点

システム監査の方法には、情報システムの状況や課題に応じて様々な種類があります。そして、システム監査実施にあたり評価指標にどれに設定するかも重要なポイントとなります。

評価指標は、システム監査の目的に応じて、適切な指標を設定する必要があります。企業の情報システムであれば、具体的には、信頼性、安全性、効率性、有効性といった評価指標を設定し、それぞれの評価指標について、企業の情報システムの状況を評価します。

システム監査の手順

システム監査実施基準では、システム監査を実施するに際して大きく分けて下記の3つのプロセスとして考えます。

1:監査計画策定プロセス

2:監査実施プロセス

3:監査報告プロセス

 

監査計画プロセスにおいては、システム監査の全体的な構図を描くことからはじまります。監査実施プロセスにおいてシステム監査人が、実際にシステム監査における監査要点について、必要十分な監査証拠の収集を意図して監査項目に対して監査手続き行っていくことになります。そして最終的には実施した結果をとりまとめ報告を行います。

 

【あわせて読みたいIT統制の関連記事】