システム監査とは①〜実はとっっても広い監査領域〜

あらゆる業務がシステム上で行われる現代において、「システム監査」の果たすべき役割は年々大きくなってきています。
しかし社会的な知名度はまだまだ低く、関係者の間で認識が異なることもしばしば。 

そこで今回は一般の方にも分かりやすいイメージを持って頂く為に、システム監査を分解し 、

IT✖️（内部）監査

という視点から解説します。

IT✖️（内部）監査？

今回システム監査をIT✖️（内部）監査 と分解する理由は、「システム監査人」が誕生するパターンが主に以下の2つだからです。

・IT（情報システム）の専門家に、監査の教育をする

・監査の専門家に、IT（情報システム）の教育をする

実際公認システム監査人の講習も、受講者の方のスキルに応じて「システム監査」、「情報システム」をそれぞれ学習するカリキュラムとなっています。

https://www.saaj.or.jp/csa/csaboshu/620201CSAASAninteiseido20170608-2.pdf

その他公認会計士やコンサルタントの方が、
システム監査人になるケースもあります。

＊今回わかりやすく説明するため「IT」といった表記を用いています。

システム監査人は何を監査するのか？

システム監査は、IT✖️（内部）監査を背景に持つことをお話しました。

それでは、システム監査人は一体何を監査しているのでしょうか？

システム監査というwordからは、システムを厳しくチェックしてそうな印象を受けると思います。

図に表すと以下の感じでしょうか。

多くの方は、システム監査に対してとてもニッチなイメージを持たれると思います。

しかし実際のところは・・・ 

とても広いのです！！

「業務を中心とした、ITが関わる全ての領域」　　と言えるでしょう。

システム監査という言葉の印象そのままに専門的なところを監査していると思われがちですが、実際の監査の対象は多岐に渡ります。

現場で使われている一つ一つのシステムを監査することはもちろん、経営の目線から「経営戦略とIT戦略の整合性」を監査したり、「これから作られるシステムが経営戦略に適合しているか？間に合うか？」と言ったテーマで、経営側と現場の間に入ったりする等、あらゆる場面・あらゆるテーマに対応し監査を実施します。

初めて学ぶ方のほとんどが、『システム監査でこんなに幅広いことができるとは思わなかった』と仰るほど、対象領域は大きいのです。

また「監査」という言葉に怖い印象を持つ方が多いと思いますが、システム監査は「法定監査」では無く＊「任意監査」な為、組織をよくする為に行うものです。

＊IT統制監査は除きます。

監査テーマ例

システム監査の幅広さをお伝えしたところでここでは、システム監査の実際のテーマ例を挙げてみます。

・個人情報保護の監査
・ITサービスの監査
・外部委託の監査
・プロジェクト管理の監査
・IT統制監査
・事業継続計画（BCP）の監査
・セキュリティ監査 などなど

パッと挙げるだけでも、様々な切り口から監査できることがわかります。

また新しい技術が次々に登場するITに対応すべく、システム監査でも最新テーマでの監査を実施します。

例えば・・・

・AI・データの利活用の監査
・IoTの監査
・暗号資産の監査
・クラウドの監査
・RPAの監査

こちらも沢山のテーマが上がり、ビックリされる方も多いのではないでしょうか？

こうした最新テーマに対応する為に、システム監査人は様々な情報を日々吸収します。

今年は最新のテーマに「キャッシュレスの監査」「DXの監査」等が挙げられるでしょう。
こうした内容が来年の『システム監査技術者試験』に出題されるかもしれません。

システム監査あるある「誤解」を解決

システム監査がこれだけ幅広い内容を取り扱うことを知ることで、システム監査に良くある誤解も簡単に解くことができます。

①IT統制監査＝システム監査？

「IT統制監査をやっていれば、システム監査もやっている」との認識を持たれる方が多いですが、実際はシステム監査の一部に過ぎません。

なぜならIT統制監査の監査対象は「会計システムを中心とする」財務報告に重大な影響を及ぼすシステムだからです。

システム監査 ＞ IT統制監査　　の関係と言えるでしょう。

②情報セキュリティ監査＝システム監査？

情報セキュリティ監査とシステム監査も混同される方も多いですが、両者のコントロール対象は「情報システム」、「情報資産」と明確な違いがあります。しかし一般に、情報資産は情報システム内で管理されるものであることから実際に線引きすることは難しいと言えます。

情報セキュリティ監査とシステム監査の違いは、「情報処理安全確保支援士」「システム監査技術者」のIPAのカリキュラムの差にも現れています。
https://www.jitec.ipa.go.jp/1_13download/youkou_ver4_4.pdf

情報処理安全確保支援士は「ストラテジ系」の出題はありませんが、システム監査技術者はストラテジ系の経営戦略、企業と法務が出題範囲となっており、特に「法務」は重点出題項目となっています。

システム監査は何の為？

ここまでシステム監査の対象領域について書いてきましたが、そもそもシステム監査を実施する目的は、システム監査基準によると

①組織体の目標達成に寄与すること
②利害関係者に対する説明責任を果たすこと

となっています。

これだけITが浸透している中で、システムが止まったり不正があったり情報が漏洩するといった問題が、社会生活に与える影響は測り知れないものとなっています。

こうした問題を事前に発見したり予防し改善する、第一歩として「システム監査」が組織体また社会に貢献できると言えるでしょう。

今回（内部）監査という書き方をしましたが、システム監査は主に「内部監査」として実施される位置づけでした。

しかしそこには問題が・・・。

次回は今話題のDXと絡めながら、システム監査の背景について特集します。

#システム監査 #IT #セキュリティ #DX
#エンジニア #DXニュース #ニュース
#社会 #とは #COMEMO #AI
#私の仕事 #HR #監査 #プログラミング