システム監査

目次

システム監査

システム監査は、組織が情報システムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価するプロセスです。

その意義について、経済産業省は次のように記しています。

システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいて IT システムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である。

経済産業省「システム監査基準」

また、その目的については、次のように記しています。

システム監査の目的は、IT システムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。

経済産業省「システム監査基準」

監査の対象は、情報システムそのもののほかに、情報システムのライフサイクル(企画・開発、運用・保守、利用)全体から情報システム戦略の立案、システム部門のマネジメント体制や内部統制に至るまで、幅広い範囲が対象となります。

システム監査には、内部監査と外部監査の2種類があります。

内部監査は、組織内部の専門家が行う監査で、自社のシステムやプロセスを評価します。

一方、外部監査は、独立かつ客観的な立場の専門家(システム監査人)が行う監査で、組織のITシステムに対する客観的な評価を提供します。

システム監査人は、セキュリティ、効率、コンプライアンスなどの観点からシステムの問題点や改善点を特定します。

彼らは、経済産業省が作成したシステム監査基準と呼ばれるシステム監査人の行為規範をまとめたガイドラインに従って監査を行います。

システム監査基準は、監査の品質を確保し、組織が適切なシステム管理を実践しているかどうかを客観的に評価するためのものです。

システム監査の結果は、組織のリスク管理や運用改善に役立てられます。

参考:経済産業省「システム監査基準(PDFファイル)」

システム監査の流れ

システム監査の流れは以下の通りです。

STEP
監査計画の策定

システム監査の最初の段階です。

監査依頼組織から依頼を受けたシステム監査人が、監査の目的や範囲、実施時期などを決め、どのような手順で調査を進めるかを計画します。

監査計画は、監査がスムーズかつ効果的に進行するための指針となります。

STEP
予備調査

予備調査の段階では、監査人はアンケート調査などを通じて、監査対象の組織やシステムについて大まかな情報を収集します。

この段階では、システムの概要や運用状況、組織のポリシーや手順などを把握することが目的です。予備調査を通じて、監査人は監査の範囲や目的を明確化し、監査計画を調整することができます。

STEP
本調査

予備調査で得られた情報をもとに、監査人はヒアリングや現地調査などを行い、システムの運用や管理に関する詳細な調査を行います。

監査証拠を収集し、監査調書を作成することで、システムの安全性や効率性、法令遵守状況などをチェックし、問題点や改善点を見つけ出します。

監査証拠:システム監査の過程で収集されるデータや情報で、システム監査人が監査結果を裏付けるために利用します。

監査調書:システム監査人が実施した監査のプロセスを記録したものであり、監査の結論の基礎となるものです。

STEP
評価・結論

本調査の結果に基づき、監査対象の全体的な状態が評価され、監査結論が導き出されます。問題点に対する推奨事項もこの段階でまとめられ、組織の情報システム管理やプロセスの改善に向けた指針が監査報告書としてまとめられます。

STEP
監査報告

この段階では、本調査の結果をまとめた監査報告書が監査依頼組織に提出されます。

監査報告書には、調査結果や問題点、改善提案などが記載されており、組織はこれをもとにシステムの運用や管理を改善するためのアクションプランを立て、改善命令を出します。

STEP
フォローアップ

監査報告書の提出後、監査人は組織がアクションプランに従って改善活動を実施しているかどうかをフォローアップします。

フォローアップでは、改善が適切に行われたか、問題点が解決されたかを確認し、必要に応じて追加の監査やアドバイスを行います。

※システム監査人はあくまで助言までで、改善活動の主体となるのは監査依頼組織です。

システム監査人の行動規範

システム監査人がシステム監査を行う際の行動規範は、監査の客観性、公平性、専門性を確保することに重点を置いています。以下の原則が重要です。

  1. 外観上の独立性: システム監査人は、監査対象の組織とは別の指揮命令系統に属していることが必要です。これにより、監査が影響力や利害関係のもとで行われることなく、公平かつ中立的な視点で実施されることが保証されます。独立性は、監査結果の信頼性を高め、客観的な評価を提供するために不可欠です。
  2. 客観的な立場での公正な判断: システム監査人は、常に客観的で公正な判断を下す精神的な態度を持つ必要があります。これは、個人的な意見や感情が判断に影響を与えないようにするためです。客観性と公平性は、監査プロセス全体の正確さと公正さを確保するために重要です。
  3. 十分かつ適切な監査証拠に基づく判断: システム監査人は、十分で適切な監査証拠に基づいて判断を行います。これには、文書の検証、インタビュー、観察、テストなどの手法が含まれます。監査証拠の確実な収集は、監査結果の正確性と有効性を保証するために重要です。
  4. 倫理的な行動: 監査人は高い倫理観を持って行動することが求められます。機密情報の取り扱いには特に注意が必要です。
  5. 専門的な知識と技術: 監査には、システムや技術、業界標準、法規制に関する十分な知識が必要です。この知識を基に、システムのセキュリティ、パフォーマンス、コンプライアンスを評価します。

これらの行動規範に従うことで、システム監査人は組織の情報システムの効果的な評価と改善に貢献し、全体のITガバナンスの強化に寄与します。

目次