内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。

　今回は情報システム③です。

情報システムを監査する目的を振り返る②

　前回の記事「内部監査に向き合う Part.17 -情報システム②-」の最後に、情報システムの内部監査についてはもう一つ大切な資料があることをお伝えしました。それは経済産業省の「システム監査基準」と「システム管理基準」です。今回の記事では、その資料を参照しながら皆さんと一緒に内部監査が情報システムを監査することについて向き合ってみたいと思います。

　「システム監査基準」冒頭（前文）に、この基準が策定された意図が示されています。

（出典：経済産業省「システム監査基準」1ページ）

　私たち内部監査が情報システムを監査する目的は、「ITシステムの利活用に係る検証・評価を行うもの」と示しています。情報システムの利活用の状況は会社によって様々ですから、その会社の状況に応じて監査テーマ、監査項目等が変わってくると思います。しかし、だからと言って一つの要素に偏ってしまうことは避けなければなりません。特に日本の上場会社はJ-SOXを基準にして、自らの会社の報告（財務報告）の信頼性を評価し、内部統制報告書において表明することが義務付けられています。そうなると先ほどのように、その会社での情報システムの利活用状況に応じて監査テーマ、監査項目等が変わってしまては、ステークホルダーはその会社の情報システムの監査結果の何を、どの程度信用・信頼すべきなのかがわからなくなってしまいます。そこで今回皆さんにご紹介するのが「システム監査基準」と「システム管理基準」となります。ただ、今回の記事の内容は、内部監査の経験が長く、システム監査のスペシャリストの皆さんにとっては釈迦に説法の内容となります。また、IT統制に関して監査法人の先生方から丁寧なご指導を受けたことのある皆さんもこの内容はすでにご存じだと思いますので、お許しください。

情報システムを監査するポイントを考える②

　情報システムを監査するポイントを考えるときにとても参考となるのは、「システム管理基準」です。監査なのでシステム監査基準を見たい気持ちになりますが、システム監査基準を見ても

［２］システム監査の実施に係る基準

• 【基準６】監査計画の策定

• 【基準７】監査計画の種類

• 【基準８】監査証拠の入手と評価

• 【基準９】監査調書の作成と保管

• 【基準１０】監査の結論の形成

上のように、私たちが知りたい監査するポイントは示されていません。その理由はシステム管理基準の前文（1ページ）をみるをよくわかります。

（出典：経済産業省「システム管理基準」1ページ）

つまり、システム監査をより効率的・効果的に行うための判断の基準として「システム管理基準」を役立ててもらいた意図があることを示しています。会社の情報システムが「システム管理基準」に沿って管理されていることを確認／監査する、と考えるとわかりやすいかもしれません。

　次回、システム管理基準を見ながら情報システムを監査するポイントを具体的に挙げて皆さんと一緒に考えてみたいと思いますが、その前にあらかじめ目を通していただきたい資料があります。それはシステム監査基準・管理基準が2023（令和5）年04月に改訂されたときの資料「システム監査基準・管理基準の改訂概要」と特定非営利活動法人 日本システム監査人協会(SAAJ）が策定したシステム監査・管理ガイドラインです。このガイドラインには、システムの管理・監査の実施⽅法（How)、実施・書式の例、管理活動例の着眼点（必要な観点や留意事項）等が示されていますので、次回の記事ではこの資料も見ながら皆さんと一緒に情報システムを監査するポイントを考えてみたいと思います。

当社が提供するサービスとして

当社が提供する「内部統制・内部監査体制構築」サービスでは、

1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先（外部）として業務遂行いたします。（＊内部統制責任者として、社内に１名選任をお願いします。）

　この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築／再構築をご検討ください。