日本総研

MENU

コンサルティングサービス
経営コラム
経済・政策レポート
会社情報

経営コラム

クローズアップテーマ

第13回 内部監査部門がシステム監査を実施する場合 【藤田 芳夫】(2009/01/20)

2009年01月20日 藤田芳夫


1.システム監査のノウハウ不足対策は

 J-SOX対応、特に全社的なIT統制をモニタリングする目的で、システム監査に取り組んだ企業も多いと思う。しかし一般の企業では、情報システム部門以外にシステムに詳しい人材は少なく、内部監査部門は業務監査を中心に行ってきたため、システム監査のノウハウが少ないと思われる。システム監査の実施にあたっては、困難を極めたのではないだろうか。そこで今回は、システム監査のノウハウが少ない内部監査部門が、いかにシステム監査を行うかについて考察してみた。

2.システム監査に必要なノウハウは

 システム監査に関しては、経済産業省から「システム監査基準」と「システム管理基準」という2つの基準が発行されている。「システム監査基準」はシステム監査人の行為規範であり、「システム管理基準」はシステム監査人が監査上の判断の尺度として用いるべき基準となっている。システム監査の実施においては、「システム管理基準」がガイドラインとなるだろう。しかし、「システム管理基準」は全部で287項目あり、その内容も「***は****すること」といった監査上のポイント(監査項目と監査要点)が列挙してあるだけである。実際の監査に当たっては、自社の情報システムの特徴にあわせて「システム管理基準」を取捨選択し、監査手続まで具体化できるノウハウが必要となる。
 例えば、監査目的として「入力時の正確な処理を統制する機能が有効であるか確認したい」という要望がある場合を想定してみよう。監査要点は「システム管理基準」のⅣ.運用業務 3.入力管理 (4)「データの入力の誤謬防止、不正防止、機密保護等の対策は有効に機能すること」が選択されるだろう。監査手続としては、「仕様書を査読し、データの入力の誤謬防止、不正防止、機密保護等が設計されているかを確認する」(整備評価)及び「テスト環境などでエラーデータや不整合となるデータを入力して、システムチェックが有効にかかっていることを確認する」(運用評価)などが考えられる。
 このように、システム監査人には、情報システムの特徴を把握する力、監査目的を的確に捉える力、監査目的に適した監査要点を選択し監査手続まで落とし込む力、が必要である。さらに、仕様書を理解できる知識、システムの動作を理解する知識、も必要である。
 つまり、システム監査のノウハウは、大きく以下の2つが必要なのである。
(1)監査目的から監査項目・監査要点を選択して、具体的な監査手続に落とし込むことが出来る(監査準備段階のノウハウ)
(2)監査手続を実行するために必要な情報システムに関する知識がある
(監査実行段階のノウハウ)

3.ノウハウ不足をいかに補うか

 前述のノウハウを全て一人で賄うのが困難な場合は、複数名で分担してもよいだろう。内部監査部門だけで全てを賄いきれない場合は、外部に求めるか、部門内で育成するしかない。育成にはあるていど期間が必要なため、まずは外部に求める場合を考えてみよう。
 外部といっても、社外とは限らない。規模の大きな企業であれば、社内の他の部門から応援を得ることも可能だろう。ただし、監査対象システムを管理している部門に対しては、自己監査となるため応援は求められない。
社内での調達が困難な場合は、社外の専門家に応援を求める方法を検討することになる。ただし、社外の専門家を活用するとしても、その範囲は十分に検討したほうがよい。全てを任せるのではなく、自社が不足している部分についてだけ協力を求めるほうがよいだろう。
 社外の専門家の選び方も注意が必要である。少なくとも、先に述べたようなノウハウを持つ専門家であることが必須である。システム監査を実施する能力がある外部専門企業を容易に知ることができるように、経済産業省が「システム監査企業台帳」の登録・閲覧制度を実施しているので、参考となるだろう。情報セキュリティ監査の場合は、同じく経済産業省の「情報セキュリティ監査企業台帳」制度もある。
システム監査企業台帳
情報セキュリティ監査企業台帳

4.システム監査要員の育成

 では、内部監査部門がシステム監査要員を育成する場合は、どうすればいいだろうか。システム監査要員の育成には以下のような方法が考えられる。
(1)システムの知識を持つものに、監査のノウハウを得させる
(2)監査のノウハウを持つものに、システムの知識を得させる
 監査のノウハウ取得については、実際の監査(監査計画の策定、実行、評価、報告、フォローまでのPDCA全般)に立ち会うOJTが最も効果的な学習方法だ。もちろん、監査に関する基本的な学習も必要だが、これは様々なテキストが発行されているので問題は少ないだろう。
 問題は、(2)の場合である。システム監査の現場に立ち会っただけでは、十分なシステムの知識取得は望めない。システム監査要員の育成だけのために、システム部門に配属することも出来ないだろう。このような時に、意外と役に立つのが情報処理技術者試験の受験勉強である。情報処理技術者試験は平成21年より新制度となり、ベンダ側人材とユーザ側人材を一体化した試験体系となる。目標とするスキル・レベルにあわせていくつかの試験区分に分かれているので、合格のためだけでなく、体系だった学習のためにも役立つであろう。
経営コラム
経営コラム一覧
オピニオン
日本総研ニュースレター
先端技術リサーチ
カテゴリー別

業務別

産業別


YouTube

レポートに関する
お問い合わせ