システム監査とは｜方法や効果、システム監査人の育成に役立つ資格をご紹介【2024年最新版】

ITシステムは現代の企業活動において必要不可欠な存在であるため、信頼性や健全性には常に配慮する必要があります。そこで重要な役割を担うのが情報システムを客観的に点検・評価・判断するシステム監査ですが、中には「詳しくはよくわからない」とお困りの方もいるのではないでしょうか。
そこで本記事ではシステム監査の概要や必要性にくわえて、監査の方法や流れ、メリット、人材育成までをまとめて解説していきます。システム監査の導入・実施を検討しているという方は、ぜひ参考にしてください。

【関連ページ】
システム開発にかかる費用・相場感や、あなたの目的別にシステム開発会社をお探しいただけます。
システム開発の費用・相場
システム開発会社一覧

システム監査とは、企業が使用している情報システムに対して社内外への信頼性や経営への有用性といった幅広い観点から評価を実施し、改善点の発見や改善策の提言を行う行為を指すものです。経済産業省による「システム監査基準」では、その意義と目的が以下のように定義されています。
「情報システムにまつわるリスクに適切に対象しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係社に対する説明責任を果たすこと」
出典：経済産業省「システム監査基準」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

情報システムの運用にはさまざまなリスクをともない、場合によっては経営に大きな打撃を当たる可能性も。業務で活用するのなら、リスクをコントロールしながら安定性・安全性を確保することが大切です。システム監査は情報システムと経営上のリスク回避に有効な手段であることから、現代の企業活動においては必要不可欠とされています。

システム監査は法的に義務づけられていない任意監査ですが、必要性・重要性が高いとされている理由は以下の通りです。
・システムの無駄を発見・改善できる
・システムにかかるコストを削減できる
・保守・運用を充実させてシステムを安定稼働できる
・システム障害によるチャンスロスを回避できる
・システム障害から迅速に復旧する体制を構築できる
・セキュリティ強化によりシステムの堅牢性・安全性を向上できる
・システム開発・導入のプロジェクトについて見直し・改善ができる
システム運営・経営上のリスクを抑えながら多くのメリットを得られることから、多くの企業がシステム監査に取り組んでいると言われています。

システム監査においては、自社で運用する情報システムを「信頼性」「安定性」「効率性」という3つの視点から検証・評価します。ここからは、それぞれの視点での検証・評価項目を紹介します。
＜信頼性＞
・業務上で必要な品質、安定性を確保できているか
・障害に対する予防策が行われているか
・障害の発生時にも影響を最低限に抑え、迅速に復旧できる体制が構築されているか
・万全のバックアップ体制があるかどうか
＜安全性＞
・災害時にシステムを保護することができるか
・外部からの攻撃に対するセキュリティ対策が行われているか
・情報の盗難や内部からの持ち出し、紛失を防止できる体制があるか
＜効率性＞
・情報システムの構築や運用に対する投資に見合う効果を得られているか
・経営活動の中で情報システムを有効活用できているか

システム監査と混合されがちなものに「IT監査」があげられます。いずれも情報システムに関する評価を実施する点は共通していますが、以下のような違いがあります。
＜システム監査＞
・監査目的を企業が自由に設定できる
・監査の内容を自由に設定できる
・社内外を問わず監査人を自由に選定可能
＜IT監査＞
・法定監査であるため自由な設定ができない
・財務報告の適正性の判断を目的に行われる
・外部の独立した監査人が実施する必要がある
両者の最大の違いは「法的に義務づけられているか否か」という点です。システム監査はIT監査のように法的制限が設けられていないため、自由度が高いという特徴があります。

システム監査は一般的に以下の流れで進められています。
①監査範囲と目的の決定
②予備調査・本調査
③監査報告書の作成
④意見交換会の実施
⑤監査報告会
⑥フォローアップ
システム監査を行う際にはよりスムーズに進めるためにも、全体の流れとそれぞれのステップで行うべき業務を事前に把握しておくことが重要です。ここからは、各ステップで行う業務を流れにそって解説していきます。

システム監査にあたっては、まず「監査の目的」と「監査の範囲」を決定します。例としてあげられるのは「システムを安定稼働させるために技術上の問題、想定されるリスクを把握・改善しておきたい」といった内容です。システム部門の抱える課題や監査すべき項目を調査し、経営戦略や経営計画も踏まえて監査の目的・範囲を明確にしていきます。
続いて「監査概要」「監査項目」のレビューを実施し内容を確定させたら、監査をスムーズに行うための「監査計画書」を作成するとともに、監査の対象となる部門への説明も実施します。

システム監査は一般的に「予備調査」と「本調査」のプロセスを経て実施されるものです。それぞれの概要と業務内容を以下で説明します。
・予備調査
監査対象部門へのヒアリングを通じて実態を調査し、その情報をもとに本調査の項目の設定や、資料や調査票、チェックリストなどの作成・確認を行います。
・本調査
「監査計画書」の内容をもとに、質問票やヒアリング、現場調査などを通じて実態を調査し、得た情報を監査証拠として保管します。

調査の内容・結果を「監査報告書」にまとめます。調査結果に対して確認・分析・評価を行った上で、調査の全体像をわかりやすく記述していきます。監査報告書へ盛り込む主な内容は、以下のとおりです。
・システム監査の実施状況
・監査計画で設定した監査範囲・項目
・上記の評価
・総合評価
・問題点・課題点
・改善すべき項目
・改善案
監査報告書は対象部門の責任者や事業者、経営者へ監査結果を報告するための書類であるため、それを踏まえて「明確かつわかりやすくまとめる」ことが大切だと言えます。

システム監査を実施して監査報告書を作成しても、監査実施者と対象部門の間で「事実」「内容」に対する認識が相違しているという場合があります。監査報告書の作成後には意見交換会を開催し、監査実施者と監査対象部門の責任者の間で「報告書の内容に誤認がないか」の確認や議論を行います。
システム監査の実施者は、意見交換会を通じて得た情報や意見をもとに監査報告書を修正し、完成版・最終版へと仕上げていきます。

意見交換会を経て監査報告書の修正を終えたら、報告前に「システム監査計画・システム監査基準を満たしているか」「計画・基準にそった調査を実施できたか」などに関する最終確認を行います。問題なければ監査報告会を実施して監査結果を報告すれば、実施段階のステップは完了です。報告の完了後には、監査内容にしたがって改善を進めるフォローアップへと進みます。

フォローアップでは監査で判明した問題点に対して、主に以下の業務を通じて確実な改善を図ります。
①監査結果にもとづく改善
②改善に対する確認・助言（フォローアップ）
③監査報告書に改善報告書を追加して総括報告書を作成
④事業者へ報告
⑤監査の内容に関する反省会通じて次のシステム監査につなげる
フォローアップはシステム監査を通じて得た成果を改善へ活かすための重要なステップです。システム監査を無駄にしないためにも、確実に遂行することが重要だと言えます。

「自社にあった会社が見つからない」「会社選びに時間が割けない」とお悩みの方は、お気軽に「アイミツ」にお問い合わせください。数あるシステム開発会社からあなたの要望にあった会社をピックアップして無料でご紹介いたします。

システム監査を行う企業が増加する背景には、監査によって情報システムだけでなく経営にも大きな効果が期待できるというものがあります。具体的には、以下が例としてあげられます。
・コスト削減
・顧客満足度の向上
・システムライフサイクルの最適化
ここからは、システム監査によって得られる効果について詳しく解説していきます。システム監査の導入・実施を検討中の方は、具体的な効果についても把握しておきましょう。

システム監査を行うと、自社システムの「必要な機能」と「不要な機能」の明確化が可能です。不要な機能の撤廃やコストパフォーマンスの低い機能を改善することで、システム運用に関するコスト削減が期待できます。
企業活動において情報システムは重要な存在ですが、無駄なコストの発生は利益の圧迫にもつながりかねません。根拠ある調査データをもとにシステムの改善を図れば、経営にも大きな効果をもたらすのではないでしょうか。

システム監査はシステムの安定稼働を阻む障害やトラブルの原因を取り除けるだけでなく、障害・トラブル発生時にも被害を最小限に抑えて速やかに復旧できる体制の構築にも役立つものです。そうしたシステム環境が実現すればメンテナンスの頻度・回数を減らすことができ、安定的な商品・サービス提供につなげられるため、顧客や取引先の安心感や信頼感、満足感の醸成が可能となります。安心感や信頼感があり、満足度の高いサービスはリピーターも獲得しやすいため、将来的な事業規模の拡大にも貢献するのではないでしょうか。

システム監査ではシステムの一連のライフサイクルに対する適切な評価を行うため、自社のシステムライフサイクルを最適化できるというメリットがあります。システムの状態や寿命を判断し妥当かつ無駄のないスケジュールを組めれば、新規開発・追加開発のタイミングを逃すことや遅延発生の防止が可能です。万が一プロジェクトに遅延が発生した場合であっても、原因・課題を明確化した上での適切なフォローが叶うでしょう。

本格的なシステム監査を社内で行うべく、「監査人を育成したい」と考えている方もいるのではないでしょうか。システム監査は特別な資格がなくても実施できますが、資格の取得を通じて体系的に知識・スキルを身につけられ、客観的に実力を示すことが可能となります。実際に現場で活躍できる人材を育成したいのなら、
・システム監査技術者
・公認情報システム監査人
・情報システム監査専門内部監査士
といった資格の取得を促すのもおすすめです。ここからは、それぞれの資格について解説していきます。

システム監査技術者（AU）は、経済産業省が認定する国家資格です。試験は午前・午後に分けて実施され、システム監査に必要なIT知識や情報システムを総合的に評価・報告できる能力に関する審査が行われます。午前の出題範囲はテクノロジーやマネジメント、ストラテジーの3分野。午後には実践や法規、行動規範などに関する問題が出題されます。
出題の範囲が広く難易度も高いことから合格には数年単位での学習を要するとされていますが、資格取得者は「システム監査に関する確かな知識・スキルを持つ人」だと言えるでしょう。

公認情報システム監査人（CISA）は、米国の非営利団体であるISACAが認定を行う国際標準資格です。資格の取得（認定）にあたっては、試験への合格にくわえて5年以上の実務経験の証明の提出が求められます。試験の出題内容は、以下のとおりです。
・情報システム監査のプロセス
・ITガバナンス・マネジメント
・情報システムの取得・開発・導入
・情報システムの保守・運用・管理
・情報資産保護
世界的に高い認知度を誇る歴史ある資格であることから、情報システム監査に関する専門的な知識・スキルを習得していることを証明sるのに有効な資格と言えます。

情報システム監査専門内部監査士は、一般社団法人日本内部監査協会による認定講習を修了した人に与えられる民間資格です。受講対象は内部監査業務の従事者などとなっており、以下のカリキュラムを学びます。
・情報システム監査のフレームワーク
・情報システム監査の管理・監査の方法・実施手順
・情報セキュリティ・個人情報保護の管理・監査
・IT統制評価の実例・実務
・内部統制報告制度の評価・監査 など
認定講習への出席状況と論文審査によって合格者が決定され、合格者には認定証書と情報システム監査専門内部監査士の称号が与えられます。

情報システムは効率的な企業活動に不可欠な存在の1つであり、今後もIT技術の進化や普及にともなって重要性がさらに高まっていくと予想されています。自社で使用している情報システムの信頼性・健全性を保つためにも、定期的なシステム監査の実施は非常に重要です。社内に監査人が不在という場合は、システム監査に対応しているシステム開発会社への依頼も1つの手段と言えるでしょう。
「アイミツ」ではご要望を伺った上で、条件に合うシステム開発会社を無料で複数社ご紹介可能です。会社選びでお困りの方は、お気軽にご相談ください。

【相談前にまずは会社一覧を見たいという方はこちら】
システム開発会社一覧
【費用感を知りたいという方はこちら】
システム開発の費用・相場