業務遂行時に監査の対応が求められる事があると思います。勿論重要と頭ではわかっているので、優先度を上げて対応してはいますが、正直邪魔だと感じている事も多々あります。今回、システム関連でよくあるシステム監査について整理してみました。
(※会計監査等、ほかの監査は除きました)
- システム監査の目的(任意監査であって法的な強制力はない)
- ニーズ(経営陣のガバナンス強化・対外信用の獲得)
- システム監査に役立つ基準やガイドライン(10個以上あります)
- 良好なITガンバンスにむけた6つの原理
- 監査時の注意すべきポイント(独立性)
- まとめ
システム監査の目的(任意監査であって法的な強制力はない)
企業内の情報システムについて、一定の専門家がチェックを行い指導・改善を行う。
※システム自体に監査が必要な法律はないため、任意的な監査になる。持っているデータや提供しているサービス自体の法律で付属的に必要な場面はある。
ニーズ(経営陣のガバナンス強化・対外信用の獲得)
自社内のシステムにおいて、会社の上位層が戦略を考えるために行う。
例えば、経営陣目線で、経営戦略と意図したシステムになっているのか、承認した開発期間や予算で動いているのか、把握するため。
また、災害や装置故障等の通常予見できそうな障害発生時に、どの程度故障リスクがあるのか検討し、対策要否を決めるなど。
システム監査によって企業内のシステムについて理解を深め、また改善を図る事で結果的に、安心・安全で問題ない会社だとアピールし、対外的な信用をえる事ができる。
任意監査であっても何故システム監査を各社は実行し、またその専門家が発生するくらいの需要があるのがニーズの裏返しともいえる。
システム監査に役立つ基準やガイドライン(10個以上あります)
下記は比較的わかりやすいかなと思います。
経済産業省の【システム監査基準】と【システム管理基準】
日本内部監査協会の【内部監査基準】
他下記ページ(P6~P7)
https://www.saaj.or.jp/csa/CSAShiryo/CSA_Booklet2019.pdf
良好なITガンバンスにむけた6つの原理
抽象的ではありますが、経営陣レベルでシステムに期待すべき指針としては下記の原則が挙げられてます。これを満たしているか大目標として監査するのがよさそうです。
① IT に対する責任を明確にする原則(Responsibility)
→供給と需要を意識して受け入れる
② IT は組織の目的を最大限支援する原則(Strategy)
→組織戦略とITの現行技術力を考慮して計画する
③ ITの有効性を高める適用原則(Acquisition)
→適切な理由や根拠や機能を持って選択される。
④ ITの可用性を高める性能原則(Performance )
→ビジネス展開に支障がない範囲で可用性を高める。
⑤ ITが法令や企業の内部の取決めに準拠する準拠原則(Conformance)
→各種法律に対応すること
⑥ IT は人的要素を考慮する人的行動原則(Human behavior)
→使う人やニーズを考慮する事
監査時の注意すべきポイント(独立性)
利害関係がない該当システムの対象外にすべき。
同じ会社内だと客観的な評価も難しいため、第三者の監査人を頼むべき。
※これは、参考にしたページが監査協会だからかもしれませんが。。。
まとめ
監査対応は面倒な部分もありますが、結局は会社の利益のためには協力すべきですね。詳しくは、下記の「システム監査を知るための小冊子2019(PDF)」を見ると、細かい表現が掲載されており、またわかりやすい表現が多く参考になります。