網屋 HOME > J-SOXコラム > 「内部統制時代の内部監査」 第3回 内部監査の実際と留意点

コラム

公開日:2008年11月5日

コラム 内部統制時代の内部監査

第4回 システム監査とシステム監査人の役割

内部監査のひとつとしてのシステム監査

 内部監査には、これまでの連載で説明してきたように、会計監査や業務監査、監査役監査などがあります。各監査について、もう一度整理すると次のようになります。

・監査役監査
会社の取締役の業務執行について監査する。
・会計監査
会社の会計処理の方法、およびその結果として作成された財務諸表の適切性について監査する。
・業務監査
会社の中で行われている業務活動が、組織体の方針・計画・手続きに準拠し、効率的かつ効果的に行われているか監査する。そして今回説明するシステム監査は、IT部門の方々にとっては最も身近な監査といえるでしょう。
・システム監査
会社の情報システム環境の有効性・信頼性・安全性について監査する。

ますます高まるシステム監査の必要性

 1970年代の中ごろには、多くの企業でコンピュータが会計処理に使われるようになり、その結果、システム監査の必要性が高まりました。厳格な会計監査を行うには、コンピュータ内部でどのように会計処理が行われているかをチェックする必要があるからです。

しかも今日では、企業におけるコンピュータの利用範囲は会計処理にとどまりません。ビジネスのあらゆる領域で、コンピュータ抜きには業務が成り立たない状況であり、システム監査の対象範囲は以前に比べるとはるかに広がっています。

その意味では、システム監査は業務監査と重なる部分が少なくないのです。さらに最近では、経営判断にコンピュータの処理結果が用いられることも多く、監査役監査との関連も深まっています。

こうした状況の中で、ITシステムの有効性や信頼性になんらかの問題を抱えてしまうと、監査役監査や業務監査、会計監査の有効性そのものが損なわれる可能性があります。ひいては、自社のビジネスに大きなリスクをもたらし、協業先や取引先の信頼を失うことにもなりかねないことから、システム監査の必要性はますます高まっているのです。

その一方で、システム監査は会計監査や監査役監査とは異なり、法制度によって義務付けられているわけではありません。任意監査であり、実施しなくても罰せられるわけではないのです。だからといって、今日のビジネスにおけるITの位置づけを考慮すると、システム監査は実施しなければならないと考えた方がいいでしょう。

システム監査とシステム監査人

 システム監査の実施に際し、そのガイドとなるのが、経済産業省が1985年に策定し、2004年に改訂した『システム監査基準』です。

 『システム監査基準』ではシステム監査を、監査対象から独立かつ客観的立場のシステム監査人が情報システムを総合的に点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする一連の活動であると定義しています。

また、その前文では、システム監査の目的を「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証または評価することによって、保障を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」と説明しています。

システム監査の具体的な内容については『システム監査基準』に目を通していただくことにして、ここで注目したいのはシステム監査人の位置付けです。

ITシステムの構築・運用には専門的な知識・能力が必要ですが、システム監査人にはそれに加えて監査の能力も求められます。そこで、次のような資格を持つシステム監査人を指名するのが一般的です。

・「システム監査技術者」
経済産業省が主導して実施している国家試験です。
・公認情報システム監査人(CISA)
米国に本部を置く国際団体ISACAが認定している民間資格です。
・情報システム監査専門 内部監査士
日本内部監査協会が内部監査の一環として認定している資格です。
・公認システム監査人
日本システム監査人協会が制度化して、認定している資格です。

内部監査部門のミッションのひとつとして

 企業が内部監査の一環としてシステム監査を実施する場合、「専門的な監査人」としての役割を果たせるのは、IT部門のスタッフということになるでしょう。通常は、IT部門の適任者にシステム監査人として上記のいずれかの資格を取得させ、「専門的な監査人」を育てていくことになるはずです。

しかし、システムの構築や運用を行っているのはIT部門ですから、IT部門出身のスタッフが「独立かつ客観的な立場」で監査を行うのは容易なことではありません。

また、企業におけるITの役割の高まりとともに、IT部門のスタッフの負荷も高まる一方であり、システム監査専任の要員を確保する余裕はないかもしれません。現実的には、外部の専門家にシステム監査を依頼することも検討すべきでしょう。

いまや多くの企業で、経営とITシステムは有機的に結びついています。システム監査をほかの内部監査と切り離して考えるのではなく、内部監査部門のミッションのひとつととらえ、IT部門や外部のコンサルティング会社などと連携しながら取り組んでいきましょう。

ページトップへ

サービス・製品 カタログダウンロード

網屋の取扱製品に関する各種製品カタログダウンロードページです。