システム監査について知ってもらいたいこと


システム監査


 システム監査とは、情報システムが企業や組織の目的に沿って開発されているか、
また、適切に運用、利用がされているかどうかを、当事者から独立した立場で評価し、
その結果を報告する活動のことです。
 報告は、内部的には経営者をはじめとした組織の管理者層や情報システムのユーザーが対象となります。
また、外部的には監査を受ける情報システムに影響を受ける取引先や関係者などが対象となります。

 システム監査を受けるということは、情報システムの安全性、信頼性、効率性についてのリスクや課題を把握し、
情報システムに対する投資や外部委託先の選定を行う場合の意思決定、また、リスクの発見による改善策の実施
を行うために必要な情報が提供されるということです。
 システム監査を有効に活用することは、企業活動の上でも役立ちます。

システム監査とコンサルティング
 システム監査はコンサルティングとは違うものです。
 システム監査に当たる私たち監査人は、ITを中心として、皆様の企業活動のサポートを行う
コンサルタントとして十分に活動できるだけの知識や経験、能力を持っています。
 そのため、監査とコンサルテーションを同じように見てしまう人が多く見受けられます。

 もちろんコンサルティングにより、企業内の改善が一歩進むことは間違いないのですが、
まず、現在の状況がどのような状態なのかをしっかりと見極めることが」重要なのではないでしょうか。
 その第一段階として、現状をつかみ、企業の方向性を明確にするために
システム監査を活用すると良いのではないでしょうか。

システム監査とセキュリティ監査
 システム監査の範囲は、およそ20年前の状況から、ITの進歩とともに変わってきました。
 21世紀は情報システムが企業の経営活動に大きく影響を与える時代となり、
システム監査は情報システムに関することだけでなく、情報システムが企業の目的を達成するために
安全で信頼でき、効率的かつ有効に利用されているかを監査することが中心となってきました。
 その結果、情報セキュリティ全般にわたって、システム監査の一環として捉えられ、監査活動が行われるように
なってきました。
 いまや、情報セキュリティだけを切り離して情報やシステムのことを考えることはできなくなってきています。

 セキュリティの部分だけを取り出せばセキュリティ監査という表現になります。しかし、本質的なことからいえば、
情報および企業システム全般の中でのセキュリティを監査することになります。

 昨今、個人情報の漏洩やWEBの改竄が後を絶たないですが、セキュリティの基本が適切に構築されているか、
また、それが適切に運用されていて、実効性があるのかについては、是非監査をお受けになられると良いと思います。

上級システムアドミニストレータ
元 公認システム監査人
元 近畿職業能力開発大学校 講師
創玄塾 代表
関西 康一郎