「ここでいい」を「ここがいい」へ。発注先探しなら比較ビズで

システム監査を行う目的とは?監査の流れ・メリット・IT監査との違いについても解説!

最終更新日:2022年08月05日
システム監査を行う目的とは?監査の流れ・メリット・IT監査との違いについても解説!
この記事で解決できるお悩み
  • システム監査の目的
  • システム監査の実施によるメリット
  • IT監査との違い

システム監査は、自社で導入している情報システムの効率性・安全性・信頼性を客観的に評価する監査です。「情報システムは正常に機能しているか」、「情報漏洩のリスクはないか」などについて評価し、課題の可視化や改善案を提示します。

ただし、システム監査に携わった経験に乏しい場合「何のために監査を行うのか」、「IT監査とどう違うのか」、内容を詳しく知らない方も多いでしょう。

この記事では、システム監査の目的・メリット・IT監査との違いなどについて解説します。

システム監査とは?

システム監査は業務の中核を担う基幹システムなど、情報システムの効率性・信頼性・安全性を客観的な視点に基づき評価するための監査です。

「業務効率化に役立っているか」、「セキュリティ対策は万全か」、「企業運営に活用できるか」など、情報システムが社内外のステークホルダーから信頼を獲得し、経営に役立っているかを監査します。

例えば、システム内で部門同士の連携が取れていない場合、ユーザーは必要な情報を抽出するために多くの時間が必要です。

顧客からの急な発注依頼が入ったときにも確認作業が多く、スムーズに対応できません。誤発注や在庫過多のリスクも大きくなります。

さらに、不正アクセス・マルウェア感染・ランサムウェアなど、サイバー攻撃への対策が不十分な場合、情報漏洩のリスクが高まります。

取引先の情報が流出した場合は社会的信用を失い、今後の経営が厳しい状況に追い込まれるため、自社のセキュリティ対策が不十分な場合は早急な対策が必要です。

近年はターゲットとなる大企業を直接狙わず、セキュリティレベルが低い中小企業を狙ったサプライチェーン攻撃も増えており、中小企業も取引先を含めセキュリティ対策の強化を考えないといけない状況です。

システム監査によって情報システムの運用方法が間違っていないかを中立的な立場で評価し、課題が見つかれば改善案を提示します。企業経営に大きく影響を与えるリスクを可視化することで、利益損失・社会的信用の失墜・ブランド力低下を防ぎます。

システム監査を行うメリットとは?

ランニングコスト削減・顧客満足度向上・BCP対策強化など、多くのメリットが得られます。コストパフォーマンスが低いシステムを可視化し、システムの再構築・新開発につなげられるからです。

システム選定の前に必要な機能の絞り込みを行うと、自社にとって必要な機能だけを搭載したシステムの選択・開発を実現でき、無駄な費用の発生を防げます。

また、サイバー攻撃や災害に被害があった場合でもバックアップデータが取れていると、最短での業務復旧が可能です。取引先へ安心感を与え、リピート率や顧客単価向上にもつなげられます。

システム監査実施によるメリット

メリット 期待される内容
コストカット ・コストパフォーマンスが悪いシステムの可視化
・無駄な機能を明確化し、システムの再構築・開発作業に活用
・自社に必要な機能だけを搭載しているシステムを選定し、無駄な費用の発生を回避
顧客満足度向上 ・メンテナンス頻度増加に伴うシステム障害のリスク最小化
・商品やサービスの供給停止の機会を最小化し、スムーズな取引を実現
・トラブルが起きた場合もすぐに復旧が望めるため取引先へ安心感を付与
BCP対策強化 ・サイバー攻撃や内部漏洩に気を配った強力なセキュリティ対策を構築
・自社に必要なセキュリティツールに関する助言を獲得
・サイバー攻撃や自然災害に伴う被害から最短での復旧を実現
システムライフサイクルの最適化 ・システム開発に関する進捗状況を可視化
・開発プロジェクトの妥当性に関する客観的な評価を獲得
・遅延が発生している場合は、遅延原因や課題を明確化

システム監査のテーマと監査対象を事例を交えて紹介

自社の情報システムに関する様々なリスクをコントロールし、不利益を最小限に抑えることもシステム監査はの重要な目的の一つです。利益損失を抑えるためには、様々な点に気を配らないといけません。

以下にシステム監査を行う上でのテーマ事例をまとめました。

  • 個人情報の保護体制
  • 情報システムのコストパフォーマンスや目的整合性
  • 情報システムの効率性
  • 情報システムの可用性や信頼性
  • 情報セキュリティの運用や管理体制

上記の例から自社にとって最適な内容を選択してください。システム監査は実施時期を自由に設定できるため、1年の間に複数のテーマを実施できます。

テーマが決まった後は「業務内容・該当システム・該当部署」など、システム監査の対象範囲を決定します。以下に事例をまとめたので、参考にご活用ください。

監査対象の事例

分類 内容
業務 ・セキュリティ対策
・トラブル時の復旧体制
・システムのライフサイクル(企画→開発→運用→保守)
システム ・個人情報の扱い
・セキュリティ要件
・機能不全に陥った場合のバックアップ体制
役割 ・システム開発
・メンテナンス
・外注先
場所 ・開発拠点
・運用拠点
・データセンター
モノ ・モバイル端末各種
・サーバー
・ルーター

システム監査の流れ

システム監査を行う場合は以下の流れに沿って進めてください。注意点としては、報告書の提出=ゴールではありません。システム監査によって浮かび上がってきた課題を改善し、続けていくことがゴールです。

  • 監査の範囲とテーマ決め

    社員の個人情報保護に関する扱いや情報システムの可用性など、上記で挙げた例を参考に実施内容を決めてください。

  • 予備調査

    社員へシステム監査を行う目的の伝達に加え、本調査で必要な書類やチェックリストの作成を行います。本番前の2〜3か月前から予備調査を始めてください。

  • 本調査

    予備調査で作成した書類内容を基に、システムの機能性や稼働状況の確認、社員との面談を行います。調査終了後は実施内容を証拠として保管してください。

  • 報告書作成

    総務部長・取締役・社長など、部門責任者や経営層に公表するための報告書を作成します。実施したテーマ・評価・課題など、実施内容や結果がわかる報告書を作成してください。

  • 報告書提出前の意見交換

    作成した報告書の内容に認識のズレが無いかを、システム監査に携わった各部門の責任者と話し合います。多くの方が納得できるよう様々な意見を採り入れつつ、報告書を仕上げていきます。

  • 報告とフォロー

    報告書が完成したら、内容を経営層へ説明します。報告が終わった後はシステム監査で見つかった課題を解決できるよう、改善の進捗状況をチェックしてください。

監査役は社内の人間or監査法人への依頼どちらを選択すべき?

基本的には監査法人への依頼を推奨します。監査法人を利用するとシステムの有効性や目的整合性など、自社にとって有益な意見を多数得られるからです。

自社が定めたルールの運用状況・システムライフサイクルの進捗状況・セキュリティ対策の有効性など、様々な項目に関して客観的な視点に基づいた評価が得られるからです。

豊富な知識やノウハウを持つ監査法人に監査役を依頼し、自社では発見できなかった課題の把握に努められます。一方、社内の人間を監査役に起用しても問題ありません。システム監査は法律によって規定されているわけでなく、内容や目的を自由に設定できるからです。

監査役が特別な資格や知識を持っていなくても務められます。ただし、今後の企業運営を考えると、プロの視点から改善案やアドバイスを受けた方がプラスになります。

自社でシステム監査を行える体制を確立するためには、社員がスキルアップに励みやすい環境を整備することが重要です。

知名度や信頼性が高い、システム監査技術者・公認情報システム監査人(CISA)・情報システム監査専門内部監査士の資格支援をサポートし、情報システムを多角的に評価できる人材の育成に努めてください。

監査法人がシステム監査時に提供するサービス

種類 内容
管理ルールの運用状況 ・現在施行されているルールの妥当性
・自社で定めた規格・規定を基に運用しているか
・委託先に情報システムの運用を任せている場合、自社のルールを遵守しているか
システム開発の進捗状況 ・品質・コスト・納期を満たしているか
システム障害が起きた場合の体制 ・インフラやソフトウェアにトラブルが起きた場合、対応策の決定は関係者間の意見によって決められているか
・意見交換によって決まった対応策が確実に反映されているか
IT戦略の内容・プロセス ・業務プロセスとITシステムの整合性が取れているか
・企業戦略の内容を反映したIT戦略が立案されているかどうか
・ヒト、モノ、カネの資源配分は適切か
・コストパフォーマンスの測定方法は適切か
セキュリティ対策 ・セキュリティツールが正常に機能しているかどうか
・セキュリティポリシーに不足は無いか
・管理項目に関して正常な手続きが行われているか
アプリケーションの有効性 ・業務に必要な機能が備わっているか
・稼働中のアプリケーションが有効に機能しているか
データの完全性評価 ・システム上に保存されたデータは最新で改ざんされていないか
・データの整合性は取れているか

システム監査とIT監査の違いとは

システム監査は情報システム上の稼働状況やリスクを可視化する監査で、IT監査は財務状況の正確性を確認するための監査です。IT監査は会計審査の一種に含まれ、会計システムの入力内容と財務諸表の記載内容が一致しているかを確認し、株主に向け正確な情報を発信することが目的です。

また、システム監査の場合は自社の経営層を監査人として立てられる一方、IT監査の場合は独立した第三者機関である監査法人に監査を依頼しないといけません。

IT監査は法定監査の一種だからです。会社法に基づいて財務状況の正確性を確認するため、システム監査よりも自社が自由に関与できる範囲は狭くなります。

システム監査とIT監査の違いを表にまとめましたので、ご活用ください。

システム監査とIT監査の違い

  システム監査 IT監査
目的 ・企業独自の判断で行う監査のため、自由に設定可能
・事例:セキュリティ対策の評価と改善点の確認
・事例:業務効率化に向けての課題調査
・事例:サイバー攻撃の被害に遭った後の体制監査
・会計監査の一種で、会社法の内容に基づいて監査を実施
・自由度は低い
実施時期 ・特に指定は無く、業務量に応じて日程調整が可能 ・1年に3〜4回
・企業規模が大きくなる程、監査回数が増大
監査人 ・社内の人間を起用可能
・外部の専門家への依頼も可能
・社内の人間の起用は不可
・監査法人の起用が絶対条件

まとめ

今回の記事では以下4点について解説してきました。

  • システム監査の内容
  • システム監査を行うメリット
  • システム監査の流れ
  • IT監査との違い

システム監査は自社の情報システムが正常に機能し、業務効率化や企業運営に寄与しているかを確かめるための監査です。システムの信頼性・安全性・効率性がチェックポイントです。

監査内容は情報システムのコストパフォーマンス・目的合致性・可用性など、システムの稼働状況や費用対効果を測るだけでなく、セキュリティ対策や個人情報保護体制が正常に機能しているかも実施目的に含まれます。

システム監査の実施によって、コストカット・顧客満足度向上・BCP対策強化など、多くのメリットを得られます。また、システム監査は企業の意向で自由に内容や目的を設定できるため、自社の状況に応じて実行テーマを選択してください。

一方、年に複数回行われるIT監査は財務状況の正確性を確認するために行う監査です。会社法の内容に基づいて監査を行うため、自社が関与できる余地は限定されています。システム監査と混同しないよう、注意してください。

Webシステム開発を一括見積もりで発注先を楽に探す
Webシステム開発を一括見積もりで発注先を楽に探す
比較ビズへ掲載しませんか?

一括見積もりで発注先を探す