Step.2 システム監査の理解
「システム監査」と言われても、携わったことのない方にはどのようなことをするのかイメージが湧きにくいかもしれません。ここでは、標準ガイドラインで扱うシステム監査の目的や全体像と、監査する側の準備について、説明します。
システム監査とは何かを理解する
【標準ガイドライン関連箇所:第3編第10章第1節】
監査の種類を理解する
「監査」と聞くと、会計検査院が実施する会計検査や、会社法、金融商品取引法に基づく財務諸表監査を思い出す人も少なくないと思います。これらは、会計監査に当たりますが、標準ガイドラインで扱うシステム監査は、業務監査の一部に位置付けられます。また、監査人が誰かにより監査が分類されることもありますが、その分類においては内部監査に当たります。
また、システム監査と混同しがちな監査に、情報セキュリティ監査があります。情報セキュリティ監査は、元々はシステム監査における監査テーマの一つであり、近年、情報漏えい等の多くの情報セキュリティに関する事件・事故が多発してきた結果として、情報セキュリティに特化した監査として定着してきているものです。
これらの関係を示せば、次のようなイメージとなります。
- 図10-1
一般的な内部監査における各監査の関係性
では、システム監査は何のために行うものでしょうか?
システム監査は問題解決の近道となる
標準ガイドラインでは、システム監査の目的を次のように示しています。
システム監査は、プロジェクトの目標を達成するための活動です。日々のプロジェクト管理作業に追われていると、近視眼的に作業効率を重視するあまり、本来の目的を見失ってしまい、当初の目的から外れた活動(手段が目的化してしまう等)になったりしてしまうことが少なくありません。これらを是正せずに作業を続けた場合、情報システムが意図したとおりに構築・改修されない、不必要な機能構築や人件費の積算、不適切な業務・システムの運用の定着、情報漏えい等の様々なリスクが顕在化することにより、プロジェクト目標が達成されないおそれがあります。これらを未然に防止するために、客観的な視点からプロジェクトの活動を点検・評価し改善していく活動がシステム監査です。PDCAサイクルにおける「C」チェックに相当します。
そのため、システム監査では、例えば、「不具合が多く発生しているから問題である」という現象を評価するのではなく、不具合を発生させている原因についての言及する、例えば「不具合を収束させるためのプロセスや体制に問題がある」、「不具合が組み込まれやすいプロセスになっている」というような評価をすることになります。
なお、どのような目的で監査を行うか、何を評価するかは、PMOが定め、システム監査の府省全体の計画である「システム監査計画書」としてまとめます。監査の対象となるプロジェクトもこの中で定められます。
監査対象に選ばれたプロジェクトは、本システム監査が問題解決のきっかけになりますので、監査結果による指摘への対応を含め、ぜひ前向きに捉えて取り組んでください。
システム監査の準備や実施には、監査する側も受ける側も、ともに時間を要します。効率的にシステム監査を進められるよう、PMO等の監査実施者の求めに応じ、監査対象となったプロジェクトの皆さんの協力が必要となります。例えば、システム監査の実施計画を立案するために必要な日程・関係者等の調整や、必要な資料の提供、インタビューへの出席、質問への回答等がありますので、監査対象のPJMOは積極的に協力してください。
システム監査基準・システム管理基準を理解する
「システム監査基準」及び「システム管理基準」は、経済産業省が策定・公表した、システム監査を適切に行うための基準です。
「システム監査基準」とは、システム監査の品質を確保し、有効かつ効率的に監査することを目的とした、監査体制(監査責任者及び監査実施者)の行為規範及び監査手続の規則等を規定したものです。この基準は、様々な視点での監査をカバーし、また様々な組織が利用できるよう、汎用性のある内容になっています。
「システム管理基準」とは、監査の効率的・効果的遂行を可能にする判断の尺度を規定したものです。この基準は、情報システムの管理において共通して留意すべき基本的事項を体系化・一般化したものですので、対象となるプロジェクトの目的や業務の特性、情報システムの特性等に照らして適切な項目の取捨選択や対応内容を修正するなどを適宜行いながら活用してください。
- 参考10-1
経済産業省 システム監査基準・システム管理基準
システム監査の全体像を理解する
【標準ガイドライン関連箇所:第3編第10章第1節】
システム監査には、いくつかの役割が存在します。大きく分類すると、監査計画・報告に関する承認(合議制機関(府省の情報化推進委員会等)など)、監査の指示(PMO)、監査の実施主体(監査体制)、監査対象(PJMO)の4つに分かれます。
以下の図にてシステム監査の体制と関係を示します。
- 図10-2
システム監査の全体体制
PJMOが監査を指示する場合であっても、監査を行う監査体制は、PJMOとは独立した体制とすること(客観的な評価が行えること)がとても大切です。監査体制については、「3 適切な監査が行える体制を作る」で詳しく触れます。
次に、監査のおおまかな流れをご紹介します。
- 図10-3
システム監査の流れ
具体的な内容は、以降で触れていきますので、ここでは、システム監査の大まかな流れをつかんでいただければ結構です。
適切な監査が行える体制を作る
【標準ガイドライン関連箇所:第3編第10章第1節1)】
監査体制は、監査対象となるプロジェクトの体制や進め方を客観的に点検・評価する趣旨から、原則として、そのプロジェクトの利害に関係しない及びしたことがない者で構成されることが望ましいです。これは、利害関係者が関与した場合、問題点の抽出や見直しを客観的に実施できない可能性があるためです。場合によって、一部の作業を外部事業者に委託し、監査を実施することも可能です。
さらに、監査体制には、業務に詳しい者とITに詳しい者の両者が必要となります。監査は、その実施に当たり、情報システムの目的すなわち、情報システムを活用した業務で達成すべき目的あるいは目標が実現されているかが主要な観点となるため、業務の視点からの課題の抽出、助言の実施は欠かせないものとなります。また、当然にITに関する知見がないと、情報システム上の課題や助言ができない事になりますので、どちらかの視点が欠けても、課題の抽出や提示する改善案の内容の網羅性(業務及び情報システムの両方の視点)を網羅、担保できない可能性が高くなります。
なお、監査体制に政府デジタル人材、高度デジタル人材が加わることも有効です。政府デジタル人材、高度デジタル人材が持つ様々な知見から、効果的な確認観点の抽出や効率的な実施方法の選定等をスムーズに行うことができます。
- 事例10-1
職員が中心となりCIO補佐官の助言を得ながら監査する
システム監査に必要な人員が確保できない場合、監査体制そのものをPJMOが担うこともあります。ただしそのような場合でも、これまでの説明の趣旨に則り、できる限り、客観的な評価ができるよう心掛けてシステム監査を実施してください。