03-5835-2820
平日9:00~18:00
Zoom等オンラインでのご相談も可能です
ご相談はオンライン対応可能

「IT監査」をご存知でしょうか。よく似た言葉として、「システム監査」があります。システム監査にまつわる情報は他の多くのメディアで解説されていますが、IT監査にまつわる情報は少ないことに気づきました。

そこでこの記事では、「IT監査」にフォーカスを当てて紹介します。この記事で得られる情報は以下の通りです。

  • IT監査とはどのようなものなのか
  • IT監査とシステム監査の違い
  • IT監査の内容
  • IT監査の対策

この記事がお役に立ちましたら幸いです。

IT監査とは

会社法で定められている「会計監査」の一環としてIT監査が行われます。会計監査の項目のひとつ、という位置付けです。年に1度、会社の決算の時期に監査が行われます。

会社法による会計監査が義務づけられている会社は、以下のような会社です。

  • 資本金が5億円以上、または負債金額が200億円以上の大会社
  • 指名委員会等設置会社
  • 監査等委員会設置会社

会計監査の目的は、株主や債権者を保護するために、決算書の記載内容が正しい経営状況を示しているのかを確認することです。この確認を行う者は監査人と呼ばれ、会社に対して利害関係のない第三者である機関(独立した監査人)でなくてはいけません。監査人は、公認会計士または監査法人である必要があります。

会社法による会計監査では、財務諸表のチェックを行います。「貸借対照表」「損益計算書」「株主資本等変動計算表」「個別注記表」の4つの計算書類と、その付属明細書を揃える必要があります。これらの書類をチェックし、財務諸表に間違いがないか、数字が妥当なものかを確認します。

IT監査では、会計システムと財務諸表のお金の流れが一致しているか、システムが正しく運用されているかを第三者の機関からチェックを受けます。

財務諸表が適切に作成されているか、会計システムが適切に運用されているかを第三者がチェックすることで、会社の経営状況が正しく、信頼できることを担保します。

また、ISMS(情報セキュリティマネジメントシステム)というものがあり、この認証を取得するために監査を行う会社も存在します。ISMSの認証を取得すると、日本だけではなく国際的に信頼を得られる情報セキュリティレベルを達成している証明となります。

システム開発や保守・運用でお困りの方はこちらからお問い合わせください。

システム監査との違い

IT監査ととてもよく似た言葉として、システム監査があります。IT監査もシステム監査も、実施する目的は「システムが適正に運用されているかどうかを評価すること」のため、実施内容は類似することが多い傾向にあります。

IT監査とシステム監査の違いとしては、以下の3つが挙げられます。

  1. 実施の自由
  2. 目的設定
  3. 監査人

実施の自由

IT監査は会社法により義務づけられたものですが、システム監査は法令で義務づけられているものではありません。実施する・しないが任意で決定可能です。また、実施時期も自由に設定することができます。

目的設定

IT監査の目的と監査範囲は会社法により定められていますが、システム監査では自由に目的と範囲を決めることができます。

  • 情報セキュリティの管理体制の監査
  • 障害が起きた時の体制の監査
  • 個人情報の保護体制の監査……など

などのように、自社の課題に合わせて監査を行うことができます。

監査人について

監査人を誰にするかも自由です。社内の人間でも問題ありません。

システム開発や保守・運用でお困りの方はこちらからお問い合わせください。

IT監査の内容

主な実施内容は以下のとおりです。

  • システムの管理ルールチェック、運用状況の評価
  • システム障害時の対応ルーツ、実施状況の評価
  • 情報セキュリティの管理
  • 外部委託先の委託業務の管理体制の評価
  • アプリケーションの権限制御の有効性の評価
  • システムのデータのチェック

ひとつずつ詳しく見ていきましょう。

システムの管理ルールチェック、運用状況の評価

一番重要なチェック項目です。最初の開発(初期開発)から今までの開発まで、どういうふうにシステムに変更を加えてきたか、履歴の提出を全て求められることがあります。

例えば、以下のようなものの提出が求められます。

  • 今までにシステム開発した際の基本設計書(システムに手を加えたときの設計書)
  • Git(ソースコードを管理するソフト)の変更履歴
  • プログラムにどういう変更を加えているのかの提示

その他には、パスワードが適切に管理されているか、サーバー管理が適切にされているかをチェックします。この部分については、後述の「情報セキュリティの管理」で解説します。

システム障害時の対応ルーツ、実施状況の評価

もしもシステムに障害が起こった際にどのような対応を行ったのか、システムの変更が行われた際にはどこを変更したのかがわかるように変更履歴の提出を求められます。

情報セキュリティの管理

操作ログやシステムのデータを直接変更する際の承認フロー、実施履歴の記録状況をチェックされることがありあす。

詳しく説明をすると、誰がこのサーバーにアクセスできるのかを確認したり、サーバーのリリース履歴のチェックを行います。一回のリリースで記載しているものは以下の通りです。

  • リリースの日程
  • リリースする前のレビュイー・レビュアーが正しくできているか
  • 誰がリリースして誰がレビューをするのか
  • リリースの種別のチェック(データ修正、障害対応、開発変更など)
  • どの試験仕様書でそれが担保されているのか、品質のチェック
  • リリース対応はどのようなものか

※レビュー……リリースをする前に、作成したプログラムにおかしい部分がないか2人以上でチェックする作業のこと。プログラムを作成した人を「レビュイー」チェックを行う人を「レビュアー」と呼びます。

また、パスワードポリシーが適切に管理されているかのチェックも行います。パスワードポリシーとは、パスワードに使用できる文字数や文字の組み合わせの条件の設定のことです。

パスワードがあまりにも脆弱でないか(例えば数字2桁までしか設定できないようになっていたら、すぐにパスワードが突破されてしまうためとても脆弱といえます)、データベースにはそのままではなく暗号化されて保存されているかをチェックします。

外部委託先の委託業務の管理体制の評価

アクシアはこのチェックの対象になることがあります。サーバーにアクセス可能な担当者やパスワードが適切に管理されているかなどもチェックされます。

アクシアの場合、サーバーの停止・再起動できる媒体は担当者に承認をもらわないとアクセスすることができないようになっています。また、パスワードも一定時間で新しいものが発行されます。

パスワードを一般社員が持っていないか、パスワードを持っているのが担当者のみになっているかが監査のチェック対象になります。

また、操作ログを求められることがあります。

アプリケーションの権限制御の有効性の評価

「権限を持つ人だけが必要なデータにアクセスできる」など、権限制御がシステムの仕様として備わっているかを確認します。こちらはすべての監査に当てはまるわけではなく、権限の設定がされていたら提示するものとなります。

権限にはいくつか種類があります。仮に社長と同じ権限を一般社員が持っていたとしたら、それは権限制御が正しく運用できていないといえます。ログインした人がどこまで操作できるのかの権限確認を行うことにより、正しく運用されているかどうかを評価します。

権限変更の運用フローのルールチェックもここに含まれます。

システムのデータのチェック

システムで管理されているデータに矛盾がないかをチェックします。特に買掛金、売掛金の管理については細かく見られます。

例えば買掛金、売掛金のイレギュラー対応として、間違っている金額を修正する作業がある場合、修正をする際にそれが本当に大丈夫なのか検証する必要があります。また、金額変更の記録が残されているかをチェックします。

システム開発や保守・運用でお困りの方はこちらからお問い合わせください。

IT監査の対策は?

IT監査は会計監査の一環であるため、主に会計、売上管理に関わる機能のチェックが中心となります。

会計・売上管理のチェックの対策については、初期開発から今までの開発の基本設計書を提出していれば問題ありません。これまで行ったシステムの変更が記録されていることが分かれば担保できます。

前述の「IT監査の内容」でお話ししたとおり、IT監査は会計・売上管理以外の機能も対象範囲になります。会計・売上管理以外の機能部分については、特に以下の部分に気をつけましょう。

  • サーバーへのアクセス権限者が限定されているか
  • イレギュラーな運用を行うルールや記録が適正か
  • 権限の仕様設計が適切か
  • 権限を変更する際にルールや記録が残されているか

イレギュラーな運用とは、例えばシステムのデータを直接編集するなどの作業です。この作業のルールや記録が正しく残されていないといくらでも不正ができてしまうため、正しい運用を行っているか厳重なチェックが入ります。

IT監査では、監査人から提示を求められた情報を速やかに用意する必要があります。そのため社内、もしくはシステム開発会社にて監査法人からの要求にこたえられる体制が必要となります。

外注の場合は、システム開発会社との契約条件(IT監査に伴う対応は別途費用とするか、保守契約に含めるか)を確認しておきましょう。

社内で対応する場合、特定の従業員に依存した体制にすることは危険ですので、必ず2名以上で対応できる体制を構築しましょう。それがむずかしい場合は、専門のシステム開発会社に保守を依頼しましょう。

システム開発や保守・運用でお困りの方はこちらからお問い合わせください。

IT監査とは?まとめ

システムを利用することにより、煩雑な会計・売上管理はとても楽になりました。しかし、画面上で修正が簡単に行える、社内の誰でも使用できるといった観点からは、不正のリスクが高まってしまったという事実もあります。特に大会社には、大きな影響力があります。

IT監査を行って経済状況が正しいことを証明することで、大会社の社会的信用を担保することができます。また、会計・売上管理以外の面でも正しく運用ができているかを確認することで、社内のセキュリティをはじめとするシステム体制を確認する機会にもなります。

IT監査について調べる際に、この記事がお役に立ちましたら幸いです。最後までお読みいただき、ありがとうございました。