1.サービス内容 企業経営に対する情報システムの影響力が飛躍的に増大しつつある中で、セキュリティ不備、システム構築の遅延/失敗、情報システム関連コストの増大等の問題がもたらすリスクも増大してきており、ITの内部統制の強化に対し、積極的な取り組みが求められています。
当社は、経済産業省制定のシステム管理基準・システム監査基準および各業界ガイドラインに基づいて、情報システムに関わるリスクコントロールの整備状況・運用状況を点検し、評価します。
サービス形態としては(1)外部監査として「
システム監査の受託」および、(2)内部監査としての「
システム監査の支援」があります。
2.システム監査の定義(要約)
情報システムの内部統制が、適切に整備・運用されているかを独立かつ専門的な立場のシステム監査人が検証・評価して、保証あるいは助言する活動
3.システム監査の経営上の位置づけーその目的と効果@システム監査は、情報システムのリスクに対するコントロールが、適切に整備・運用されていることを担保するための有効な手段である。
Aシステム監査の実施は、組織体のITガバナンスの実現に寄与することができる。
(ITガバナンス・・・企業が競争優位性構築を目的に、IT(情報技術)戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力)
Bシステム監査の実施は利害関係者に対する説明責任を果たすことに繋がる。
4.システム監査の進め方 システム監査は、大きく分けて「計画」「実施」「報告」の3段階、さらにステップ分けすれば8つのステップで進めるのが一般的です(図1)。
図1 システム監査の実施手順▼STEP1 - 事前調査
経営トップの意向、会社の経営および情報化の課題などを調査し、監査の目的、対象、テーマを明らかにします。例えば、「情報システム部門および製造部門を対象に、生産管理システムの信頼性と安全性を監査する」ことを決定します。
▼STEP2 - 監査計画策定
事前調査で明らかにした監査目的、対象、テーマに対して、監査の実施および報告の実行計画である「監査個別計画」を策定します。
実は、システム監査計画には、個別計画以外に中長期計画、基本計画(年度計画)があります(図2)。
図2 システム監査計画の体系 「監査中長期計画」は、3年程度を視野に入れた計画です。会社の中期経営計画、中期情報化計画と整合性を取って計画します。中長期計画がしっかり策定されていれば、STEP1の事前調査は必要ありません。中長期計画には、事前調査で明らかにすべきことが盛り込まれているからです。「監査基本計画」は、中長期計画を年度ごとの計画に展開したものです。
そして、個別計画では、基本計画で計画した実施時期に合わせて、個々の監査の実施体制、「監査項目」(何を監査するか)、「監査手続き」(どんな方法で監査するか)、監査スケジュールを決めます。
このときに重要になるのが「監査基準」です。監査がほかの調査と明確に違うことは、合理的に設定された基準に照らして、監査対象の実態が問題ないか、改善すべき点があるか、その程度はどのくらいかを評価する点です。
▼STEP3 - 予備調査
システム監査の調査は、予備調査と本調査の2段階に分けて行います。これは、調査の効率性・有効性が理由です。調査対象が相当に広範囲になりますので、すべての監査項目について詳細な調査を行っていては、膨大な時間がかかりますし、本当に時間をかけて調査しなければならないことが、不十分な調査に終わってしまうことも考えられます。これでは、有効な監査報告につながりません。そこで、「予備調査」では、管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査します。その結果によって、本調査で時間をかけて調査する項目、確認すればよい項目の選別を行い、必要であれば監査個別計画を修正します。
▼STEP4 - 本調査
「本調査」では、監査対象の実態を、監査個別計画で設定した監査項目・監査手続きに従って調査を行います。監査手続きとしては、ヒアリング、現場調査、資料(文書や記録)の入手と内容確認、質問票などがよく使われます。重要なことは「監査証拠」の確保です。最終的な監査報告の内容は、すべて明瞭な監査証拠によって裏付けられていなければなりません。入手した文書や記録、ヒアリング結果をまとめて確認を受けたもの、現場の写真などが監査証拠になります。見聞きしただけの情報では、監査証拠にはなりません。本調査は、効率的に有効な監査証拠を集める作業です。
▼STEP5 - 監査報告書作成
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書」の原案を作成します。監査報告書には、監査の実施状況、監査個別計画で設定した監査テーマについての「評価」「改善事項」(改善が必要な事項)とそれに対する「改善案」を記述します。
監査報告書の記述に当たっては、次の点に注意が必要です(表4)。
| (表4) 1.評価は客観的に、かつ理由を明瞭に記述する。客観的評価のために、3段階評価や5段階評価も有効である。 2.評価の中で、良い点についても積極的に記述する。 3.改善事項は具体的に、かつ監査証拠による裏付けを記述する。 4.改善事項には優先度を設定する。「緊急改善」(すぐに改善の必要な問題)と「通常改善」(計画的に改善を実施する問題)に分け、さらに個々の改善事項に優先順位を付けることも有効である。 5.改善事項には、必ず、システム監査人が考える改善案を付ける。 6.すべてを記述した監査報告書とは別に、経営者のためのサマリ版を作成し、そこには経営者にぜひ知ってほしい重要事項を中心に記述する。 |
▼STEP6 - 意見交換会
監査報告書の原案を基に、「被監査部門」(監査を受けた部門)の代表者と意見交換を行います。最大の目的は、監査報告書の記述内容に事実誤認がないかどうかの確認です。システム監査人は慎重に調査を行いますが、人間ですので誤認はあり得ます。それを、意見交換会で取り除きます。さらに、監査報告書の内容について、被監査部門の意見を聞きます。こうしたことは、会計監査では行いません。業務監査でもそれほど一般的ではありません。システム監査人と被監査部門が一緒になって情報システム環境を良くしていくことを目的とするシステム監査の特徴的なステップです。
▼STEP7 - 監査報告会
意見交換会での確認結果や意見を、システム監査人が判断し、監査報告書の最終版を作成します。そして、経営トップに監査報告を行います。システム監査基準では、監査報告は組織体の長に対して行うことになっています。このことは、投資を伴う改善事項に対する改善実施の意思決定を行うのが経営トップであることを考えれば、当然のことといえます。
▼STEP8 - フォローアップ
意見交換会と並んで、システム監査の特徴的なステップです。システム監査は監査報告で終わりではありません。改善が実施されて初めて、システム監査の目的が達成されるのです。そのためには、システム監査人として、改善の実施状況をモニタリングするとともに、改善の実現をシステム監査人の立場で支援する取り組みが重要です。