システム監査:システム監査とは(最終更新:2015/12/06 16:33:44 JST)
まず最初に「システム監査とは何か」,また「どのような要件を満たす必要があるのか」から見ていきたい.それにはシステム監査の定義である「システム監査基準」を読み解くことが必要であろう.
この章の内容
システム監査のよりどころは「システム監査基準」と言っても過言ではない.最初に通読したい.
システム監査制度の改定について(経済産業省)
では,システム監査基準に書かれている内容を理解するために,まずはその意義から見ていきたい.
システム監査は通常内部監査となる.システム監査を理解するために,「内部監査基準」で内部監査の特徴を見てみたい.
内部監査とは、組織体の経営目標の効果的な達成に役立つことを目的として、合法性と合理性の観点から公正かつ独立の立場で、経営諸活動の遂行状況を検討・評価し、これに基づいて意見を述べ、助言・勧告を行う監査業務、および特定の経営諸活動の支援を行う診断業務である。
これらの業務では、リスク・マネジメント、コントロールおよび組織体のガバナンス・プロセスの有効性について検討・評価し、この結果としての意見を述べ、その改善のための助言・勧告を行い、または支援を行うことが重視される。
内部監査が効果的にその目的を達成するためには、検討・評価の結果としての助言・勧告が、公正不偏かつ客観的なものでなければならない。また内部監査活動そのものについても、他からの制約を受けることなく自由に、かつ、公正不偏な態度で客観的に遂行し得る環境になければならない。このため内部監査機能は、その対象となる諸活動についていかなる是正権限や責任も負うことなく、組織的に独立し、また、精神的にも客観的である必要がある。
内部監査基準(日本内部監査協会)
したがって,内部監査の定義として「独立した立場の監査人が公平かつ客観的な立場から検討・評価を行う」というとらえ方ができる.
システム監査は内部監査のうち対象を情報システムに関連する部分に限定したと考えればよい.システム監査の目的は,システム監査基準には次のように定義されている.
システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってIT ガバナンスの実現に寄与することにある。
システム監査基準(経済産業省)
またシステム監査の持つ特徴として次のようなものが挙げられる.
システム監査は「情報システムにまつわるリスクに対するコントロールを検証又は評価すること」と定義できる.そのためには,少なくとも日常的にリスクコントロールのしくみが存在していることが前提となる.そのうえで,リスクコントロールが有効に機能していることをチェックすることが本務である.したがって教科書45ページ図1.1のように,日常のコントロール(内側のループ)とその有効性をチェックする監査(外側のループ)からなるダブルループの様相を呈す.
システム監査人の満たすべき要件は次のようなものが挙げられる.
次の2つの独立性が求められる.
適格性には次のようなものが含まれる.
どのような仕事でも同じことが言えるが,システム監査でも経験がものをいう.
なお,専門能力に関しては,教科書46ページに詳細な記載があるので,そちらを参照されたい.またシステム監査人の要件のまとめが教科書46ページ図1.2に挙げられている.
本来の意味合いでは,監査は保証型監査である.監査にコンサルティング(助言)を付加したものが助言型監査とみなせる.
一般に,コントロールレベルが高い組織は保証型,逆に低い組織は助言型が適用されることが多い(教科書47ページ図1.3参照)
システム監査の目的はITガバナンスの実現に寄与することであるが,そもそものITガバナンスとは何を指すのだろうか.経済産業省は次のように定義している.
企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動、成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態
ITガバナンス(経済産業省)
ITを導入することで,組織の目標を達成できるように,組織をコントロールするための仕組みと考えればよいだろう.
システム監査の必要性として次のような理由が考えられる.