読書レビュー「システム監査の実務解説」
本書を読む目的・きっかけ
本書を購入したのは応用情報技術者試験の勉強をした際に、システム監査の問題をいくつか解いた際、普段自分が開発している時の目線と大分違うもんだなぁと感じ、関心を持ったことがきっかけだった。
ただ、システム監査に興味を持ったものの、実務経験もなく、実際の監査に関する業務内容がわからなかったので、応用技術者試験対策も兼ねて1冊本を読んでみようと思った。
因みにシステム監査の本を探してみたが、自分が予想していた以上に本が少なかった。そもそも監査の本自体が少ないのでシステム監査に絞った本となると少ないのも仕方がないと言える。その中でも本書は第4版となっており、システム監査におけるバイブルっぽかったので購入してみることにした。
読書感想
まず本書を読んでよかったと感じた点としては、システム監査の概念や目的から丁寧に説明されており、システム監査初心者でも安心して読んでいいと思う。タイトルに「実務解説」とあるので中級者以上向けかとも思ったが、少なくともシステムエンジニアなど開発経験がある人なら内容については理解できると思う。
その上で本書はシステム監査基準が改定されたことを受け、AI等が注目される中でこれからの監査をどのように対応していくべきか書かれている。正確に言えば、明確に方法論が記載されているわけではないので指針程度だが参考にはなる。個人的には監査の基本からわかっていなかったので監査の目的やその意義について書かれている箇所が特に勉強になった。そういった基本的な箇所を中心に勉強になったが、それ以外で勉強になった点として3つ記載したい。
1つ目は、システム監査の目線だ。私に限らず、システムエンジニアは開発する際に「このシステムは要件が満たされているか」という視点でシステム開発に従事しているが、システム監査では「そのシステムは経営目標の達成に貢献しているか」という目線でシステムを監査する。これは少し考えればわかるが、システムエンジアは事業会社の「社員」とやり取りを行うが、監査に携わる人は「経営層」に最終的に報告を行うので、同じシステムに対しても目線が異なる。まずはこの点が同じシステムに携わる仕事でも最大の違いと言える。
2つ目は、「システム監査」と「情報セキュリティ監査」の違いだ。私は両方とも同じものだと思っていたが、実は両者は微妙に異なるもので、情報セキュリティ監査はIT以外の情報資産も含まれるらしい。一方のシステム監査はあくまでITのみを対象としている。紛らわしいが両者は異なるので監査の際はその違いに気をつけた方がいいのかもしれない。
3つ目は、「システム監査」と「IT監査」も実は異なるという点だ。
平たく書くとIT監査はハードも含めた全てのITシステムが対象となり、データなどの個人情報資産も監査対象に含まれる。一方でシステム監査はリスクの大きいシステムに絞り、経営目線で監査するため、こちらはよりビジネス目線に沿った監査と言えなくもない。一般的にはIT監査は監査法人などの外部監査で、システム監査は監査部など内部監査人が主体となって監査するらしい。(らしい、、が多いが本職でないのでご勘弁を。)
実践すること
本職はシステムエンジニアなので、特に実践することがあるわけではないが、システム監査の意義や目的が整理できた点では読んでよかったと言える。また、監査の手順も曖昧かつ監査調書と監査報告書の違いがよくわかっていなかったので、応用情報技術者試験対策としても役に立ったと思う。
個人的には被監査部門として監査の対応もしたことがない(私の会社では、通常はグループ長以上が対応する)ので、ピンとこない点はあったものの、ちょうど、今後のキャリアをどうするのか考えていたこともあり、システムエンジニアの道以外にもこういう道もありだなぁと考えるきっかけになったのでよかったと考えている。