システム監査について

 私は監査法人で上場企業の会計監査を担当させていただいておりますが、そこでは内部統制監査の中にIT統制評価と呼ばれる領域があり、監査対象会社の情報システムを評価しています。一方、システム監査とは、企業が独自に設定した目的・基準によって自社の情報システムを評価するものです。IT統制評価とシステム監査とは、目的が異なるため、同じ内容のものではありませんが、システムを評価するという意味では共通しています。

1. システム監査の概要
 経済産業省が出している「システム監査基準」によれば、システム監査とは、「専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である」とされています。また、システム監査は任意監査であり、その目的は、その会社の状況に応じて様々なものが考えられますが、「システム監査基準」では、「システム監査は、情報システムにまつわるリスクに適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、または利害関係者に対する説明責任を果たすことを目的とする」としています。つまり、システム監査とは、情報システムに係るリスクを評価することで、企業の目標達成や利害関係者への説明に貢献することと言えるかと思います。
 上場企業の内部統制監査におけるIT統制評価の目的が、財務報告に係る情報システムの評価を行うことで企業の財務報告システムが有効に整備・運用されていることを確かめるものであることと比較すると、システム監査は、その対象が財務報告に係る部分だけではないことや効率性の観点からの評価を行うといった点が大きく異なります。

2. システム監査人
 システム監査を担当する者はシステム監査人と呼ばれます。システム監査人の資格については、法定監査ではないことから、法律による制限はありません。システム監査に関連する資格としては、経済産業省が認める国家資格である「システム監査技術者」やISACA(情報システムコントロール協会)が認定する国際資格である「公認情報システム監査人(CISA)」といったものがあります。
 システム監査人に必要とされる知識としては、ITに関連する知識はもちろんですが、それだけではなく組織内部の業務やプロセスに精通し、それをシステムに紐づけて評価することも求められることから、内部監査に関する知識も必要となってきます。システム監査人は、監査を行うという性質上、監査対象から独立かつ客観的な立場にいなければなりません。そして、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行う必要があります。

3. システム監査のリスクアプローチ
 システム監査人が監査を行うにあたって、システム監査計画を策定します。システム監査計画は、情報システムリスク及びシステム監査業務の実施に係るリスクを考慮したリスクアプローチと言われる手法をもとにしたものであることが求められます。リスクアプローチでは、企業にとって影響が大きい対象を重点的に監査すること、また、システム監査としての結論を誤る可能性が高い対象を重点的に監査することが考えられます。企業の情報システムのすべてを毎年監査することは時間的・人的な面から考えて困難であることから、上記のように影響の大きい対象や監査の結論を誤りやすい領域に絞って監査を実施します。

4. システム監査の実施と結果報告
 通常、システム監査手続は、監査対象の業務とそこで利用されるシステムの実態を把握するための予備調査を行い、そこで得た情報を踏まえて十分かつ適切な監査証拠を入手する本調査を行います。具体的な監査手続としては、資料等の閲覧や関係者へのインタビュー、システム監査人によるテスト及び詳細分析などが行われ、結論を表明するに足る客観的で確証的な証拠を入手します。そして、システム監査人は、上記手続きの内容や結果を監査調書として文書化します。最終的には、監査の目的や対象などといったシステム監査の概要及び監査の結論を記載したシステム監査報告書を作成し、経営者等に提出します。
 システム監査報告書には、監査の結論として適切であるという評価を与える場合や指摘事項及び改善勧告を記載する場合があります。改善勧告については、重要改善事項と通常改善事項、あるいは緊急改善事項と中長期改善事項等、その重要度や緊急度に区分して記載することが求められます。また、そこには、経営者に向けて、改善によって期待される効果を記載することが望ましいとされています。

5. 改善事項のフォローアップ
 改善事項がある場合、上記監査報告書の提出でシステム監査の手続きは完了しません。システム監査人は、監査報告書に記載した改善勧告への対応状況について、その対象となった部門の責任者から改善計画書を受領し、改善状況をモニタリングする必要があります。その場合に、改善内容をシステム監査人が事後的に確認することをフォローアップと呼んでいます。フォローアップ後、システム監査人はフォローアップ報告書を作成して、経営者にその内容を報告する必要があります。

6. まとめ
 冒頭でお伝えしたように、上場企業の会計監査において、上記システム監査と同様に一部のIT統制の評価を行いますが、そこでは、情報システムに不備があるかどうか、また、その不備の影響がどの程度あるのかといった視点で監査を行います。しかし、システム監査人は、経営の効率化やリスクの排除といった視点から、上記のような評価を行った後、改善勧告を行った場合は、その改善の状況についても継続的にフォローしていく必要があるのです。

                                      以上