システム監査の目的とは？監査基準・管理基準や流れをわかりやすく紹介

システム監査とは

システム監査は、自社で導入している情報システムの効率性・安全性・信頼性を客観的に評価する監査です。情報システムは正常に機能しているか、情報漏洩のリスクはないかなどを評価し、課題の可視化や改善案を提示します。

システム監査では、主に次の3つのポイントをチェックします。

システム監査は法的に義務付けられていません。決められたルールに従うのではなく各企業が自主的に監査を行います。

システム監査と業務監査の違い

システム監査の他に「業務監査」と呼ばれる監査があります。業務監査は「内部監査」とも呼ばれ、経営目標達成のために組織体制を評価する作業です。

業務監査は、法や規則に則った形で業務が遂行されているかを確認する性質があります。システム監査はシステムの統制を監査するのに対し、業務全体をチェックする点が特徴です。

システム監査と情報セキュリティ監査の違い

「情報セキュリティ監査」は、会社の情報を守るための対策が正しく講じられているかをチェックする監査です。システム監査ではシステム内の情報セキュリティ対策に限られます。

情報セキュリティ対策では、書類紛失やデータ持ち出しなど物理的に情報が漏洩するリスクも含めてチェックします。

システム監査の4つの目的

システム監査を行う目的は、大きく分けて次の4つです。

1. 業務の効率化

システム監査は、業務の効率化を目的に実施します。システム監査を行うことで、経営や業務上の流れの把握が可能です。監査が課題や問題点を見つけるきっかけとなるため、業務をより効率的に実行するための改善につながります。

2. 組織の変革支援

組織の変革をサポートする目的において、システム監査は有益です。組織が目指す姿に近づくよう、システムをとおして体制を整える機会になるためです。

業務の合理化や生産性の向上は、企業が長期的に安定して経営するために欠かせません。定期的にシステムを見直すことで、時代に即した組織編制の手助けとなります。

3. 目標達成のサポート

システム監査は、目標達成に役立ちます。事業体制をより強固にするためには、戦略的で有効なシステムが必要です。

情報システムにおけるマネジメントやコントロールは、今後事業が拡大しても同じ品質で業務を遂行できる土壌づくりです。監査を通じて効率化を行い、競合に差をつけられる有効な組織体制の構築を目指します。

4. 説明責任の履行

社内外に対する説明責任の履行は、システム監査の目的の1つです。監査の目的は、業務効率化や生産性の向上だけではありません。システム監査は、システムが信頼できる環境で作動していることを確かめる機会でもあります。

財務報告の正確性や、法律や規定を順守しているかどうかをシステム監査を通じて確認します。コンプライアンスに問題があると組織の信頼に影響するため、定期的なシステムの見直しは安定的な事業継続に不可欠です。

システム監査の種類

システム監査は、社内で実施する「社内監査」と社外に依頼する「社外監査」があります。それぞれにメリットとデメリットがあるため、適した方法を選択しましょう。

社内監査

システム監査は法律により規定されているわけではなく、内容や目的を自由に設定できます。特別な資格や知識を持っていない社員でも務められます。

自社で有効なシステム監査が可能な体制を確立するためには、信頼性が高い資格支援をサポートする、情報システムを多角的に評価できる人材の育成をする、など環境の整備が必要です。

具体的な資格は、次のとおりです。

監査人に資格や知識がなければ、正確な監査ができず効果が得られにくいでしょう。部署間の利害から離れ、独立した立場の監査人が必要です。

社外監査

システム監査は基本的に、対応しているシステム開発会社か監査法人への依頼を推奨します。専門機関に依頼すると、システムの有効性や目的整合性など、自社にとって有益な意見を多数得られるためです。

自社が定めたルールの運用状況・システムライフサイクルの進捗状況・セキュリティ対策の有効性など、さまざまな項目に対する客観的な評価が得られます。デメリットは、監査のために専門家に支払うコストが発生する点です。

システム監査基準

経済産業省『システム監査制度について』によれば、システム監査基準は「属性」「実施」「報告」の3つです。

【監査の属性に係る基準】

【監査実施に関する基準】

【監査報告の基準】

引用：経済産業省『システム監査基準・管理基準の改訂の背景・目的 』

システム監査におけるシステム管理基準・項目

システム監査で重視されるのは、次の3つの項目です。

1. 信頼性

システム監査における「信頼性」とは、情報システムの品質および、障害発生時の影響範囲と回復度合いを指します。情報システムが安定的に作動しているか確かめ、万が一トラブルが発生した場合どのような事態が想定されるかの監査です。

災害が起きても情報システムが安定的に稼働できるよう、障害対策が十分かチェックします。障害が発生した場合には、どの程度業務に影響が出るか、どうすれば影響を最小化できるかも監査対象です。

2. 安全性

システム監査における「安全性」は、情報システムの自然災害や不正アクセスに対する防衛力を指します。脅威にさらされた際に、情報システムが対応できる範囲を把握します。

安全性の監査では、想定される脅威を洗い出し、頻度を予測することがスタート地点です。脅威が発生した場合の影響を仮定し、リスクの大きさがおおよそ把握できたら、リスクに対する対策を策定します。

3. 効率性

システム監査における「効率性」は、情報システムの業務上の有用度を測ります。業務を効率化し生産効率を向上するために、情報システム内に改善できるポイントがないかを探ります。

情報システムを再構築・改善する場合、発生する費用の見積もりは監査の一部です。システムを変更することで発生するリスクの把握も必要です。

システム監査の流れ【7ステップ】

システム監査の流れは、大きく分けて7つのステップがあります。システム監査の方法は法律で定められているわけではありませんが、多くの場合次の流れで行います。

1. 監査概要の決定

システム監査は、始める前の準備が大切です。企業により監査の目的が異なるため、まずは監査概要を決めます。監査の方向性を決めるためには、現場でのヒアリングや監査項目の洗い出しが必要です。

監査項目の例は次のとおりです。

2. 監査計画の策定

監査概要が決定したら、具体的な計画を立てます。監査をどのように実施するか、期間や手順を明確にします。

なにを目的に監査を行うかが明確であれば、ゴールを設定して必要な監査内容が決められるでしょう。実際に監査をスタートする前に、計画の大枠を決める工程です。

3. 予備調査（課題抽出）

計画が定まったら、予備調査を開始します。予備調査とは、監査対象の実態や概要を調べることです。

予備調査の目的はシステムにおける課題抽出であり、業務効率化や安全性の向上に向けて問題点を洗い出します。予備調査の結果に応じて、システム監査で必要な項目の選別を行います。

4. 本調査（監査調書記録）

予備調査が完了したら、本調査を実行して監査調書記録を付けます。予備調査で決定した監査項目に応じて、監査対象の調査をする段階です。

文書や記録のチェックや、従業員へのヒアリングをします。得られた調査結果は、報告しやすいようにまとめておきます。

5. 報告書作成

予備調査と本調査の結果をシステム監査報告書にまとめます。報告書には、監査の実施内容や状況を記載し、調査結果以外に分析や評価も加えます。

監査項目ごとの評価を参考に、問題点を洗い出す作業も大切です。具体的な課題が明らかになれば、対策が講じやすくなります。

6. 意見交換会・監査報告会

報告書をもとに、監査報告会を実施します。報告とともに意見交換を行い、より効率的に業務を遂行するために必要な改善を探りましょう。

意見交換会の結果を参考に、監査側がシステム監査報告書を修正・加筆します。報告書が完成したら、最終版として提出して監査完了です。

7. フォローアップ

システム監査が終わったあとも、フォローアップは必要です。監査中に見つけた課題の状況を把握したり、改善策が有効かどうかチェックしたりします。うまく機能していない部分があれば再度アドバイスや提案を受けることもあります。

システム監査を行う4つのメリット

システム監査を行うメリットは、主に次の4つです。

1. コストを削減できる

システム監査を行うメリットの1つは、コスト削減です。監査をとおしてコストパフォーマンスが悪いシステムを可視化できるため、より効率的なシステム構築につながります。

システム監査では、現状の無駄な機能を明確化する効果があります。監査で洗い出した情報は、システムの再構築・開発に活用可能です。

自社に必要な機能だけを搭載しているシステムを選定でき、無駄な出費をなくせます。

2. 顧客満足度を向上できる

システム監査のメリットに、顧客満足度向上が挙げられます。システム監査を行うと、適切なメンテナンス実施によりシステム障害のリスクを最小化できます。システムの無駄を見つけて排除することで、メンテナンスを減らし効率的な運営が可能です。

監査によりシステムが改善し、メンテナンス時間が減れば、商品やサービスの供給停止の機会が減少します。ユーザーがシステムにアクセスしやすくなるため、スムーズな取引が実現します。

システムの安定性が高ければ、トラブルが起きた場合もすぐに復旧可能です。取引先へ安心感を与え、顧客満足度向上に効果的です。

3. BCP対策を強化できる

システム監査を行うと、BCP対策ができるメリットがあります。BCP対策とは、組織が地震、津波などの自然災害や事故、停電など、予測不可能な緊急事態でとるべき行動指針です。サイバー攻撃も含まれます。

システム監査により、サイバー攻撃や内部漏洩に気を配った強力なセキュリティ対策の見直しが可能です。自社に必要なセキュリティツールがわかり、サイバー攻撃や自然災害から最短で復旧できる環境が整います。

4. システムを最適化できる

システム監査のメリットの1つに、システムの最適化が挙げられます。監査により、システム開発に関する進捗状況が可視化され、開発プロジェクトの妥当性を客観的に評価できます。

開発プロジェクトに遅延が発生している場合は、遅延原因や課題を突き止めて改善可能です。適切にシステム換算を行えると、企業の効率的な事業成長を支えられます。

まとめ

システム監査の実施は法律で定められているわけではありませんが、企業が効率的かつ安全に経営を維持するために重要な役割を果たします。

システム監査は内部で行うと、客観的な視点の欠落や専門的な分析の不足を招きます。監査会社に外注することで適切な監査を実現できるでしょう。監査会社に依頼する場合は複数社から見積もりをとり価格やサービス内容など条件を比較することが大切です。

比較ビズでは、複数の業者から一括で無料見積もりを承っております。費用対効果の高いシステム監査を依頼するためには、最適な条件の業者を見つける必要があります。システム監査を検討される際は、ぜひお気軽にお声がけください。

監修者のコメント

株式会社GeNEE

代表取締役 日向野卓也

東京工業大学環境・社会理工学院卒業。慶應義塾大学大学院経営管理研究科修了。MBA（経営学修士）取得。国内最大手SIerの株式会社NTTデータで大手法人領域（大手流通企業、大手小売企業）の事業開発、事業企画等の業務に従事。米国スタンフォード大学への研修留学を経て、システム/モバイルアプリ開発会社の株式会社GeNEEを創業。

詳しく見る

システム監査は、客観性とシステムに関する専門性を持つシステム監査人（システム開発会社やシステム監査会社）が、一定の基準に基づいてシステム監査依頼人のシステムを総合的に点検・評価・検証を行い、システムの統制状況や管理状況の適切性等に対して保証を与えるものです。

また、システム監査は、システムに関する潜在的リスクに適切に対処しているかどうかを、システム監査人がシステム点検、評価、検証を行うことで、システム監査依頼人の事業活動・業務活動の効果的かつ効率的な遂行、さらにはそれらの改善を支援することを目的として行われます。

システム監査を依頼するタイミングとしては、システム導入後〜システム運用期間中が最も多いと思います。２つ例をあげますと、システム導入後、定期的なメンテナンスを行うタイミングで一度システム監査を入れてシステム監査人に客観的な目線で評価してもらう場合やシステム運用中、入出力管理やデータ管理、業務管理といった管理業務等にトラブルが発生し、何らかの対策が必要なときにシステム監査を挟む、といった場合です。

自社から依頼をかけないと、システム監査の営業話はほとんどこないかと思いますが、定期的にシステム監査の営みを入れることで、システム障害発生リスクの低減やさらなる業務効率化に繋がる可能性があります。システム課題を持つ方は、一度システム監査を検討してみてはいかがでしょうか。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。