本文へスキップ

IT統制監査の基本を5分でナビゲートするポータルサイト

IT統制・システム監査の専門情報サイトです。

一般的なシステム監査の基礎知識

トップページ > システム監査の基礎   

システム監査とは


近年の情報技術(IT)やネットワーク技術の進展によって、情報システムの高度化、複雑化は進展の一途をたどっています。そのため、情報システムに係るリスクに対する適切な管理策を整備・導入し、その管理策を継続的に運用することが大変重要になってきております。
したがって、情報システムを適切に管理し、有効にIT活用を図る「ITガバナンス」が重要なテーマとなっています。
このよう中、2004年度に、ITガバナンスの実現に寄与することを目的とした『システム管理・監査基準』が策定されました。
日本国内のシステム監査において、最もメジャーな基準の一つと考えられるのがこの「システム監査基準」と言えます。「(一般的な)システム監査とは」といった場合には、こちらのシステム監査基準をベースに考えるのが良いでしょう。
なお、財務報告の信頼性に係るIT統制(J-SOX)については、金融庁が所管しておりますが、こちらのシステム監査基準は、経済産業省の所管になります。

システム監査の目的

システム監査基準において、システム監査の目的は次のように記載されています。

「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場からシステム監査人が検証または評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現することにある。」
ここでのポイントは、次の3つです。

  • リスクアセスメントに基づいて
  • 独立かつ専門的な立場から
  • 保証を与えるあるいは助言を行い
リスクアセスメントとは、リスクの大きさを評価して、その評価結果に基づいて、リスクにどう対応するかを決めましょうということです。つまり、リスクアセスメントをしてみ、リスクが大きく、会社にとって被害がありそうだと考えれば何か対策を講じることになります。一方、リスクが小さく、受容可能と判断すれば、そのまま何もしないということもあり得ます。
独立かつ専門的な立場とは、監査される会社または部署とは独立した第三者の監査人に監査をお願いしましょうということです。つまり、自社の従業員に監査をしろと命じたとしても、結局、その従業員は身内には厳しい指摘はできなにので、馴れ合いになりませんか?といったことです。また、監査人は、システムの専門的な知識と実務経験が要求れるということです。
保証とは、監査の主題に関する内容に、監査人が信頼を与え、組織外の利害関係者の信頼に応えるために実施されます。一方、助言とは、その言葉のとおり、アドバイスを実施して会社を良くすることです。

システム監査の評価指標

システム監査の評価指標については、主に次の内容があります。

  • 信頼性
    情報システムの品質、障害の発生、障害の影響範囲の度合い、復旧、回復のしやすさと言えます。
  • 安全性
    情報システムの自然災害による耐久性、不正アクセス・破壊行為から保護できる度合いと言えます。
  • 効率性
    情報システムの資源の活用度、費用対効果による度合いと言えます。
  • 有効性
    会社や組織が情報システムに期待する目的の達成度と言えます。
  • 戦略性
    会社や組織が競争に打ち勝っていくために、情報戦略や情報システムが貢献できる度合いと言えます。
  • 準拠性
    情報システムが、法令、契約、内部規定等のルールに準拠する度合いと言えます。

システム監査の実施手順概略

システム監査実施基準では、次の手順でシステム監査を実施することを求めています。

なお、今日の情報システムは、企業経営にとって重要な役割を果たしてることを鑑みて、システム監査の実施に際してシステム監査人は、システム監査の有用性、計画性、指導性に配慮することが求められています。

● 関連リンク