システム監査(4)　システム監査とは

システム監査については、経済産業省が定めた「システム監査基準」には、「システム監査は、情報システムにまつわるリスクに適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。」と書かれています。

難しく書いてありますが、要はITにまつわるリスクに対するコントロールを評価することです。COSO CUBEで言えば、「ITへの対応」に関する監査ということになります。

システム監査基準は、1985年に策定され、2004年に制定されたものが、2018年に大幅に改定されました。システム監査を巡る情報通信技術環境が劇的に変化し、システム監査に対するニーズも多様化したためです。

2004年版では、システム監査は、保証型監査と助言型監査に分類されていました。保証型監査は対外的な監査であり、助言型監査とは社内のアドバイス的監査です。しかし2018年版においては、このような区分がなくなっています。これもシステム監査に対するニーズの多様化に対応したものでしょう。

また、2004年版の「一般基準」「実施基準」「報告基準」といった分類もなくなり、監査実施の流れに沿って、基準1から基準12までの記載となっています。より実務的な基準となっていると言えます。

ここからは、2018年版のシステム監査基準に従って、説明していきたいと思います。