「監査」というと大変そうだと思われがちだ。また会計監査のような“義務”として監査をイメージしていると、その真の効果に気付きにくいかもしれない。今回はシステム監査の進め方とその効果について解説する。
第1回では、システム監査の概要をお話ししました。今回から、システム監査の内容について、順次お話ししていきます。第2回は、システム監査の進め方とシステム監査を実施することによって得られる効果について、お話しします。
システム監査は、大きく分けて「計画」「実施」「報告」の3段階、さらにステップ分けすれば8つのステップで進めるのが一般的です(図1)。
▼STEP1 - 事前調査
経営トップの意向、会社の経営および情報化の課題などを調査し、監査の目的、対象、テーマを明らかにします。例えば、「情報システム部門および製造部門を対象に、生産管理システムの信頼性と安全性を監査する」ことを決定します。
▼STEP2 - 監査計画策定
事前調査で明らかにした監査目的、対象、テーマに対して、監査の実施および報告の実行計画である「監査個別計画」を策定します。
実は、システム監査計画には、個別計画以外に中長期計画、基本計画(年度計画)があります(図2)。
「監査中長期計画」は、3年程度を視野に入れた計画です。会社の中期経営計画、中期情報化計画と整合性を取って計画します。中長期計画がしっかり策定されていれば、STEP1の事前調査は必要ありません。中長期計画には、事前調査で明らかにすべきことが盛り込まれているからです。「監査基本計画」は、中長期計画を年度ごとの計画に展開したものです。そして、個別計画では、基本計画で計画した実施時期に合わせて、個々の監査の実施体制、「監査項目」(何を監査するか)、「監査手続き」(どんな方法で監査するか)、監査スケジュールを決めます。
このときに重要になるのが「監査基準」です。監査がほかの調査と明確に違うことは、合理的に設定された基準に照らして、監査対象の実態が問題ないか、改善すべき点があるか、その程度はどのくらいかを評価する点です。
最終的には自社としての監査基準を設定する必要がありますが、何もないところから監査基準を設定することは困難です。日本の国内、さらに海外も含め、いくつかの監査基準が公表されていますが、最も一般的なものが、経済産業省が発表している「システム監査基準」です(図3)。
「システム監査基準」をベースに、自社の実態・ニーズを加味して、自社としての監査基準を設定します。そして、監査基準に照らして評価を行うために、何をどのようにして調査するかという監査項目・監査手続きを設定します。
▼STEP3 - 予備調査
システム監査の調査は、予備調査と本調査の2段階に分けて行います。これは、調査の効率性・有効性が理由です。調査対象が相当に広範囲になりますので、すべての監査項目について詳細な調査を行っていては、膨大な時間がかかりますし、本当に時間をかけて調査しなければならないことが、不十分な調査に終わってしまうことも考えられます。これでは、有効な監査報告につながりません。そこで、「予備調査」では、管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査します。その結果によって、本調査で時間をかけて調査する項目、確認すればよい項目の選別を行い、必要であれば監査個別計画を修正します。
▼STEP4 - 本調査
「本調査」では、監査対象の実態を、監査個別計画で設定した監査項目・監査手続きに従って調査を行います。監査手続きとしては、ヒアリング、現場調査、資料(文書や記録)の入手と内容確認、質問票などがよく使われます。重要なことは「監査証拠」の確保です。最終的な監査報告の内容は、すべて明瞭な監査証拠によって裏付けられていなければなりません。入手した文書や記録、ヒアリング結果をまとめて確認を受けたもの、現場の写真などが監査証拠になります。見聞きしただけの情報では、監査証拠にはなりません。本調査は、効率的に有効な監査証拠を集める作業です。
▼STEP5 - 監査報告書作成
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書」の原案を作成します。監査報告書には、監査の実施状況、監査個別計画で設定した監査テーマについての「評価」「改善事項」(改善が必要な事項)とそれに対する「改善案」を記述します。
監査報告書の記述に当たっては、次の点に注意が必要です(表4)。
▼STEP6 - 意見交換会
監査報告書の原案を基に、「被監査部門」(監査を受けた部門)の代表者と意見交換を行います。最大の目的は、監査報告書の記述内容に事実誤認がないかどうかの確認です。システム監査人は慎重に調査を行いますが、人間ですので誤認はあり得ます。それを、意見交換会で取り除きます。さらに、監査報告書の内容について、被監査部門の意見を聞きます。こうしたことは、会計監査では行いません。業務監査でもそれほど一般的ではありません。システム監査人と被監査部門が一緒になって情報システム環境を良くしていくことを目的とするシステム監査の特徴的なステップです。
▼STEP7 - 監査報告会
意見交換会での確認結果や意見を、システム監査人が判断し、監査報告書の最終版を作成します。そして、経営トップに監査報告を行います。システム監査基準では、監査報告は組織体の長に対して行うことになっています。このことは、投資を伴う改善事項に対する改善実施の意思決定を行うのが経営トップであることを考えれば、当然のことといえます。
▼STEP8 - フォローアップ
意見交換会と並んで、システム監査の特徴的なステップです。システム監査は監査報告で終わりではありません。改善が実施されて初めて、システム監査の目的が達成されるのです。そのためには、システム監査人として、改善の実施状況をモニタリングするとともに、改善の実現をシステム監査人の立場で支援する取り組みが重要です。
上で説明してきた流れで進められるシステム監査ですが、実際に、どれくらい実施されているのでしょうか? (財)日本情報処理開発協会が、2年ごとにユーザー企業にシステム監査の実施についてのアンケート調査を行っています。それによりますと、毎回少しずつ割合は増加してきていますが、何らかの形で年1回でもシステム監査を行っている企業は、アンケート回答企業の約30%という状況です。この数字は決して満足できるものではありません。
同じアンケート調査で、システム監査を実施していない企業に対して、その理由を聞いています。要員がいない、資金がない、実施方法が分からないという回答が多いのですが、システム監査を実施するとどのような効果があるのかが分からない、という回答がかなり多くあります。
システム監査の効果はどのような点に表れるのでしょうか?
システム監査の効果を経営者、情報システム部門、情報システムを利用する業務部門に分けて整理してみます(図5)。会社の活動は毎日のことですので、それぞれの現場の方たちにとっては、当たり前になっています。毎日行っていることが一番よいやり方なのか、信頼性・安全性が確保されているのかといったことには、あまり目を向けていないのが現実です。システム監査に限らず、監査の目的はそうしたことについて、客観的な評価を提供することにあります。
経営者や現場の方たちに「気付き」を与えるのです。そして、システム監査の取り組みが会社の中に制度化していくことで、新しい企業文化が生まれてきます。
いまや、企業活動と情報システムは一体です。その意味では、システム監査を単独で行うのではなく、業務監査と一緒に行うことも有効です。筆者がシステム監査をご一緒した製造業のお客さまでは、業務監査とシステム監査で監査チームを作って監査を行いました。業務部門の方たちにとっては、業務活動の中での情報システムの在り方について一緒に考えられるということで、納得性の高い活動になっていました。
なお、情報システムの構築・各種サービスを事業としているITベンダにとっては、システム監査を行っていることが、提供する製品やサービスの品質を高め、お客さまに安心感を与えることになります。お客さまはITベンダのシステム監査に対する取り組みに注目するようになってきています。ITベンダにとっては、システム監査がビジネスとしての取り組みになります。
この記事に対するご意見をお寄せください managemail@atmarkit.co.jp
小野 修一(おの しゅういち)
有限会社ビジネス情報コンサルティング 代表取締役
早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業
▼専門分野
業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査
▼資格
公認システム監査人、中小企業診断士、ITコーディネータ、技術士(情報工学)、CISA(公認情報システム監査人)、ISMS主任審査員
▼所属
日本システム監査人協会、システム監査学会、中小企業診断協会、ITコーディネータ協会、日本技術士会、経営情報学会、情報システムコントロール協会
▼著書
『情報システム監査実践マニュアル』(共著、工業調査会)
『情報化投資効果を生み出す80のポイント』(工業調査会)
『成功するシステム導入の進め方』(日本実業出版社)
『ITソリューション 戦略的情報化に向けて』(共著、同友館)
『図解でわかる部門の仕事 情報システム部』
『システムコンサルタントになる本』(共著、日本能率協会マネジメントセンター)ほか多数
Copyright © ITmedia, Inc. All Rights Reserved.