IT監査について

woman laptop office friends

昨今は毎週のようにサイバーセキュリティインシデントが発生し、何らかの業務に支障が生じているというニュースが多くなったと思います。
うみもと会計事務所がITに係る内部統制関連サービスを提供していますが、零細な企業であっても、何らかのサイバーインシデントが発生したという話は以前よりも聞くようになりました。

今回はサイバーセキュリティリスク等を考える際に必要となるIT監査に踏み込み前に、まずはそもそもIT監査とは何?その目的、意義は?というところから、記載していきたいと思います。

IT監査とその目的

一般的にIT監査とは、ITを対象とした監査(Ex.ITに係る内部統制監査)とITを利用した監査(Ex.CAAT(Computer Assisted Audit Techniques:コンピューター利用監査技法)を利用した監査)のことを指し、状況や場面に応じてどちらのことを指しているのかを判断することになります。

ちなみに、後者は監査技法のひとつのため、一般的には前者の意味合いでIT監査と言っています。

次に、IT監査の目的ですが、基準に照らした情報システム(ITに係る内部統制を含む)の保証もしくは助言を通して、コンプライアンスや信頼性の確保だけでなく、業務の有効性や効率性についても確認することで、組織貢献を果たすことにあると考えられます。

システム監査の意義と目的

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。 また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。

経済産業省 システム監査基準

つまりは、目的を異にするIT監査の種類は幾つかあるものの、いずれも目的に対して有効か効率的なのかを確認するもの(ITに関して)であり、IT化、デジタル化だと言われる時代においては、当然必要なものと考えています。

IT監査の種類

IT監査の種類にいくつかあると上述しましたが、大きくは保証業務のIT監査と保証業務以外のIT監査に分類できます。

保証業務のIT監査は、所謂法定監査の中のIT監査、J-SOXの中のIT統制監査等で、結論の基礎となる十分かつ適切な証拠を入手することを目的とした監査をいいます。他方で、保証業務以外のIT監査というとISMS等の診断や内部監査、ITデューデリジェンス等になりますので、何ら保証等を行うものではなく、チェックシート等に照らした結果報告をするに留める監査をいいます。

任意のIT監査手法ですが、例えば情報セキュリティ監査を実施する場合には、経済産業省の情報セキュリティ管理基準に照らして、現在の管理策が十分か判断したり、サイバーセキュリティの管理体制を判断するためにはサイバーセキュリティ経営チェックシートを利用して対策状況を確認し、要改善事項をまとめたりすることになります。

なお、より有用なIT監査を実施しようとすると、一般的な統制目標を基に監査対象会社の統制を評価するコントロールアプローチと事業固有のリスクに応じたリスクアプローチを併用して、評価することが望ましいのですが、この場合にはIT環境の深い理解が必要なため、上述した汎用的なチェックシートを利用した監査と比較すると労力はかなり増大します。

とは言え、ITの利活用状況は会社ごとに異なりますし、会社ステージに応じて求められる情報や指摘すべき粒度も様々ですので、先ずは報告者へのウォンツを理解した上で、対応を検討することが必要です。

主なIT監査手順

IT監査の基本的な監査手順は法定監査でも任意監査でも大きくは違いないので、ここでは参考として、ISMSにおける内部監査の目的とフローを次に記載しておきます。また、ISMSの内部監査フローの理解もできると思います。

  • 目的
  • 組織が制定した情報セキュリティ要求に適合する活動ができているか
  • ISO/IEC 27001(報セキュリティマネジメントシステム(ISMS)に関する国際規格)や要求する活動ができているか
  • ISMSが有効に実施され、維持されているか
  • 手順(年1回以上の頻度)

上記フローから監査のスタートは計画である事が分かると思いますが、監査においては、この計画が重要であり、計画で実施すべき事項を疎かにすると確認すべき資料が入手できず、結果として内部監査が有効に実施できないといった事につながってしまいます。

監査が業務にとって有効じゃあないと思う節がある場合は、一度計画において何が重要か再度検討してはいかがでしょうか?

さて、次回はIT監査の実施(J-SOX編)を記載いたします。

コメントを残す

メールアドレスが公開されることはありません。