企業活動を行う中で、ITの利用は不可欠となっています。業務の効率化やサービスの向上等を目的にシステム化が進められてきましたが、情報システムを利用することによるリスクも存在します。情報システムリスクへの対応状況を点検し、改善を促すため、情報システム監査の重要性が高まっています。一方、内部監査部門において、ITの知見を持った担当者がいないといったことから、情報システム監査が行われていないということが見受けられます。
情報システム監査を行うために、システム管理の業務内容等を理解する必要はありますが、プログラム言語やインフラの設計等、詳細なIT知識は不要です。システム管理方法や監査ポイントを押さえれば、充分に対応できます。これから監査を始める場合は、まずは、情報システム管理の土台となる基礎(ITに係る計画・規程・体制)から監査を行うことをお勧めします。今回の記事では、初めて情報システム監査を行う際のポイントを解説します。
目次
情報システム監査の重要性と内部監査部門に求められる役割
企業活動において、情報システムの利用は不可欠となっています。情報システムが停止すると、企業活動も滞ってしまいます。また、情報の漏えい等の事故が発生すると、企業イメージを損ない、売上減少等の事態を引き起こすことになってしまいます。そういった事態を防ぐため、情報システム監査を通じて、リスクに対する管理状況を確認していく必要があります。システムリスクに対し、どのように管理状況を確認していくか、以下に例示を挙げていきます。
■システムリスクと確認事項(例)
・業務とシステムの不一致
会社の経営方針に沿ったシステムの予算が作成されているか。業務に合わせ、システムの企画・導入が検討されているか。
・情報漏えい
個人情報保護関連の規程やセキュリティーポリシー等、会社としてのルールが定められており、その通り運用しているか。
・データ改ざん
委託先も含めデータの取り扱いについてルールが定められているか。データの改ざんをチェックできる体制が整備されているか。
・サイバー攻撃
サイバー攻撃に対し、未然に防ぐ対策がとられているか。サイバー攻撃の有無について、モニタリングが実施されているか。
上記の他にも、システムリスクは多く存在しますが、情報システム監査が行われていない場合、システム関係の『規程』や『体制』が整備されていないケースが多くあります。これから情報システム監査を行うのであれば、情報システム管理における『規程』や『体制』から監査することをお勧めします。
情報システム監査の全体プロセス
次に、情報システム監査の進め方を見ていきたいと思います。情報システム監査の全体プロセスは、通常の内部監査と違いはありませんが、情報システムの特徴に留意する必要があります。情報システムの特徴を踏まえ、各プロセスにおける情報システム監査上のポイントを挙げていきます。
■予備調査
現行システムの利用状況や情報システムに係る管理規程、システム障害の発生実績等、社内のシステムに係る情報を確認します。また、情報システムに関する事件・事故やITの最新動向等(RPA・AI-OCR等)の情報を収集します。更に、情報システムのリプレイス等の予定も把握しておきます。
■監査計画の策定
情報システム部門以外の部署がシステムの管理を行っている場合があります。そのため、社内で使用しているシステムを把握したうえで、各システムの主管部門を確認し、監査対象部門の検討を行います。
■監査の実施
情報システム監査においては、システムの設定画面や申請書類等の閲覧、情報システム部門担当者様へのヒアリングの他、サーバ室やデータセンター等に訪問し、現地を視察することも重要です。
■監査報告
システム分野は専門性が高いため、経営者が社内システムの状況を把握できていない傾向があります。監査報告書を作成する際は、社内システムの現状、想定されるリスクや改善の必要性等について、経営者が理解しやすいように記載するべきです。
■フォローアップ
情報システム監査における指摘の改善には、ルールの整備・システムの改修等、長期間かかる場合があります。この点に留意し、フォローアップ時期を設定することになります。
予備調査にて、利用システム等を把握し、監査対象とするシステムや部門を決定していきます。監査対象システムや部門が決まると、監査の実施時期等も固まってきます。対象部門は、情報システム部門だけにならない可能性がある点も留意すべきです。
情報システム監査のポイント~IT戦略とIT予算~
ここでは、初めて情報システム監査を行う際のポイントを見ていきます。まずは、「IT戦略とIT予算」についてです。会社全体のIT戦略やIT予算が明確でない場合、企業戦略に合致したIT投資が行われず、事業計画に遅れが生じるリスクがあります。内部監査部門としては、IT戦略やIT予算の判断基準や手続が定められ、適切に運用されているかを監査する必要があります。以下は、監査すべきポイントになります。
■監査ポイント
・IT予算が1年ごとに作成され、取締役会等で承認されているか。
(監査手続例)取締役会議事録等を確認し、IT予算が承認されていることを確認する。
・情報システム投資の「費用対効果」判定基準が文書化されているか。
(監査手続例)情報システム管理規程等に「費用対効果」の判定基準が規定されているかを閲覧する。
・定められた判定基準に従って、投資の可否が決定されているか。
(監査手続例)システム投資の稟議書や申請書等を入手し、判定基準が反映されているかを検証する。
・意思決定者に適時かつ適切にITに関する情報が伝達されているか。
(監査手続例)議事録や資料等を入手し、ITに関する情報の伝達がなされているかを確認する。
情報システム部門や特定の部門の意見だけを反映する形でIT予算が編成されてしまうと、全社的に最適なIT投資と乖離する可能性があります。内部監査部門では、IT投資に関する判断基準が明確にされており、遵守されているかを確認します。
情報システム監査のポイント~情報システム部門の体制~
次に、情報システム部門の「体制」に関する監査ポイントを見ていきます。情報システム部門は、システムを安定稼働させるためにIT技術の進歩に追随し、体制整備やスキルの強化を行うべきです。内部監査部門としては、ITに関するスキルの強化、リスクや問題点等の情報共有が行われていることを確認します。
■監査ポイント
・情報システム部員の資格やスキルが把握されているか。
(監査手続例)情報システム部員に求める資格やスキルの一覧が作成されているかを確認する。
・情報システム部門長は部門の目標や方針を明文化し、共有しているか。
(監査手続例)部門目標、方針が明文化されているか、また、共有方法についても確認する。
・開発部門・運用部門が定期的にリスク・問題点等を共有しているか。
(監査手続例)議事録等を入手し、定期的にリスクや問題点の共有が行われているかを把握する。
・他部門に対して研修等を行い、ITリテラシーの向上に努めているか。
(監査手続例)研修計画や研修資料を入手し、IT利用に関する研修を実施していることを確認する。
情報システム部門には、情報セキュリティ等のリスクに対処するため、ITに係るスキルを習得するとともに、利用部門に対してもITの利用ルール等を周知徹底させることが求められます。内部監査部門では、ITスキルの向上に努め、ルールを周知しているか、情報システム部門の活動状況を確認します。
情報システム監査のポイント~情報システム関連規程~
最後に、「情報システム関連規程」に関する監査ポイントを説明します。情報システム部門は、情報システム管理に係る各業務(システム開発・変更・運用・情報セキュリティ・委託先管理等)のルールを整備する必要があります。内部監査部門としては、情報システム業務に係る規程の整備状況および運用状況を監査します。
■監査ポイント
・情報システムの開発/変更の基準等が明文化されているか。
(監査手続例)情報システムの開発/変更の方針・基準が取締役会等で承認されているか閲覧する。
・運用設計に基づいて、管理規則および運用手順は作成されているか。
(監査手続例)情報システムの運用ルールを定めた規程・細則・マニュアル等の存在を把握する。
・情報セキュリティに対する基本方針・実施手順が整備されているか。
(監査手続例)情報セキュリティの基本方針・実施手順が体系的に明文化されているか確認する。
・委託業者を選定する際の選定基準が文書化され、周知されているか。
(監査手続例)委託先の選定基準やサービス品質の評価ルール等が明文化されているかを確認する。
情報システムの管理ルールが明文化されておらず、情報システム部門の業務がブラックボックスになっているケースもあります。内部監査部門は、ルールが整備・運用されているかを確認し、情報システム管理の精度を高めていくことを促すべきです。
まとめ
多くの情報システムが利用されていますが、システム管理ルールが規定されていない、情報システム部門の役割が曖昧になっているといった会社も少なくありません。情報システム利用におけるリスクを踏まえ、リスクを回避・低減されているかを監査し、改善を促すことが求められます。通常の監査と同様、情報システムに関するルールや体制が整備されているか、ルール通りに運用が行われているかの監査から進めてはいかがでしょうか。
■情報システム監査の重要性と内部監査部門に求められる役割
☑情報システム監査を通じ、リスクに対する管理状況を確認する
☑情報システム管理における『規程』や『体制』から監査する
■情報システム監査の全体プロセス
☑情報システムの特徴に留意し、内部監査の各プロセスを進める
☑予備調査にて、利用システム等を把握し、監査対象システムや部門を決定する
■情報システム監査のポイント~IT戦略とIT予算~
☑会社全体のIT戦略やIT予算が明確でない場合、事業計画に遅れが生じるリスクがある
☑IT投資に関する判断基準が明確にされており、遵守されているかを確認する
■情報システム監査のポイント~情報システム部門の体制~
☑情報システム部門は、IT技術の進歩に追随し、体制整備やスキルの強化を行うべきである
☑内部監査部門では、ITスキルの向上に努め、ルールを周知しているか、情報システム部門の活動状況を確認する
■情報システム監査のポイント~情報システム関連規程~
☑情報システム部門は、各業務(システム開発・変更・運用・情報セキュリティ・委託先管理等)のルールを整備する
☑内部監査部門は、ルールが整備・運用されているかを確認し、情報システム管理の精度向上を促す
