士業・管理部門のキャリアコラムが集う場所
カテゴリ
カテゴリ
企業が高度にシステム化してくると、システムそのものが正しいかどうかを検証しなければなりません。そんな時、システム監査というものが登場します。
それでは、システム監査とはどのようなことを行うのか、またそのやりがいやIT知識について解説します。
システム監査とは、企業が利用しているシステムについて、信頼性が確保されているかどうかについて外部もしくは内部の独立した人員が保証する制度を言います。
システム監査は、会社が構築されているシステムについて障害がおこるリスクはどの程度か、企業経営に有効利用されているか、外部からの攻撃に耐えられるかどうか等の様々な観点から実施されます。
総合的にテーマを設定する場合もありますし、テーマを絞って行われる場合もあります。いずれのテーマを選んだとしても、次のようなステップによって評価をしていくことが多いです。
テーマが決まれば、次に予備調査というものが行われます。予備調査では、あらかじめ企業にシステムの概要や質問事項について回答を得ておいて、どこを重点的にどのように監査すべきかをシステム監査人が決定します。
また、重要な問題点を発見した場合には、テーマに組み込むかどうかを再度評価します。
予備調査の評価結果に応じてどのように本調査を進めていくかを決定します。
本調査では、システム管理責任者とのヒアリングや、サーバーやシステムそのものの実態調査、システムの管理簿等を実際に閲覧することで進めていきます。
具体的には、IDやパスワードの付与状況や誰でもサーバーにアクセスできるようになっていないか等のセキュリティ状況を確認することや、ダミーデータをシステムに流し込むことによって、期待される結果が得られるかどうかを判断するような大掛かりなものまであります。
システム監査で得られた情報はエクセル等によって書面にまとめられ、どのような問題点があるかどうかを最終的に経営者やシステム責任者に報告することとなります。
このような改善すべき報告を受けた経営者等は、システム管理部門に対して改善の指示書を出すかどうか決め、指示書を受け取った部門は改善したことについて後日報告をすることとなります。
ただし、システム監査実施者とシステムを実際に動かしている現場では温度差もあるため、このような温度差を無くすためには双方が十分なコミュニケーションを取り、勘違いなどをしないようにすることが必要です。
システム監査とよく似た言葉にIT監査というものがあります。IT監査というのは、公認会計士が行う会計監査の一環で行われる監査を言います。
IT監査はシステム監査が企業のシステム全てに係る監査であるのに対して、財務諸表の信頼性を確保するための監査であるところに違いがあります。
公認会計士は監査クライアントの財務諸表が正しいと判断するために、様々な監査手続を実施します。
しかし、企業は大規模化していて、一つ一つ資料と突き合わせることは大変非効率です。そこで、システムで集計されている項目などはそのシステムが正常に動いている場合は正しいとみなして監査を続けます。そこで、IT監査を実施してその信頼性を評価することが求められます。
IT監査は簡単な物であれば公認会計士が直接評価を行いますが、高度なものはITの専門家に頼むことがあります。ITの専門家というのは、システム監査を行うような人材から、公認会計士でありかつシステム監査人であることもあります。
どちらにしても財務諸表の信頼性に関連することにフォーカスするため内容はシステム監査よりも狭いので、必要な知識はシステム監査よりも限定されてきます。ただし、まとめる調書は公認会計士の監査調書として使えるように一定の書式で作成しなければならないため、そのスキルが別途求められます。
システム監査で必要なIT知識は、どのようなシステムを扱うかによって異なります。
プログラミングまでの知識を問われることは稀で、通常はシステムをコーディネートできるくらいの知識があれば問題ありません。
しかし、システムをいくら知っていても監査をどのようにするかは別問題ですので、例えばCISA(公認情報システム監査人)やシステム監査技術者といった資格を持っているとシステム監査を行いやすいと言えるでしょう。
システム監査の能力は、会社内部の内部監査室等で力を発揮します。
通常、内部監査室というのは会社の内部に精通している人がなるのですが、システムに詳しい人間がなるとは限りません。
そこで、会社の内部に精通している人が通常業務の監査を行い、システムに関連する事項についてはシステムに強い人が担うことがあります。
また、先ほどお話したIT監査にもシステム監査の経験は大いに役立ちます。IT監査の場合は監査法人に所属することとなり、各財務諸表監査対象クライアントに監査チームと同行してレポートを作成することとなります。
今後IT監査はますます重要となっていく一方で人材はなかなか確保できない現状から、待遇についてもますます良いものとなっていくことでしょう。
システム監査もIT監査も会社のシステムが高度化するにつれて需要が増していく分野となっています。ある程度システムに精通をしていて今後のキャリアアップを考えた場合に、システム監査やIT監査の専門家も選択肢の一つとして考えてはいかがでしょうか。
シェア
