今回は情報システム監査人が何をするのか、具体的な業務内容について解説する。
理解しやすいよう、前回に述べたCISA(公認情報システム監査人)試験の内容に沿った形で説明する。同試験の出題範囲の一つに「情報システム監査のプロセス」があり、これが情報システム監査人の業務に関する知識を問うものだからである。
まずは「監査」という言葉の定義を確認しておこう。監査とは何かと問われたら、厳密に言うとこうなるだろう。「順守すべき法令などの基準に照らし合わせるため、監査対象となる業務や成果物が基準に則っているかどうかの証拠を収集し、証拠に基づいて評価し、評価結果をステークホルダー(利害関係者)に報告すること」である。
つまり、業務が基準通りに実行されているかどうか、社内文書などを集めたり社内の担当者にヒアリングしたりするなどして実態をつかみ、基準と照らし合わせ、結果を評価して報告し、不備があれば改善提案まで行う。基準通りに実行されていなければ、企業にとってリスクになる可能性が高い。そして、改善策の実施状況まで確認する。これら「計画」「実施」「報告」「フォローアップ」の四つの業務が監査の業務であり、実行するのが監査人である。一般には、会計業務を対象に実施する監査である会計監査が知られる。
同じ監査でも、企業情報システムを対象に監査するのが、情報システム監査である。実行するのが情報システム監査人で、社員(社内の監査部門などに所属する場合が多い)が担当する場合と、委託した外部の監査法人の情報システム監査人が担当する場合がある。いずれが担当する場合も、業務内容は同じである。以下では、具体的な業務内容について解説していく。
監査人の業務は「計画」「実施」「報告」「フォローアップ」
上述したように、情報システム監査人の業務は「計画」「実施」「報告」「フォローアップ」の4つに分かれる(図)。
「計画」とは、監査手順を事前に決めておくことだ。監査に必要な社内文書は誰が保管しているか、入手するにはどういった手続きが必要かなどを事前に把握し、監査の当日にスムーズに監査を実行できるようにする。情報システム監査に必要な社内文書とは、過去の監査調書のほか、現在の業務フローやりん議規定、企業の組織図、年度予算計画、情報システムの構成などである。可能であれば,これらを事前入手しておく。
もし、RCM(リスク・コントロール・マトリクス)を作成している場合は、これも監査を進めるうえで参考にする。RCMとは、業務や情報システムのどこにリスクがあり、各リスクにどんな対策を打っているかを一覧表にしたものだ。最近は多くの企業が内部統制を実施する関係で、RCMを作成している。情報システム監査にもRCMは大いに役立つ。
