IT担当者必見!システム監査の目的と流れをわかりやすく解説
システム監査という言葉を聞いたことはありますでしょうか?
システム監査とは様々な側面から情報システムを評価し、改善策を助言する活動です。第三者が客観的な視点で監査することで改善点を見つけ、会社経営をよくしていきます。
緊急事態宣言の影響をうけてテレワークを推進する会社も増えてきていますが、情報漏洩やセキュリティに関する社内体制が整えられていない会社も多いかもしれません。
今回は、社内のシステム体制構築やシステム監査を実施しようとしている担当者向けにシステム監査とは何か概要をお伝えします。
目次
1.自社の情報セキュリティに懸念を感じているマネージャーは50%以上
ワンピ株式会社:「働き方改革と情報セキュリティ」に関する意識調査
ワンビ株式会社が、中小企業のマネージャー111人に「働き方改革と情報セキュリティ」に関するアンケート調査を行いました。
アンケートの中で「あなたの会社においてセキュリティに関する懸念はありますか?」という質問を行ったところ、50%以上のマネージャーが「懸念がある」という回答になりました。
このアンケートは2018年に行われたもので、新型コロナウイルス流行後に一気に働き方が変わり、今では結果が異なっているかもしれません。
しかしながら、リモートワークなどを導入することで手一杯になっており、情報漏洩のリスクやパソコンの盗難・紛失に関するシステム監査の体制を整えられていない会社は多いかもしれません。
また、日本IBMのニュース記事によると日本企業が情報漏洩した際に被る損失額が1件当たり約4億5000万とも言われており、システム監査が整えられていない会社であれば、さらなる損害を被る可能性もあります。
新型コロナウイルの影響で働き方が変わりつつあるタイミングでは、セキュリティ監査の社内体制を整えるチャンスであるとも言えるでしょう。次の章では、そもそもセキュリティ監査とは何かご紹介します。
2.システム監査の目的と評価基準を確認!
システム監査では、情報漏洩のセキュリティ対策はもちろん、業務への情報システムの活用度や災害時の安全性まで、幅広い側面から監査を行います。
システム監査の目的と具体的な内容を見ていきましょう。
2-1.経営戦略にも踏み込む!システム監査の4つの目的
経済産業省が「システム監査基準」の中でシステム監査の目的を大きく4つ定めています。
1.経営戦略の最適化
2.安全性、有効性、効率性の確保
3.外部への情報の信頼性
4.関連法規への準拠
ここで注目したいポイントは、最初に経営戦略に関する内容を記載している点です。
システム監査というと情報システムのみ行うイメージを持たれる方もいらっしゃるかもしれませんが、情報システムを通じて、会社全体の課題や戦略に踏み込む側面があるということです。
2-2.システム監査における評価基準~信頼性・安全性・効率性~
続いてシステム監査における評価基準を紹介します。
・信頼性
システム監査基準では「情報システムの品質並びに障害の発生、影響範囲及び回復の度合」と定められています。
具体的には、業務を行う中で要求した品質が実現されているか、情報システムが安定的に使える状態になっているか、障害が発生した時に素早く復旧できるかなどといった基本的な内容が基準として定められています。
まずは信頼性があるかという最低限の内容が評価の軸として見られると言えるでしょう。
・安全性
安全性とは「リスク分析に基づいて、情報システムへの影響がどの程度抑えられるか」を調査することです。ここでいうリスクとは以下の4つになります。
災害:地震や新型コロナウィルスなど
故障:システムやネットワークにおける障害
過失:人為的ミス(操作、運用)、チェック漏れ
不正:不正アクセス、情報漏洩など
直近のニュースでは新型コロナウィルス流行による緊急事態宣言で、テレワークを推進するようになった企業が増えました。パソコンを外部に持ち出すようになったため、不正アクセスや盗難などのリスクが高まるようになった企業も多いはずです。
そのような中で企業が様々なリスクをコントロールできるかが重要になってきます。
・効率性
効率性では「企業経営に効果的に活用されているか、費用対効果に見合ったリターンが得られているか」を基準に監査します。
例えば、新しいシステムを導入する際の、導入費用、保守運用費用、人件費これらの費用が得られるリターンに対して見合っているのかをしっかり把握する必要があります。
情報システム導入の多くは、業務効率化や売上向上が目的でありますが、導入した後の効果検証も大切です。システム監査のタイミングで一度見直しを行うのもよいでしょう。
3.意外とシンプル!システム監査の流れ
システム監査で行うことを確認できたら、より具体的な流れについて解説します。流れとしてはシンプルです。
3-1.監査の目的と範囲を決める
システム監査には、法的な義務はありませんので、自由に決めることができます。各企業の課題に合わせて、監査の範囲、時期、種類を決めます。また、監査人の選定ですがこちらも自由に決めることができますので、専門家に委ねて、外部の知見を吸収するのもよいでしょう。
目的に関しては課題に合わせて決めるとよいですが、以下の内容などがあります。
・個人情報保護制度の体制監査
・情報セキュリティの体制監査
・外部委託した際の保守体制監査
監査前に課題と目的をしっかり確認しておかないと、監査後のネクストアクションがはっきり決まらず、改善できないケースもありますのでしっかり決めましょう。
3-2.システム監査の実施
予備調査と本調査で2回に分けて行うとよいでしょう。予備調査では、事前に各部署にチェックリストを渡したり、目的を伝えます。予備調査が完了したら、本調査に移ります。本調査では、従業員との面談や記録やシステムのチェックを行います。
本調査で重要なのは「証拠の確保」となります。最終的な報告をする際は、すべて明瞭な証拠によって裏付けられていなければいけません。
したがって、本調査を行う上での予備調査が非常に大切になってきます。予備調査での準備がしっかりできていないと資料があつまらなかったり、時間内に追えることができないケースもありますので、注意が必要です。
3-3.監査報告
監査が終わったら証拠をもとに分析・評価をし、報告書にまとめます。具体的には、発見事項、監査証跡、結論、提案を記載しますが、ここで重要になってくるのは「当初の目的と範囲」になります。
目的と範囲が曖昧であれば監査の粒度が合わなかったり、結論付けられるものがなくなってしまうからです。報告書をもとに監査を受けた部門と意見交換会を行います。ここでは、監査報告書の内容に相違がいないか確認を行い、担当者の意見を聞きます。
目的としては、社内体制をよくするためにディスカッションをするので、監査した者、監査を受けた者が協調することが大切です。
そして、意見交換会で得た情報をもとに監査報告会で経営陣に報告を行います。ここで重要なのは「改善策」がしっかり提示できているかが大切です。
3-4.改善項目の実施とモニタリング
最後に改善がなされているのかをモニタリングしながら実施状況を見ていきます。もし是正されていないようであれば、是正処置やさらなる監査を検討します。
ただ、あまりに早いタイミングで、モニタリングを始めると、現場が追いついていないという状況になってしまう可能性もあり得ます。現場の担当者と話し合いをしながら、現実的な改善計画を一緒に建てていくのが監査人の役割だとも言えます。
4.システム監査におけるneconoteの提供ソリューション
今回は、システム監査の目的と具体的な手順についてお伝えしました。システム監査は法的な義務がなく自由度が高い監査であることが特徴です。
HINODEの「neconote(ねこのて)」では、バックオフィスのサービスをこれまで有名スタートアップ含む300社以上に、人事・総務・経理などの業務を代行から仕組化、構築後の引継ぎまで対応してきました。
・金額、スケジュール、今後のこと含めてどの会社に依頼していいか分からない
・そもそも人手不足で対応するのが難しい
・できるだけ無駄な投資は止めて、いろいろなパターンの提案が欲しい
そんな悩みを持った方は「neconote(ねこのて)」がお客様のチームの一員として驚異の速さでバックオフィスの課題を解決します。バックオフィスでお悩みなら、ぜひ「ねこのバックオフィス」のHINODEにご相談ください。
