お問い合わせ
システム監査とは、経済産業省によると「専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する補償を与える、又は改善のために助言を行う監査の一類型」と定義されています。
以下、「システム監査基準」経済産業省発行(平成30年4月20日) https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf 「前 文(システム監査基準の活用にあたって)」より引用 ———- [1] システム監査の意義と目的 システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。 ———-
これを整理しなおすと、以下のように表現できます。 企業において構築、稼働する情報システムについて、対象のシステムが
事業や製品の目標に合わせ、システムが適切に構築、運用、保守し続けられることを、監査人が点検、評価、提言するために、システム監査を行います。 システム監査は継続的かつ定期的に実施し、保有するIT資産の老朽化や最新リスクへの対応力の劣化による事業や経営への悪影響を確認、対策を実施することが求められます。
システム監査では、システムそのものに加え、維持メンテ体制やITガバナンスのプロセスが適切に運営されているかまで見て行くことになるため、システム構築から運用保守を担当する当事者である情報システム部門ではなく、経営の指示に基づく監査部門(第三者)により実施されることが前提となります。これを内部監査と呼びます。更に、公的機関や外部認証機関の監査人がこれを実施する場合は、外部監査と呼びます。一方、情報システム部門や部門内で自ら点検、評価、是正する取り組みは内部点検という位置づけになります。
勿論、監査対象や監査の観点により、監査人(監査者)についても適任者を選定し実施する必要があります。例えば、情報システムのコントロールの監査でセキュリティリスクへの組織態勢が適切に運営できているかを監査するには、情報システムのセキュリティに精通する監査人が対応する必要があります。また、経営目標との現行システムの適合性を監査するには、ITガバナンスやIT戦略の策定に精通する監査人が対応することが望ましいと言えます。
システム監査を実施するには、経営からの要請に基づく監査計画を立案し、対象システムや対象部門を選定し、周到な監査手順を整理して監査に臨む必要があります。今日お願いして明日から実施するなど、準備が十分に実施されない監査では客観性や透明性ある点検、評価は難しく、監査を実施するにあたっては十分な準備時間が必要になることを考慮しなければなりません。
監査実施の大まかなプロセスは以下のような流れになります。
当サイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。当サイトをご利用いただく際には、当社のクッキーの利用について同意いただいたものとみなします。当社の使用するクッキーや、クッキーの削除またはブロックの方法については、プライバシーポリシーをご確認ください。
