サービスマネジメント(2)
システム監査
システム監査
システム監査
「システム監査」は独立した第三者である「システム監査人」により、経済産業省の「システム監査基準」において、システムを総合的に検証・評価し、関係者に助言や勧告を行う。システム監査は発展的な業務を行う上で重要
システム監査の目的
システム監査には、情報システムの信頼性、安全性、効率性を高める目的がある
システム監査のプロセスの流れ
システム監査計画の策定
監査目的である経営目的適合性を明確にし、監査の対象となる情報システムなどを設定する。数年単位の「中長期計画書」、毎年度行われる「基本計画書」、監査項目単位の「個別計画書」といったものを含む「監査計画書」を作成する
システム監査基準
情報システムを適切に監査するための仕組みのこと。システム監査を実施する際、システム監査人に求められる行動規範が示されている
監査証跡
情報システムや利用情報のログ、エラー状態のログなど、追跡調査ができるような情報のこと。それらを精査し、監査の目的である情報システムの信頼性、安全性、効率性などを証明する。すべてのログを検証するのは困難なため、システム監査計画の時点で、必要な監査証跡を選定しておく
予備調査
本調査を行う前に、円滑な監査を行えるように関連文書やチェックリストなどを作成します。この結果により、本調査で詳細な調査が必要になりそうな項目を洗い出したり、監査個別計画書を修正したりする
本調査
担当者へのインタビューや、関連記録のつき合わせ、コンピュータを利用した監査など、被監査部門に赴いて作業することが主体となる。ここで調査した結果は「監査証拠」として保管される
システム監査報告書の作成
システム監査を終えると、その結果を経営者や被監査部門、関係部門に正確に伝えるための「システム監査報告書」を作成する。システム監査報告書には実施概要を示す「基本要件」「実施」や、監査結果を示す「総合評価」「個別問題」といった項目がある
意見交換会
監査報告書に記載されている内容に誤認がないか、被監査部門の代表者と意見交換を行う。被監査部門の代表者の意見を反映し、システム監査報告書を修正・加筆して完成させる
監査報告会
完成したシステム監査報告書を経営者に説明する「監査報告会」を開く
フォローアップ
「フォローアップ」では、システム監査報告書の内容に従い、システム監査人がシステムの改善勧告を行い、改善状況を確認・改善の実現を支援する
その他の監査業務
| 会計監査 | 会社の会計処理の方法、およびその結果として作成された財務諸表の適切性について監査する。公認会計士や監査法人によって行われる。 |
|---|---|
| 業務監査 | 会社の中で行われている業務活動が、組織体の方針・計画・手続きに準拠しているか、効率的かつ効果的かについて監査する。内部監査人や監査役によって行われる。 |
| 情報セキュリティ監査 | 情報セキュリティに対して対策基準や対策方法などを第三者によって監査する。内部監査人や監査役によって行われる。 |
内部統制
内部統制
内部統制とは企業が業務を適正に行うための体制を構築すること。内部統制を行うには、業務の流れに透明性を持たせ評価する「業務プロセスの明確化」、一つの職務を複数の担当者に分けて行う「職務分掌」、実施ルールの設定、および、そのチェック体制の確立などが必要
内部統制の未整備により起こる会社の不祥事への対策として、米国のサーベンス・ オクスリー法、すなわち「SOX法」が知られている。日本でも、米国のSOX法を参考とした「日本版SOX法(財務報告に係る内部統制の評価及び監査の基準案)」が2006年6月に参院本会議で可決・成立した。この中で内部統制は以下のように定義されている
| 内部統制とは、基本的に業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守ならびに資産の保全の4つの目的が達成されているという合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスク評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される |
内部統制の目的
内部統制には、業務活動を支援するための4つの目的がある
基本的に業務の有効性及び効率性
業務の有効性:業務目標が達成された度合い
業務の効率性:目標に対して、時間、人材、コストなどが合理的に使用されること
達成度や合理性を測定・評価する整えることで業務目標の達成を支援する
財務報告の信頼性
業務報告に虚偽記載が生じることのないように体制を整え、財務報告の信頼性を支援する
事業活動に関わる法令等の遵守
法令、基準、規範などを遵守する体制を整え、事業活動における法令遵守を支援する
資産の保全
企業が保有する資産の取得や使用、処分を正当な手続きの下で行うための体制を整え資産の保全を支援する
内部統制の基本的要素
内部統制の目的を達成するために必要な6つの基本的要素がある。これらは世界標準として活用されている「COSOフレームワーク」に基づいている
統制環境
内部統制を実現するための基盤となる組織の環境(風土)を整える。具体的には、組織の目標や指針、行動規範などを明確にし、組織の一人一人に周知することで、意識を向上させるる
リスク評価と対応
組織目標の達成を阻むと思われるリスクを識別し、分析・評価することで、リスクへの対応策を検討する
統制活動
内部統制を業務活動の中に取り入れるための、指針や手続きのこと
| ・業務のプロセス、違法行為や不正行為などが発生するリスクを明確にする ・担当者の権限や職責を明確にするとともに、職務分掌を図る ・リスクに対応する際の実施ルールを設定し、適切に実施されているかどうかを チェックする体制を確立させる |
情報と伝達
組織内のすべての者が、必要な情報を正確に取得し、伝達、共有できるような環境を整備する
モニタリング
内部統制が正しく機能しているかを評価する。計測的に行う「日常的モニタリング」、定期的に行う「独立評価」、違法行為や不正行為などを知り得た者が行う「内部通報制度」などがある
ITへの対応
組織目標を達成するための方針や手続きを定めた上で、業務の実施において必要とする情報システムを適切に取り入れること
ITガバナンス
企業が競争優勢構築を目的にIT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力のこと。一般的には、情報システムの活用を推進するためにIT戦略を策定し実行を統治するものとされる
ITシステムの導入には莫大な投資が必要だが、十分な効果が得られなければ多大な損失を被ることになる。ITガバナンスは適正に運用されるITを活用することにより、経営戦略を実現し競争力を高めるためのメカニズムを確立すること
