本記事では、システム監査の目的と、システム監査がどのような流れで行われるのかについて解説します。あわせて、用語例として挙げられているシステム監査人やシステム監査基準、監査計画や監査証拠などのキーワードを、システム監査のプロセスに沿って整理していきます。
1. システム監査の目的と役割
この章では、システム監査がそもそも何のために行われるのか、どのような立場の人がどんな基準で監査を行うのかを解説します。情報システムリスクという考え方と合わせて整理しておくと、後の監査の流れが理解しやすくなります。
システム監査の目的
システム監査の目的は、情報システムにまつわるさまざまなリスク(情報システムリスク)に対して、組織が適切に対応しているかどうかを検証・評価することです。そのうえで、必要に応じて保証や助言を行い、組織の経営活動・業務活動が効果的かつ効率的に行われるよう支援していきます。
具体的には、システムの安全性や信頼性が確保されているか、業務を支える仕組みとして十分な機能を果たしているか、改善すべき点はないかといった観点からチェックを行います。その結果として、組織の目標達成に寄与するとともに、株主や取引先、顧客などの利害関係者に対する説明責任を果たすことが、システム監査の大きな役割です。
情報システムリスク
情報システムリスクとは、情報システムの障害や誤作動、不正アクセス、データの改ざん・漏えいなどによって、組織に損失や悪影響が生じる可能性のことです。システムの停止による業務中断や、個人情報漏えいによる社会的信用の失墜など、影響は多岐にわたります。
システム監査では、こうした情報システムリスクを洗い出し、それぞれについて対策が十分かどうかを評価します。リスクの大きさと対策の度合いを比較し、過不足がある場合には改善を促すことで、組織全体のリスクを適切な水準にコントロールしていくことが求められます。
システム監査人
システム監査を実施する人を、システム監査人と呼びます。システム監査人には、高い倫理観を持ち、独立かつ客観的な立場から評価を行うことが求められます。監査対象となるシステムの運用担当者と距離を置き、利害関係に左右されない立場であることが重要です。
また、システム監査人は、情報システムに関する技術的な知識だけでなく、業務プロセスや関連法令、社内規程などにも精通している必要があります。これらの知識を総合して、リスクを見極め、妥当な判断や助言を行っていきます。
システム監査基準
システム監査基準は、システム監査を行う際の考え方や手続き、倫理規範などをまとめた指針です。システム監査人は、この基準に従って監査を実施することで、監査の品質や客観性を保ちます。
システム監査基準には、監査人の独立性や守秘義務といった基本原則のほか、リスク評価や監査証拠の扱い方、報告の方法などが規定されています。基準があることで、組織や監査人が変わっても、一定レベル以上の監査が行われることが期待できます。
2. システム監査のプロセス全体像
この章では、システム監査がどのようなステップで進んでいくのか、全体の流れを見ていきます。監査計画からフォローアップまでの一連のプロセスを押さえることで、各用語の位置づけが理解しやすくなります。
システム監査計画
システム監査は、まず監査計画の策定から始まります。システム監査計画では、監査の目的や範囲、対象となるシステムや業務プロセス、スケジュール、必要な要員などを明確にします。
ここで、どのリスクを重点的に確認するか、どのような手続きで検証するかを事前に整理しておくことで、監査の効率と品質を高めることができます。計画があいまいなまま監査を始めてしまうと、抜け漏れや重複が生じやすくなるため、最初の計画段階は非常に重要です。
リスクアプローチに基づく監査手続
監査の実施段階では、リスクアプローチに基づく監査手続を適用します。リスクアプローチとは、すべてを一律に詳しく調べるのではなく、特にリスクが高い領域に重点的に監査資源を配分する考え方です。
具体的には、予備調査でシステムや業務の概要を把握し、どの部分に問題が起こりやすいか、どのコントロールが重要かを見極めます。そのうえで、本調査では重点箇所を中心に、手続きの確認やログのチェック、インタビューなどを行い、リスクへの対応状況を検証します。
監査証拠の入手と評価
監査手続の結果として得られた資料や記録、観察結果などを、監査証拠と呼びます。監査証拠には、ログや帳票、画面キャプチャ、聞き取りメモ、システム設定のスクリーンショットなど、さまざまな形があります。
システム監査人は、入手した監査証拠の信頼性と十分性を評価し、それに基づいて結論を導きます。証拠が不十分であれば、追加調査を行って補う必要があります。監査証拠は、後から監査の妥当性を説明するための根拠にもなるため、適切な整理と管理が重要です。
3. 監査結果の整理と報告
この章では、監査で得られた結果をどのように整理し、どのような形で組織に伝えていくのかを解説します。監査調書や監査報告書は、監査の成果を残すうえで欠かせない文書です。
監査調書の作成と保管
監査調書とは、監査の過程で実施した手続きや、その結果得られた監査証拠、監査人の判断などを整理して記録した文書のことです。どのような根拠に基づいて結論に至ったのかを示す「作業記録」と考えるとイメージしやすいでしょう。
監査調書を適切に作成・保管しておくことで、後から監査の妥当性を検証できるだけでなく、次回以降の監査や他システムの監査にも活用できます。また、複数の監査人が関わる場合にも、認識を共有するための重要な資料となります。
システム監査報告書の作成と報告
監査の結論は、システム監査報告書としてまとめられ、経営者や関係部門に報告されます。報告書には、監査の目的・範囲、実施した手続きの概要、判明した問題点や改善が必要な点、良好な点、そして全体としての評価・結論が記載されます。
システム監査報告書は、経営陣が情報システムのリスク状況を把握し、対策の優先順位を判断するための重要な材料です。そのため、専門用語に偏りすぎず、非専門家にも理解しやすい表現でまとめることが求められます。
改善提案のフォローアップ
監査報告書には、単に問題点を指摘するだけでなく、改善に向けた提案が含まれることが一般的です。改善提案のフォローアップでは、提案内容に対して組織がどのような対応を行ったか、実際に改善が実施され、効果が上がっているかを確認します。
フォローアップを行うことで、監査結果が「出しっぱなし」にならず、実際のリスク低減や業務改善につながっているかを検証できます。これにより、システム監査が継続的な改善サイクルの一部として機能するようになります。
代表的なシステム監査技法
システム監査では、効率的かつ効果的に情報を収集するために、さまざまな監査技法が用いられます。代表的なものとして、文書レビュー、インタビュー、現場観察、サンプリング、CAAT(コンピュータ支援監査技法)などがあります。
たとえば、CAATでは、監査側で専用ツールを用いて大量データを分析し、異常値や不自然なパターンを自動的に抽出します。これにより、人手では見落としがちな問題を効率よく発見できます。どの技法をどの場面で使うかは、監査計画やリスクアプローチに基づいて判断されます。
まとめ
システム監査は、情報システムリスクに対して組織が適切に対応できているかを、独立した立場のシステム監査人が検証・評価し、保証や助言を行う活動です。その目的は、経営活動や業務活動を効果的かつ効率的に進め、組織の目標達成と利害関係者への説明責任の両方を支えることにあります。
この活動を適切に行うためには、システム監査基準に基づき、システム監査計画の策定から監査手続の実施、監査証拠の入手と評価、監査調書の作成と保管、監査報告書の作成と報告、さらに改善提案のフォローアップまで、一連の流れを丁寧に進めていくことが重要です。その過程では、リスクアプローチやさまざまな監査技法が活用されます。
ITパスポート試験では、システム監査の目的と基本的な流れ、そして用語例として挙げられているキーワードの役割を押さえることが求められます。用語だけを暗記するのではなく、「なぜその監査が必要なのか」「全体のどの段階で使われる言葉なのか」を意識しながら学習を進めることで、実務にも活かせる理解につながるでしょう。
コメント