layers consulting

システム監査

システム監査とは

システム監査とは、経済産業省によると「専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する補償を与える、又は改善のために助言を行う監査の一類型」と定義されています。

以下、「システム監査基準」経済産業省発行(平成30年4月20日)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf
「前 文(システム監査基準の活用にあたって)」より引用
———-
[1] システム監査の意義と目的
システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
———-

これを整理しなおすと、以下のように表現できます。
企業において構築、稼働する情報システムについて、対象のシステムが

  • 経営や事業の目標達成に適切に貢献し、
  • 業務や顧客要求に対して制約にならないように適切に維持、メンテナンスされ、
  • 内部統制やセキュリティ上のリスクを抑止する機能を保有し、
  • 効率的に運用、保守が実施されていること。

事業や製品の目標に合わせ、システムが適切に構築、運用、保守し続けられることを、監査人が点検、評価、提言するために、システム監査を行います。
システム監査は継続的かつ定期的に実施し、保有するIT資産の老朽化や最新リスクへの対応力の劣化による事業や経営への悪影響を確認、対策を実施することが求められます。

システム監査人(監査を実施する主体)

システム監査では、システムそのものに加え、維持メンテ体制やITガバナンスのプロセスが適切に運営されているかまで見て行くことになるため、システム構築から運用保守を担当する当事者である情報システム部門ではなく、経営の指示に基づく監査部門(第三者)により実施されることが前提となります。これを内部監査と呼びます。更に、公的機関や外部認証機関の監査人がこれを実施する場合は、外部監査と呼びます。一方、情報システム部門や部門内で自ら点検、評価、是正する取り組みは内部点検という位置づけになります。

システム監査の監査対象

  • 情報システムのガバナンス
    対象システムが経営方針や事業戦略に適うかを点検、評価します。
    また、新技術やDXへの対応が適切に行われているかを点検、評価します。
  • 情報システムのマネジメント
    構築、保守運用まで含むIT投資、計画が適切に管理され、最新のリスク対策やEOS(製品サービス終了)への対策などが経営から情報システム部門まで適切に管理、運営されていることを点検、評価します。
  • 情報システムのコントロール
    内部統制(IT統制)面での設計・レビュー・承認、協力会社選定・発注・検収、あるいはセキュリティリスク発生時のエスカレーションプロセス、対処が確立され、適切に運営されるかなどを点検、評価します。

勿論、監査対象や監査の観点により、監査人(監査者)についても適任者を選定し実施する必要があります。例えば、情報システムのコントロールの監査でセキュリティリスクへの組織態勢が適切に運営できているかを監査するには、情報システムのセキュリティに精通する監査人が対応する必要があります。また、経営目標との現行システムの適合性を監査するには、ITガバナンスやIT戦略の策定に精通する監査人が対応することが望ましいと言えます。

システム監査の実施

システム監査を実施するには、経営からの要請に基づく監査計画を立案し、対象システムや対象部門を選定し、周到な監査手順を整理して監査に臨む必要があります。今日お願いして明日から実施するなど、準備が十分に実施されない監査では客観性や透明性ある点検、評価は難しく、監査を実施するにあたっては十分な準備時間が必要になることを考慮しなければなりません。

監査実施の大まかなプロセスは以下のような流れになります。
 

  • 監査の計画(目的、対象の決定)
  • 監査対象システム、対象部門の選定
  • 事前の情報提供依頼とドキュメントでの確認
  • 監査手順の策定
  • 監査実施
  • 証跡の整理、記録
  • 報告書作成
  • 報告、提言
  • 監査対象システム、対象部門の対策実施状況のフォロー

当サイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。当サイトをご利用いただく際には、当社のクッキーの利用について同意いただいたものとみなします。当社の使用するクッキーや、クッキーの削除またはブロックの方法については、プライバシーポリシーをご確認ください。