システム監査 転職特集

システム監査 転職特集

システム監査とは、国によって定められた「システム監査基準」に基づいて、企業や組織の情報システムの信頼性・安定性・効率性・有用性について独立した立場(内部組織やコンサルティングファーム、監査法人など)が総合的に検証を行い、その結果を内外部のステークホルダーに対して評価・助言などを報告し、必要があれば改善実施のフォローアップをすることです。もともとシステム監査は、会計監査から端を発したもので、会計処理がコンピューターを使って行われるようになり、コンピューターを使ってどのような会計処理が行われたのかを調査する必要性が出てきたためシステム監査が生まれました。
会計監査の場合には原則として、外部の独立した立場が監査を行うことになりますが、システム監査の場合には、内部・外部の両方のケースがあります。内部の場合には会社内の独立した組織が行いますが、外部の場合は例として、金融システムなどがあげられます。これは金融庁の検査マニュアルの中で決められていることで、金融機関に対して定期的に外部監査を受けるよう指示しているものです。外部監査をすることで、社外の利害関係者に企業の状況を伝えるという目的もあります。
また、システム監査の特徴として、会計監査とは異なり大企業・上場企業以外は法的には義務付けられていない任意監査になります。任意とはいえ、現在の業務活動は、ほとんどがシステム上で行われ、顧客や取引先に迷惑の掛からない環境を整えておかなければなりません。そのためシステム監査が必要になってきます。
システム監査を実施することで、当事者以外には実態がつかみにくいといわれる情報システムの安全性、信頼性、効率性についてのリスクや課題を把握することができ、その結果、情報システム投資や外部委託先選定などの意思決定やリスク(システム障害、プロジェクトの遅延、情報漏洩などの問題など)に応じた改善策が可能になります。
現在ではJ-SOX法の導入によって、内部統制強化が求められるようになり、情報システムの統制も監査対象になり、それによってシステム監査の重要性が高まっています。

システム監査のプロセス

経済産業省の「システム監査基準」をもとにご紹介いたします。
1 事前調査
会社の経営および情報化の課題などを調査し、監査の目的、対象、テーマを明らかにします。

2 監査計画策定
明確化された監査目的(何を目的に監査を実施するか)から監査項目をまとめた監査チェックリストを作成します。その際、一般的には経済産業省の「システム監査基準」をベースに監査基準を設定していきます。

3 予備調査
管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査します。その結果によって本調査での確認事項や項目の選別を行います。

4 本調査
ヒアリング・現場調査・質問票などを実施して、監査報告の裏付けとして「監査証拠」を確保することが重要になります。

5 監査報告書作成
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書」の原案を作成します。

6 意見交換会
監査報告書の原案を基に、「被監査部門」(監査を受けた部門)の代表者と、監査報告書の記述内容に事実誤認がないかどうか確認します。システム監査人と被監査部門が共同で情報システム環境を良くしていくことを目的とするシステム監査の特徴的なステップです。

7 監査報告会
意見交換会での確認結果や意見を、システム監査人が判断し、監査報告書の最終版を作成します。そして、経営トップに監査報告を行います。

8 フォローアップ
システム監査は監査報告をして終わりではありません。改善の実施やそのモニタリングをし、フォローアップをしていきます。こちらも意見交換会と並んでシステム監査の特徴的なステップの一つです。

システム監査基準について

以下が経済産業省の「システム監査基準」になります。
参照http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf


Ⅰ.前文
今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。
システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。
システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。

Ⅱ.システム監査の目的
システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。

Ⅲ.一般基準
1.目的、権限と責任
システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。

2.独立性、客観性と職業倫理
2.1 外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

2.2 精神上の独立性
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

2.3 職業倫理と誠実性
システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

3.専門能力
システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

4.業務上の義務
4.1 注意義務
システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。

4.2 守秘義務
システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。

5.品質管理
システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

Ⅳ.実施基準
1.監査計画の立案
システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。

2.監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。

3.監査の実施
3.1 監査証拠の入手と評価
システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。

3.2 監査調書の作成と保存
システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。

4.監査業務の体制
システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。

5.他の専門職の利用
システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。

6.情報セキュリティ監査
情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。

Ⅴ.報告基準
1.監査報告書の提出と開示
システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。

2.監査報告の根拠
システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。

3.監査報告書の記載事項
監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。

4.監査報告についての責任
システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

5.監査報告に基づく改善指導(フォローアップ)
システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。



無料転職相談・登録はこちらから

初めての方へ

 


キャリア相談会

無料転職相談・登録