システム監査とは、情報システムが企業や組織の目的に沿って開発、運用および利用されているかどうかを当事者から独立した立場で評価し、その結果を内外部のステークホルダーに対して報告する活動です。ここでいうステークホルダーとは、内部では、経営者をはじめとした組織の管理者層や情報システムのユーザーを指し、また外部では当該組織の情報システムに影響を受ける取引先などを指します。

システム監査を実施することで、当事者以外には実態がつかみにくいといわれる情報システムの安全性、信頼性、効率性についてのリスクや課題を、これらステークホルダーが把握することができます。その結果、情報システム投資や外部委託先選定などの意思決定やリスクに応じた改善策の実施を可能にします。

■システム監査の重要性

情報システムの有効活用を図ることは、経営者や情報システムの利用者にとって重要な課題です。しかし、情報システムの運営にかかわる当事者だけでは適切なリスク評価やリスク管理ができず、結果として、システム障害、プロジェクトの遅延、情報漏洩などの問題を引き起こす場合があります。システム監査は、このような問題を防止し、情報システムにかかわるリスクを低減する手段としてますます重要になってきています。

また、個人情報保護法施行などを機に、取引先や業務の委託者などから情報システムのリスクや管理状況について報告を求められるケースが増加しており、そのようなニーズに対してもシステム監査が活用されるようになってきました。さらに、会社法や内部統制報告制度などへの対応のうえでもシステム監査がクローズアップされてきています。

■システム監査の対象

システム監査は、情報システムそのものや情報システムに係るあらゆる業務が対象となります。大きくは、情報システムのライフサイクル（企画、開発、運用・利用）を対象とした監査、情報システムが利用されている業務ごとの監査、情報セキュリティやプロジェクト管理などのテーマごとの監査に分類されます。

■システム監査の実施者

システム監査は、内部の監査部門が実施する内部監査と、外部の専門家が実施する外部監査に分けられます。監査の目的や内容によって内部監査と外部監査を使い分けることになりますが、いずれの場合も、監査対象から独立していて、客観的に監査を実施できる立場にあることが必要です。また、実施する監査テーマについて評価できる十分な知識をもち、システム監査実務に精通した担当者がかかわることがシステム監査の成功条件といえます。最近では、内部で十分な数の専門家の確保が難しいため、内部監査の一部を外部に委託するケースも出てきています。

【 会計監査 】
会計記録、会計処理、および、会計報告書について、それらの正確性、適正性などについて判断すること

【 業務監査 】
企業における会計業務以外の購買、生産、販売などの諸業務活動の合理性、能率、妥当性などについて判断すること

【 情報セキュリティ監査 】
情報資源全般を対象として、運用管理状況や情報セキュリティ対策実施状況の適切性を判断すること

【 システム監査 】
被監査部門から独立した立場で、情報システムを幅広い観点から調査し、システムが経営に貢献しているか、不正が行われていないかなどを判断すること

【 法定監査 】
金融商品取引法や会社法など、法律で監査を受けることを義務付けられている企業・団体に対する監査です。企業などが作成する財務諸表の内容がその利用者にとって問題なく利用できるレベルにあることを職業専門家かつ第三者である公認会計士または監査法人がチェックするものです。上場会社には2008年4月1 日開始事業年度以降、内部統制監査、一体監査、四半期レビュー制度が適用されています。

【 任意監査 】
法律で監査を受けることは義務付けられていませんが、株主や経営者の判断で、企業などの作成する財務諸表の適正性を専門家に判断させるための監査です。監査を受けていることは金融機関や取引先に対して信用力を高める手段ともなります。また内部統制の状況や効率的経営がなされているかなどについての助言なども監査の過程で得られることから、経営管理の観点からも監査を受けることは有効です。上場会社などの子会社が親会社の意思で監査を受ける場合や、近い将来、株式を公開することを目的としている企業が、その前段階として自主的に監査を受けて企業内部の整備を行う場合などに利用されています。

1. 平成30年度春期　問60　　情報セキュリティ監査
2. 平成28年度秋期　問59　　情報セキュリティ監査