企業の利益目標の達成に貢献する、システム監査とは?
経済産業省の「システム監査基準」によれば、システム監査の目的は「組織体の情報システム
にまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用さ
れているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、
保証を与えあるいは助言を行ない、もってITガバナンスの実現に寄与することにある」とされ
ています。
簡潔に言えば、企業のIT活用を監視・規律・仕組みの確立状況を点検・評価し、必要な改善の
提言を行なうことが、システム監査の目的となります。
ITガバナンスとは、組織体の目標達成にあたりITを活用する仕組みやプロセスのことです。
例えば、顧客管理システムを構築することで、顧客サービスを向上させたり、顧客満足度を高
めてた結果として売上増加につなげ、最終的な目的は、企業の利益目標の達成に貢献すること
になります。
このように企業が利益目標の達成に貢献するような情報システムを構築するためには、経営戦
略やIT戦略に適合したシステム化を目的にすること、ユーザニーズを反映したシステム化を要
件にすること、費用対効果を考えてシステム構築を行なうこと、システム運用体制を整備する
こと、ユーザ教育やヘルプデスクなどのサポート体制を整備することなどが必要になります。
このような仕組みやプロセスがITガバナンスです。
情報セキュリティ監査とシステム監査相違とは?
目標達成に貢献させる仕組みやプロセスでは、IT企業などの組織は当然のことながら情報セ
キュリティを確保することは欠かすことができません。
そのため、システム監査の範囲には、情報セキュリティ監査で行なわれる内容が含まれていま
す。
情報セキュリティ監査では、3つの要素が中心で機密性、可用性、インテグリティとなります
が、ITガバナンスについて監査するシステム監査では、戦略性、有効性、効率性、コンプライ
アンスというように視点が広範囲に及び、そして、情報セキュリティの3要素が加わります。
システム監査を情報セキュリティの確立に活用するには?
経済産業省の「情報セキュリティ監査基準」では、情報セキュリティ監査の目的は「情報セ
キュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに
基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立かつ専門的な
立場から検証又は評価して、もって保証を与えあるいは助言を行うこと」と定義されていま
す。
これは、情報セキュリティに関係するリスクだけを対象にしています。
しかし、システム監査は、前述のように、情報セキュリティの3要素とともに幅広い視点から
監査を行うため、システム監査を実施することによって、情報セキュリティについても点検・
評価することができるため効率的かつ効果的です。
なぜなら、情報システムは、システム化の目的の達成状況、ユーザの操作性、費用対効果など
幅広い視点から点検・評価する必要があるため、情報セキュリティだけが確保されていればよ
いというわけではありません。
この考え方は、たとえるならば、人間ドックの健康診断に似ています。
体のどこに問題があるのかを把握するには、レントケン検査、身長体重の検査、血液検査など
をバラバラに実施したのでは、把握することは難しくなるため、人間ドックが普及しているの
です。
現在では、脳ドックなど様々なオプションがあり、幅広い視点から点検・評価して健康状態を
把握することが可能になっています。
したがって、情報セキュリティをきっかけとして、ITガバナンスヘと範囲を拡大して、情報シ
ステムの健全性を高めることが企業に有益となるのです。
まとめ
監査は「組織体の活動や記録を独立の立場で検査・評価し、必要であれば改善を勧告するこ
と」と定義できます。
このことは普遍的で、他の会計監査も業務監査も同様の概念に基づいたものです。
システム監査で注目すべきポイントは3つあります。
監査の最大の1つ目のポイントは「独立性」で、実際に業務活動を行い活動記録を残している
業務部門から、分離・独立した組織が行う検査・評価だということです。
2つ目は「総合的な点検・評価」です。
「信頼性」「安全性」「有効性」といった観点から組織の情報システム環境について総合的に
調査し評価するということです。
信頼性だけ、安全性だけのシステム監査では十分ではないということです。
3つ目の注目点は「フォローアップ」です。
調査結果に基づいた問題点の指摘だけにとどまらず、それをフォローアップするということで
す。
システム監査は問題の改善に力点を置いた活動であり、このことはシステム監査の大きな特徴
の1つであり、システム監査の最終目的は会社の情報システム環境を改善し最適なものにする
ことなのです。