今回は、IT監査やシステム監査と呼ばれるものが一体何の目的で、何を行っているものなのかを気になっている方に向けて、
入門的に、簡単に、概略を説明していきたいと思います。
私自身が、社内SEから転籍して大手監査法人にてIT統制監査に従事していた経験があり、現在もその経験をもとに業務を行っています。
・新卒で入社した上場企業の情報システム部で社内SEとして勤務
・大手監査法人においてIT統制監査に従事
・一般事業会社と監査法人の両方を経験
今回は、その経験を踏まえて、IT統制監査について解説したいと思います。
なお、参考までに、下記の記事で、現職SEで疲弊している方に向けて、IT監査人、システム監査人という道を、次のキャリアの一つとしてオススメしております。
また、より詳しいIT監査の実務解説は以下の記事もご参照ください。経験に基づき、詳しくご紹介しています。
IT監査とシステム監査
今回の記事でお話しすることをより詳しく知りたい方は、下記の書籍が大変参考になりますので、興味があればお手に取ってみてください。
専門書の割に、そんなに分厚い本ではないですし、価格も高くはないです。
まず「システム監査」と「IT統制監査」という二つの概念があるので、まとめておきます。
私はともに経験をしていますが、主に従事しているのは、財務報告に関係する「IT統制監査」の方になります。
内部統制とIT統制について
まずはIT統制監査の大前提として、その親玉となる「内部統制」について簡単に説明します。
下図の通りになりますが、要は平たく言うと、
企業が公に財務報告をするにあたって、不正や誤りによって、間違った財務報告をしてしまうリスクを押さえるための、社内管理の仕組み
といったところです。
IT統制監査とは、このIT統制を外部の独立的な立場から、監査する業務のことになります。
IT全社統制、IT全般統制とIT情報処理統制について
では、そのIT統制とは何なのか、まずは3つの統制の関係性と概略をまとめておきます。
このように書くと難しいですが、平たく表現すると以下のようなイメージになります。
企業組織全体として、企業内部の人間が、ITや情報システムを使うにあたって生じるリスクを、適切に管理する仕組みや体制のこと。
企業の職員が利用するITや情報システムが適切に動くための前提として、その土台となるIT環境(ネットワーク、OS、DB、アプリケーションなど)がきちんと管理されていること。
【IT情報処理統制】
企業内部の人間が利用するITや情報システムが、業務上の処理を適切に行ったり、誤りがあれば修正したり、業務に対応した権限だけが職員に与えられることを確保する仕組みのこと。
システム監査とは
もう一つの「システム監査」についても、少しふれておきます。
上記で見てきた「IT統制監査」は、内部統制報告制度における外部監査(独立的な立場の監査法人による監査)がメインです。
一方で、「システム監査」は、企業内部にある内部監査部門が実施するもので、財務報告に関係なくすべての情報システムが対象となる、より大きな概念になります。
簡単にいうと、企業のITの利用状況とそのリスクに応じて、経営上、大事なポイントを監査して、ITガバナンスを維持するためのものです。
ただ、監査手続きの方法はIT統制監査とよく似ているので、監査法人内の(外部監査ではなく)アドバイザリーとして、企業のシステム監査の支援をする専門家は多くいます。
企業の内部監査部門や、IPO準備企業やベンチャーのCIO・CTOを目指したい人は、経験しておいて損はない分野です。
IT監査・システム監査を学べる検定試験
このようなIT監査・システム監査の領域を網羅的に学べる検定試験がありますので紹介しておきます。
・公認情報システム監査人(CISA)
私自身、このうちCISAを取得しており、勉強方法のまとめ記事と、二つの資格の違いに関する記事があるので、参考に貼っておきます。
まとめ
以上が、ざっくりとIT監査・システム監査について解説したものになります。
なかなか、監査の世界はイメージが付きにくい部分があると思うので、興味があれば、冒頭で紹介した書籍も参考にしてみください。
また、IT監査の業界に興味のある方は、冒頭紹介したこちらの記事にも書いておりますので、ご参照ください。
以上、参考になれば幸いです。
