システム監査のポイントを押さえて基本情報技術者試験に合格しよう！

システムは常に不正利用のリスクにさらされています。現代ではシステムと業務は一体化しており、特に金銭に関する業務を行うためのシステムは、不正が発生するリスクが高いといえるでしょう。

システムに関する不正を避けるために、定期的にシステム監査を実施し、システムが正しく利用されているか、不正のリスクがないかを確認する必要があります。

この記事では、システム監査に関するポイントについて解説します。

システム監査とは

システム監査とは、第三者であるシステム監査人が、企業で導入・利用するシステムの評価を行うことを意味します。システムが不正アクセスを受けたり、内部的な犯行で不正利用されたりするリスクを低減させるために、企業はシステム監査を実施します。

以下では、システム監査の概要について解説します。

システム監査の目的

システムは導入しただけでは価値を発揮しません。導入後、継続的に安定利用することで初めて価値を生みます。

しかしながら、システムは継続利用を行う中で、サイバー攻撃による被害や情報流出などのリスクにさらされます。安定的なシステムの利用を実現するために、システム監査にてシステムが様々なリスクに対して適切に対応できているかをチェックします。

システム監査では、システムが正しく整備・運用されていることを、第三者の視点から評価します。一般的には、システム監査は監査法人など信頼がおける団体が実施することが多いです。このような団体のことを、システム監査人といいます。

システム監査人は、システムの監査を行い、リスクや不備などをチェックします。システムに対して指摘事項があれば、企業はシステムの運用見直しやシステムの改修などを実施し、システムを改善します。

システム監査基準・システム管理基準

システム監査は、経済産業省が作成しているシステム監査基準とシステム管理基準に沿って実施されます。システム監査基準は、システム監査人が行うべき監査手順や内容を定めた文章です。

また、システム監査人としての適格性の条件や、行動規範など、システム監査人が持つべき倫理観についても定められています。

一方で、システム管理基準はシステム監査人がシステム監査を行う際の判断基準について定めたものです。システム監査基準と比較して、より実践的な内容が記されており、企画業務や開発業務など、システムのライフサイクルに応じて行うべき対応や、妥当な判断基準について示されています。

システム監査人の役割

システム監査人は、独立した立場で客観的にシステムの監査を行います。システム監査人は、独立性を保つために外観上の独立性と精神上の独立性を守る必要があります。

外観上の独立とは、システム監査を客観的に行うため監査対象から独立していることを指します。具体的には、ある会社のシステムを監査する際には、その企業の利害関係者であってはいけません。システム監査は、監査対象とは無関係の人間が行う必要があります。

また、精神上の独立とは、システム監査の実施に当たる心構えを示したものです。システム監査人は、システム監査の実施に当たり、偏向的な見方をせず、常に公正かつ客観的に監査判断を行う必要があります。

システム監査の流れ

システム監査は、監査計画の作成、監査の実施、結果の報告というステップで実施されます。以下では、各ステップでどのようなことを実施するかについて解説します。

監査計画の作成

システム監査の第一段階として、監査計画を作成します。監査計画とは、監査対象とする業務・システムを選定し、実施体制や実施スケジュールなどを整理することを意味します。

可能であれば、すべての業務・システムについて監査を行うべきですが、予算やスケジュールの関係から難しい場合は、特にリスクの高いシステムを対象として監査を実施します。例えば、企業の財務会計システムや販売管理システムなど、金銭が関係する業務を扱うシステムについては、不正利用のリスクが高いと考えられます。

システム監査の実施

監査計画を作成したら、実際にシステム監査を行います。システム監査では、ユーザやシステム運用者、管理者等へヒアリングをしたり、文章や記録を確認したりすることで、システムに問題がないか確認します。

システム監査人は、システム監査基準・システム管理基準に従って、業務・システムに不備がないかを検証していきます。一般的に、すべての情報がドキュメント化されているとは限らないため、担当者へのヒアリング結果も踏まえつつ、システムの全体像や利用パターンについて把握します。

システム監査において発見される問題は、正しくログが取得されていない、ID管理が適切ではない、ある業務の実施可能者が一人となっており不正に気付けないなど、多岐にわたります。

システム監査の報告

すべての対象への監査が完了したら、結果を監査調書として記録し、最終的に監査報告書としてまとめます。監査報告書では、監査により発見されたシステムそのものやシステムの運用に関する指摘事項や改善勧告などについてまとめます。

システム監査の特徴として、試験のように一方的に指摘や勧告を行わないという点があげられます。監査報告書は、最終版とする前に被監査部門に対して内容の事前相談を行い、内容が妥当であるか、不当な指摘となっていないかなどを確認の上、最終版とします。

これは、システム監査がシステムの取り扱いをより良くするために行われているからで、妥当で有効な指摘とならないとシステムの改善に効果的ではないためです。

内部統制

システムの健全な運用のためには、外部からの監査だけではなく、内部統制を強めることが重要です。内部統制とは、組織内で自主的に統制を行うことを意味します。

以下では、内部統制について特にシステム面から解説します。

内部統制の概要

内部統制とは、組織運営において企業が自ら業務プロセスの明確化や実施ルールの作成、権限分離などの施策を行うことです。日本ではJ-SOX法と呼ばれる法律により、上場企業は内部統制を実施しなければならないと定められています。

また、会社に関する法律である会社法では、資本金5億円以上または負債の額が200億円以上の大企業が内部統制の実施対象として定められています。

内部統制を実施した結果は、内部統制報告書として外部公開する義務があります。企業は、内部統制を単なる社内の取り組みとしてだけではなく、株主などの社外関係者に対して報告するために取り組む必要があります。

ITガバナンス

ITガバナンスとは、企業の競争力強化のために自社のIT導入プロセスを明確化し、ルール整備および統制を行うことです。ITガバナンスは、内部統制の一部でもあります。

IT戦略の実現のためには、各IT投資が適切に管理されていることが重要です。そのためには、各ステップにおいて明確に実施ルールやマイルストーン、ゲートを定めることが大切です。

例えば、システムの企画においては、十分な採算性が見込めない場合はシステム投資の対象としないことを定めたり、リリースの前にはシステム稼働判定会議を実施し、関係者間で稼働への合意を図ることを明確化したりすることが、ITガバナンスの取り組み例となります。

まとめ

この記事では、基本情報技術者試験を受けようとされている方に向けて、システム監査についての解説を行いました。特にベンダーに勤められている方などは、システム監査にはあまりなじみがないかもしれません。

しかしながら、システム監査で求められる内容について理解することで、ユーザ側が必要としているシステムについての理解を深めることができます。基本情報技術者試験の対策としてはもちろん、実務においてもシステム監査への理解は重要です。

ぜひ、この機会にシステム監査について学んでみてください。