「システム監査」について、その本質や具体的な内容を知っている情報マネージャは少ない。本連載ではシステム監査の目的やポイント、重要性を説明していく。第1回は「システム監査」の概要について。
皆さんは「システム監査」という言葉を耳にしたことがありますか? 「会計監査」は多くの方がご存じだと思います。「業務監査」という言葉も身近でしょう。しかし「システム監査」となると、ご存じの方、本質を理解している方はまだまだ少ないのが実情です。
そこで今回から5回にわたって「システム監査」についてお話ししていきます。ぜひ、この5回の話を通して「システム監査」の重要性を理解し、皆さんの会社でも「システム監査」の導入・実施を検討していただければ幸いです。今回は「システム監査」とはどのようなものなのか、概略的に述べていきます。
システム監査の話をする前に、まず「監査」について認識を整理しておきましょう。システム監査も監査の1形態だからです。
監査は「組織体の活動や記録を独立の立場で検査・評価し、必要であれば改善を勧告すること」と定義できます。この概念は普遍的なものです。会計監査も業務監査も、監査役監査もこの概念に基づいたものです。
監査の最大のポイントは「独立性」です。実際に業務活動を行い活動記録を残している業務部門から、分離・独立した組織が行う検査・評価だということです。会計監査はお金の処理・流れについての監査であり、最も独立性が要求されるので、社外の公認会計士または監査法人が行うことが法律で規定されています。また監査役監査は、株主総会で選任された独立的立場の監査役が行うことが、これも法律で定められています。業務監査は会社の中の独立した監査部門で行うことが通常であり、正しい姿です。これらについては、会社組織でない組織体でも考え方は同じです。
整理すると、監査は独立性の確保された組織(場合によって社外組織)が、監査対象部門の業務活動の状況や業務活動を行った結果としての記録の内容を調査し、適切かどうかを評価し、問題があれば指摘し改善を勧める活動ということになります。
システム監査も監査の1つの形態です。それぞれの監査の対象は次のように違っています(表1)。監査対象組織の情報システム環境について監査を行うものが、システム監査です。
監査の種類 | 監査の対象 |
---|---|
監査役監査 | 会社の取締役の業務執行について監査する |
会計監査 | 会社の会計処理の方法、およびその結果として作成された財務諸表の適切性について監査する |
業務監査 | 会社の中で行われている業務活動が、組織体の方針・計画・手続きに準拠しているか、効率的かつ効果的かについて監査する |
システム監査 | 会社の情報システム環境の信頼性、安全性、有効性について監査する |
表1 監査の種類と対象 |
また経済産業省がシステム監査のバイブルともいうべき「システム監査基準」を公表しており、その中でシステム監査を次のように定義しています(表2)。
監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動
この定義で3つの点に注目してほしいと思います。1つ目は独立性、これは先にお話したとおり監査の基本です。
2つ目は「総合的な点検・評価」です。組織体の情報システム環境について、「信頼性」「安全性」「有効性」といった観点から総合的に調査し評価するということです。信頼性だけ、安全性だけのシステム監査では十分ではないということです。信頼性、安全性、有効性とはどういうことなのか、それらについてどのようにして評価するのかについては、次回以降、詳しくお話していきます。
システム監査基準では、信頼性、安全性と並んで「効率性」の評価を述べていますが、今回は、効率性ではなく「有効性」という概念を使います。効率性と有効性の違いについてはいろいろな議論がありますが、この点については第4回で詳しくお話しします。
システム監査の定義に戻って、3つ目の注目点は「フォローアップ」です。調査結果に基づいた問題点の指摘にとどまらず、それをフォローアップするということをいっています。問題点の改善にシステム監査が力を貸すということです。“監査”の概念はここまでは踏み込んでいません。業務監査では改善の実現を目指すという目的はありますが、会計監査は問題があるかないか、あるとすればどのような問題かを明らかにすることを目的にしています。システム監査は業務監査以上に問題の改善に力点を置いた活動であり、このことはシステム監査の大きな特徴の1つです。システム監査の最終の目的は会社の情報システム環境を改善し最適な姿に近づけることなのです。
システム監査は情報システム環境についての監査ですので、情報システムをまったく使っていない組織体には必要ありません。というより、監査対象がありませんから監査をすることができません。
会社の仕事の中でコンピュータが使われ始めたのは1950年代です。最初にコンピュータを使用したのは、会計処理(お金の計算と管理)でした。そこで、会計監査の中でお金の処理・流れを調査するために、コンピュータを使ってどのように会計処理が行われているのかを調査する必要性が発生しました。これが、システム監査の原点です。
その後のコンピュータ、情報システムの技術的発展と、それに伴うビジネス環境における活用の急速な広まりは、皆さんもご存じのとおりです。情報システムがビジネス活動の中でどんどん使われるようになり、業務監査を行う一方で、情報システムについても監査しなければならない状況になりました。こうしてシステム監査が普及してきました。システム監査の歴史は情報技術発展の歴史、情報化の歴史といえます。
いまでは、情報システムをまったく使わない業務活動は考えられないでしょう。経営の意思決定や重要データの管理といった会社の中枢機能にも、情報システムが使われるようになっています。そうなると、情報システム環境の信頼性、安全性、有効性が損なわれた場合、業務活動に大きな影響が出てしまいます。さらに、顧客や取引先に迷惑を掛けるケースも発生します。しかも、情報技術の変化の激しさが、そうした状況を発生しやすくしています。
そうした状況を発生させない、発生した場合に迅速かつ確実に対応するために、情報システム環境の整備状況を、適時、調査・評価することが重要になります。それがシステム監査なのです(図3)。
さてここで、監査にかかわるキーワードで、システム監査の特徴を整理してみましょう。
1. 法的規制のない監査(任意監査)
監査役監査・会計監査は、先にも述べたとおり、法律によって義務付けられた監査です。法律の規定に該当する会社は、選択の余地なく監査を行わなければなりません。
それに対して、業務監査は法的に規定されたものではありません。システム監査も同じです。経営者がその必要性を認識して行うことを決めるわけです。これを「任意監査」と呼びます。
そのため、その実施は経営者の意思決定次第です。このシリーズによって、経営者の方にシステム監査の必要性を認識していただければと思っています。
2. 内部監査と外部監査
会計監査は社外の公認会計士や監査法人によって行われます。これを「外部監査」といいます。外部監査では、会社は「監査を受ける」立場になります。一方、業務監査は原則として、会社の中の独立組織が行います。こちらは「内部監査」といいます。
システム監査は、実は両方のケースがあります。内部監査として行うことが大部分ですが、ときには社外のシステム監査専門企業に依頼し、外部監査としてシステム監査を受けることがあります。代表的な例としては、金融庁が金融検査マニュアルの中で、金融機関に対して定期的に外部システム監査を受けるようにという指示を出しています。
外部監査の意義はどこにあるのかというと、独立性が高いことも挙げられますが、監査報告が社外の利害関係者(顧客や株主、自治体であれば住民など)に会社の状況を伝えるという目的を持っている点も挙げられます。
3. コンサルティングとシステム監査
コンサルティングと監査の違いがよく話題になります。一番分かりやすい理解は、コンサルティングは対象部門と一緒になって分析・調査を行い、結果および提案を対象部門の責任者に報告しますが、システム監査人は対象部門を調査した結果を、監査依頼者(多くは経営者)に報告するという違いです(図4)。
しかし、最近では、システム監査とコンサルティングの垣根を低くしようという考え方が出てきました。要は、システム監査の目的は情報システム環境を良くすることなので、「監査だ、コンサルティングだ」という区別は必要はないだろうということです。アメリカに本部のある内部監査人協会では最近、システム監査と同じ任意監査である内部監査の定義を次のように変更しました(表5)。
内部監査は、独立した客観性のある保証とコンサルティングに関する活動であり、組織の業務の付加価値を高め、また改善するものである。内部監査は、システマティックで規律のあるアプローチでリスクマネジメント、コントロールおよびガバナンスのプロセスの有効性を評価・改善することにより、組織が目的を達成するのを支援する
この定義では、内部監査を独立性のある従来の監査と、対象部門と一緒になって改善を目指すコンサルティングを融合させた機能として位置付けています。両方の機能を混同させることは問題がありますが、その機能の違いを理解したうえで、システム監査であれば最終目的である情報システム環境の最適化を目指すために、両機能を融合させることは自然な流れといえます。システム監査人が監査に求められる独立性を維持しつつ、監査対象部門と一緒になって改善を目指すという姿勢をもつことが重要になります。
今回はシリーズの第1回ということで、システム監査の概要についてお話ししました。システム監査というと堅苦しい、難しいという印象を受ける方が多いと思いますが、会社の情報システム環境を良くするための1つの手段と考えていただければいいでしょう。
では、その手段はどのような仕組みになっていて、どのように実施するのか、実施することによってどのような効果が得られるのか──次回はそれらの点に焦点を当ててお話しします、
この記事に対するご意見をお寄せください managemail@atmarkit.co.jp
小野 修一(おの しゅういち)
有限会社ビジネス情報コンサルティング 代表取締役
早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業
▼専門分野
業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査
▼資格
公認システム監査人、中小企業診断士、ITコーディネータ、技術士(情報工学)、CISA(公認情報システム監査人)、ISMS主任審査員
▼所属
日本システム監査人協会、システム監査学会、中小企業診断協会、ITコーディネータ協会、日本技術士会、経営情報学会、情報システムコントロール協会
▼著書
『情報システム監査実践マニュアル』(共著、工業調査会)
『情報化投資効果を生み出す80のポイント』(工業調査会)
『成功するシステム導入の進め方』(日本実業出版社)
『ITソリューション 戦略的情報化に向けて』(共著、同友館)
『図解でわかる部門の仕事 情報システム部』
『システムコンサルタントになる本』(共著、日本能率協会マネジメントセンター)ほか多数
Copyright © ITmedia, Inc. All Rights Reserved.