内部統制報告・監査制度と同様、システム監査でもIT統制が適切に整備・運用されているかどうかを監査する。だが、同じIT統制という言葉を使っていても、内部統制報告・監査制度におけるIT統制とシステム監査におけるIT統制とでは、大きな違いがある。今回は、両者のIT統制の違いを説明しながら、経営に役立つシステム監査を考えてみたい。

システム監査とは何か

経済産業省の「システム監査基準」では、以下のように定義されている。

システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言をもってITガバナンスの実現に寄与することにある。

つまり端的に言えば、ITガバナンスの確立状況を点検評価することが、システム監査の目的だといえる。ITガバナンスについては、次回詳しく説明するが、ITを組織目標の達成のために活用する仕組みやプロセスのことだと考えればよい。

IT統制とシステム監査の関係

システム監査では、ITに関わるリスクアセスメントが適切に行われ、それに対するコントロールが有効に機能しているかどうかを評価する。それによって、ITガバナンスが適切に確立されているかどうかが評価されることになる。ここでいうコントロールとは、システム監査におけるIT統制のことであり、J-SOXで求められているIT統制よりも範囲が広い。

ここで、ITに関わるリスク(ITリスク)を考えてみよう。ITリスクには、IT戦略の誤り、システム構築の失敗、ネットワークやハードウェアの障害、オペレーションミス、プログラムのバグ、システムユーザの入力ミス、不正アクセス、ウィルスなどさまざまなものがある。また、知的財産権に関する他社や自社の権利侵害、個人情報の漏洩や不正使用などのリスクもある。

システム監査では、こうした多種多様のITリスクに対するコントロールの有効性を監査する。一方、J-SOXで求められるIT統制は、財務報告の信頼性を阻害するリスクに対するコントロールであり、システム監査が監査対象とするコントロールの一部分だけが監査対象となっている。

システム監査の普及度は?

日本情報処理開発協会の調査によれば、監査担当部門では51.3%、被監査部門では51.9%が、過去にシステム監査を実施したと回答している(平成18年度「わが国におけるシステム監査の現状 - システム監査普及調査」集計結果)。

筆者の経験から見ても、システム監査に関心をもつ企業、セキュリティ監査を含めて何らかの方法でシステム監査に取り組んでいる企業、本格的にシステム監査担当部署を設置する企業が増えている。上記の調査結果と合わせて考えると、システム監査が何らかの形で実施される時代になったといえる。

システム監査と情報セキュリティ監査との相違点

システム監査と類似した監査に情報セキュリティ監査がある。情報セキュリティ監査は、2003年に経済産業省が制度を創設し、システム監査の一部として実施されてきた。同省の「システム監査基準」においては、情報セキュリティ監査を実施する場合、「情報セキュリティ管理基準」を参照することが望ましいとしている。

情報セキュリティ監査とシステム監査の大きな違いは、監査対象と監査視点にあるといえる。情報セキュリティ監査では、情報資産が監査対象であり、口頭で伝達する情報や記憶など、ITにかかわらない情報資産も含まれる。これに対し、システム監査では、ITにかかわる全てのものが監査対象となる。

情報セキュリティ監査では、セキュリティを構成する3つの要素である機密性、可用性、インテグリティが監査視点になる。システム監査では、これらの監査視点に、戦略性、有効性、効率性なども加わる。尚、ここでいう有効性とは、ビジネスにとってITが有効かどうかという意味である。

システム監査を経営に生かすために

システム監査では、ITガバナンスの確立状況を点検・評価するものであり、同監査を実施することによって、ITが経営目標の達成に寄与する仕組みやプロセスを確立することができる。システム監査の本来の目的を見失わなければ、経営に生きる監査を実施できるのである。

しかし、システム監査人の中には、情報セキュリティ監査をシステム監査だと勘違いしてしまったり、内部統制報告制度の一環として実施するIT統制の評価がシステム監査だと誤解してしまったりする人がいる。本来のシステム監査を実施するためには、情報セキュリティ監査や内部統制報告制度でのIT統制の評価と、システム監査の相違点を正しく認識することが重要となる。

図1:経営に生きるシステム監査とは、ITが経営目標の達成につながるような仕組みやプロセスが構築され適切に運用されているかどうかを点検・評価するものである

経営に生きるシステム監査とは、ITが経営目標の達成につながるような仕組みやプロセスが構築され適切に運用されているかどうかを点検・評価するものなのであり(図1を参照)、システム監査人はもとより、監査を指揮・監督する経営者や監査を受ける部門も、この点を肝に銘じておく必要がある。