情報技術監査

情報技術監査、または情報システム監査は、情報技術(IT)インフラストラクチャおよびビジネスアプリケーションにおける経営管理の検証です。得られた証拠を評価することで、情報システムが資産を保護し、データの完全性を維持し、組織の目標または目的を達成するために効果的に運用されているかどうかを判断します。これらのレビューは、財務諸表監査内部監査、またはその他の証明業務と併せて実施される場合があります。

IT監査は、自動データ処理監査ADP監査)やコンピュータ監査とも呼ばれます。以前は電子データ処理監査EDP監査)と呼ばれていました。

目的

IT監査は財務諸表監査とは異なります。財務監査の目的は、財務諸表が標準的な会計慣行に準拠して、企業の財務状況、経営成績、キャッシュフローをすべての重要な点において適正に表示しているかどうかを評価することですが、IT監査の目的は、システムの内部統制の設計と有効性を評価することです。これには、効率性とセキュリティプロトコル、開発プロセス、ITガバナンスまたは監視が含まれますが、これらに限定されません。コントロールを導入することは必要ですが、適切なセキュリティを提供するには十分ではありません。セキュリティ責任者は、コントロールが意図したとおりに導入されているか、有効であるか、セキュリティ違反が発生したかどうか、そして発生した場合は将来の違反を防ぐためにどのような措置を講じることができるかを検討する必要があります。これらの質問には、独立した公平なオブザーバーが回答する必要があります。これらのオブザーバーは情報システム監査のタスクを実行します。情報システム(IS)環境において、監査とは情報システム、その入力、出力、および処理の検査です。 [ 1 ]

テクノロジーが進歩し、私たちの生活やビジネスに浸透するにつれ、ITの脅威や混乱も増加しています。これらはあらゆる業界に影響を及ぼし、データ侵害、外部からの脅威、運用上の問題など、様々な形で現れます。こうしたリスクと高いレベルの保証の必要性から、企業のITシステムのパフォーマンスを確認し、テクノロジーの脅威や混乱の発生確率と影響を低減するためのIT監査の必要性が高まっています。[ 2 ]

IT監査の主な機能は、組織の情報を保護するシステムを評価することです。具体的には、情報技術監査は、組織が情報資産を保護し、権限のある関係者に適切に情報を配布する能力を評価するために使用されます。[ 3 ] IT監査は、以下の点を評価することを目的としています。

組織のコンピュータ システムは、必要なときにいつでも業務に利用できますか? (可用性と呼ばれます) システム内の情報は、許可されたユーザーにのみ開示されますか? (セキュリティと機密性と呼ばれます) システムによって提供される情報は常に正確で、信頼性が高く、タイムリーですか? (整合性を測定します) このように、監査では、会社の貴重な資産 (情報) に対するリスクを評価し、そのリスクを最小限に抑える方法を確立することを目的としています。

具体的には、組織は、IT システムにおけるセキュリティと信頼性のニーズを明確にするために、機密性、整合性、可用性という 3 つの主要要件を検討する必要があります。

  • 機密性: 目的は、権限のないユーザーから個人情報を制限することです。
  • 整合性: 情報は許可された方法で変更されることを保証することが目的です
  • 可用性: 許可されたユーザーのみが特定の情報にアクセスできるようにすることを目的とする。

これら3つの要件は、IT環境を持つあらゆる業界や組織で重視されるべきですが、それぞれの要件とそれをサポートするための管理は異なります。[ 4 ]

IT監査の分類

様々な機関が、 IT監査の種類を区別するために、異なる分類法を作成しています。GoodmanとLawlessは、IT監査を実施するための3つの具体的な体系的なアプローチがあると述べています。 [ 5 ]

  • 技術革新プロセス監査。この監査では、既存および新規プロジェクトのリスクプロファイルを構築します。監査では、企業が選択した技術における経験の長さと深さ、関連市場におけるプレゼンス、各プロジェクトの組織、そして当該プロジェクトまたは製品を扱う業界における組織の構造、組織、業界構造を評価します。
  • 革新的比較監査。この監査は、監査対象企業の革新的能力を競合他社と比較分析するものです。これには、企業の研究開発設備だけでなく、実際に新製品を生産してきた実績も調査する必要があります。
  • 技術ポジション監査:この監査では、企業が現在保有している技術と、今後追加する必要がある技術を検証します。技術は、「ベース」、「キー」、「ペース」、「新興」のいずれかに分類されます。

IT 監査の範囲を 5 つの監査カテゴリで説明する人もいます。

  • システムとアプリケーション:システムとアプリケーションが適切かつ効率的であり、システムのあらゆる活動レベルにおいて、有効性、信頼性、適時性、安全性を確保するために適切に管理されていることを検証する監査。システムおよびプロセス保証監査は、ビジネスプロセス中心のビジネスITシステムに焦点を当てたサブタイプです。このような監査は、財務監査人を支援することを目的としています。 [ 6 ]
  • 情報処理施設: 処理施設が、通常の状況および潜在的に中断が発生する状況下で、アプリケーションのタイムリーで正確かつ効率的な処理が確実に行われるように管理されていることを確認するための監査。
  • システム開発: 開発中のシステムが組織の目的を満たしているかどうかを確認し、システムがシステム開発の一般に受け入れられている標準に従って開発されているかどうかを確認するための監査。
  • IT およびエンタープライズ アーキテクチャの管理: IT 管理が、情報処理のための制御された効率的な環境を確保するための組織構造と手順を開発していることを確認する監査。
  • クライアント/サーバー、通信、イントラネット、エクストラネット:クライアント (サービスを受信するコンピューター)、サーバー、およびクライアントとサーバーを接続するネットワーク上で通信制御が実施されていることを確認する監査

また、すべての IT 監査を、「一般統制レビュー」監査または「アプリケーション統制レビュー」監査の 2 つのタイプのいずれかとしてまとめる人もいます。

情報保証分野の多くのIT監査専門家は、特にIT分野においては、実施する監査の種類に関わらず、 3種類の基本的なコントロールが存在すると考えています。多くのフレームワークや標準規格では、コントロールを「セキュリティコントロール」「アクセスコントロール」「IAコントロール」といった異なる分野や領域に分類し、関連するコントロールの種類を定義しようとしています。より根本的なレベルでは、これらのコントロールは、保護的/予防的コントロール、検出的コントロール、そして事後的/是正的コントロールという3種類の基本的なコントロールから構成されています。

情報システムには、内部監査と外部監査の2種類の監査人と監査が存在します。情報システム監査は通常、会計内部監査の一部であり、企業の内部監査人によって頻繁に実施されます。外部監査人は、内部監査の調査結果に加え、情報システムの入力、処理、出力をレビューします。情報システムの外部監査は主に、ISACA認定のCISA、米国情報システム監査・管理協会認定のISA、ICAI認定の情報システム監査人(ISA)、その他、情報システム監査の定評ある組織によって認定された認定情報システム監査人によって実施されます。(多くの場合、公認会計士(CPA)事務所によって実施される全体的な外部監査の一部です。[ 1 ] )情報システム監査では、情報システムにおける潜在的な危険と管理策をすべて検討します。運用、データ、整合性、ソフトウェアアプリケーション、セキュリティ、プライバシー、予算と支出、コスト管理、生産性などの問題に焦点を当てます。情報システム監査・管理協会によるガイドラインなど、監査人の業務を支援するガイドラインが用意されています。[ 1 ]

IT監査の歴史

IT監査の概念は1960年代半ばに形成されました。それ以来、IT監査は、主にテクノロジーの進歩とビジネスへのテクノロジーの組み込みにより、幾度もの変化を遂げてきました。

現在、通信会社や銀行会社など、事業運営に情報技術を頼りにするIT依存型企業は数多く存在します。他の業種においても、紙の申請書の代わりにワークフローを適用したり、手動管理の代わりに信頼性の高いアプリケーション管理を使用したり、ERPアプリケーションを導入して単一のアプリケーションのみで組織を円滑に運営したりするなど、ITは企業にとって大きな役割を果たしています。こうした状況を受けて、IT監査の重要性はますます高まっています。IT監査の最も重要な役割の一つは、財務監査やSOX法などの特定の規制に対応するために、重要なシステムを監査することです。

新たな問題

また、様々な規格委員会によって、監査対象組織に応じて実施が義務付けられている新たな監査も導入されています。これらの監査はIT部門に影響を与え、IT部門がコンプライアンス遵守のために特定の機能と統制を適切に実施していることを確認することになります。このような監査の例としては、SSAE 16ISAE 3402ISO27001:2013などが挙げられます。

ウェブプレゼンス監査

企業のITプレゼンスが企業のファイアウォールを越えて拡大している(例えば、企業によるソーシャルメディアの導入や、ソーシャルメディア管理システムなどのクラウドベースツールの普及など)ことにより、IT/IS監査にWebプレゼンス監査を組み込むことの重要性が高まっています。これらの監査の目的には、企業が以下の必要な措置を講じていることを確認することが含まれます。

  • 許可されていないツールの使用を抑制する(例:「シャドーIT」)
  • 評判へのダメージを最小限に抑える
  • 規制遵守を維持する
  • 情報漏洩を防ぐ
  • サードパーティのリスクを軽減する
  • ガバナンスリスクを最小限に抑える[ 7 ] [ 8 ]

部門別ツールやユーザー開発ツールの利用は、かつて議論の的となってきました。しかし、データ分析ツール、ダッシュボード、統計パッケージが広く普及したことで、ユーザーはもはやITリソースが終わりのないレポート作成要求に応えるのを待つ必要はなくなりました。IT部門の任務は、ビジネスグループと協力して、承認されたアクセスとレポート作成を可能な限り容易にすることです。簡単な例を挙げると、純粋なリレーショナルテーブルが意味のある方法でリンクされるように、ユーザーが独自にデータマッチングを行う必要がないようにする必要があります。IT部門は、正規化されていないデータウェアハウス形式のファイルをユーザーが利用できるようにすることで、分析作業を簡素化する必要があります。例えば、一部の組織では、ウェアハウスを定期的に更新し、Tableauなどのパッケージで簡単にアップロードしてダッシュボードを作成できる、使いやすい「フラット」なテーブルを作成しています。

企業コミュニケーション監査

VOIPネットワークの普及、BYODなどの問題、そして現代の企業向けテレフォニーシステムの機能向上により、重要なテレフォニーインフラの設定ミスのリスクが高まり、企業は通信詐欺やシステム安定性の低下といったリスクにさらされています。銀行、金融機関、コンタクトセンターでは、通常、通信システム全体に適用するポリシーを策定しています。通信システムがポリシーに準拠しているかどうかを監査する業務は、専門のテレコム監査担当者が担っています。これらの監査により、企業の通信システムは以下の状態を維持できます。

  • 定められた方針に従う
  • ハッキングやフリーキングのリスクを最小限に抑えるように設計されたポリシーに従う
  • 規制遵守を維持する
  • 料金詐欺を防止または最小限に抑える
  • サードパーティのリスクを軽減する
  • ガバナンスリスクを最小限に抑える[ 9 ] [ 10 ]

企業コミュニケーション監査は音声監査とも呼ばれるが[ 11 ]、コミュニケーションインフラがデータ指向・データ依存型になるにつれ、この用語はますます使われなくなっている。「テレフォニー監査」[ 12 ]という用語も、現代のコミュニケーションインフラ、特に顧客対応においてはオムニチャネルであり、電話だけでなく複数のチャネルでやり取りが行われるため、使われなくなっている。[ 13 ]企業コミュニケーション監査を悩ませている主要な問題の一つは、業界定義または政府承認の標準が存在しないことである。IT監査は、 NISTPCI などの組織が発行する標準とポリシーに準拠することを前提としているが、企業コミュニケーション監査にはそのような標準がないため、これらの監査は業界標準ではなく、組織の内部標準とポリシーに基づいて行われなければならない。その結果、企業コミュニケーション監査は依然として手作業で行われ、ランダムサンプリングによるチェックが行われている。企業コミュニケーション向けのポリシー監査自動化ツールは、ごく最近になって利用可能になった。

IT監査における倫理的ジレンマ

IT監査における人工知能(AI)の利用は急速に増加しており、2015年の世界経済フォーラムの報告によると、2025年までに企業監査の30%がAIを使用して実施される予定です。IT監査におけるAIは多くの倫理的問題を引き起こします。[ 14 ]

  1. 人工知能(AI)の使用は、結果に意図しない偏りをもたらす企業のIT監査においてAIが直面する課題の一つは、AIがデータをフィルタリングする際に意図しない偏りが生じる可能性があることである。AIには人間的な要素がなく、特定のデータが期待される、あるいは期待されないといった様々な状況を理解する能力もない。AIは過去に見たデータしか理解できないため、それぞれの状況に合わせて進化することができない。AIシステムに過度の信頼を置き、人間の目による綿密な監視が行われない場合、意図しない偏りが生じ、意図しない結果が生じる可能性がある。その結果、倫理的、法的、経済的な問題が生じる。[ 14 ]
  2. 人間の役割に取って代わるテクノロジービッグ4企業は、IT監査分野の新興テクノロジーに多額の資金を投資してきました。AIは現在、「総勘定元​​帳のレビュー、税務コンプライアンス、調書の準備、データ分析、経費コンプライアンス、不正検出、意思決定などの監査および会計手続き」などのタスクを実行する保証業務で使用されています。[ 14 ]これは基本的に監査人の必要性をなくし、保証業務に従事する人々をテクノロジーの「監督者」としての役割に追いやっています。しかし、企業は依然としてIT監査のAIの結果を分析する監査人を必要としています。監査で使用されているアルゴリズムを理解していない監査人は、これらの不完全なプログラムによるミスを許してしまう可能性があります。そのため、監査を実行するためにAIを利用している企業は、幅広い技術的バックグラウンドとテクノロジーの学位を持つ監査人を非常に求めています。

IT監査が企業と財務監査に与える影響

グローバル化と情報技術システムの発展により、企業はますますデジタル化された業務環境へと移行しています。これらのシステムの利点としては、作業時間の短縮、大量のデータの検証、監査リスクの軽減、より柔軟で包括的な分析情報の提供などが挙げられます。監査時間は増加し、監査人は追加の監査検証を実施できるようになり、監査プロセス全体の大幅な改善につながっています。コンピュータ支援監査技術(CAAT)の活用により、企業はより多くのデータサンプルを検証し、すべての取引をより徹底的にレビューできるようになり、監査人はデータ内の問題点を検証し、より深く理解できるようになりました。[ 15 ]

監査におけるITシステムの活用は、データベース管理、リスク保証と統制、さらにはガバナンスとコンプライアンスといった重要な監査機能を監査人が遂行する方法を変革しました。さらに、IT監査システムは業務効率を向上させ、従来は手計算に頼っていた意思決定を支援します。ITシステムは監査における人為的ミスの排除に役立ちます。問題を完全に解決するわけではありませんが、Big 4の監査法人と中小企業の監査の両方において、ITシステムが効果的であることが実証されています。これらのシステムは、監査における誤差を大幅に削減し、分析対象データへのより深い洞察を提供します。

監査におけるITシステムの使用が増加した結果、米国公認会計士協会(AICPA)や情報システム監査管理協会(ISACA)などの権威ある機関は、監査を実施するためにITシステムを適切に使用する方法に関するガイドラインを策定しました。[ 16 ]監査人は、監査でITシステムを使用する際に、確立されたガイドラインを遵守する必要があります。

財務監査におけるITシステム活用のメリット

大手会計事務所は、財務監査におけるITシステムとAI技術の活用に大きなメリットをもたらし始めています。Big 4会計事務所の一つが行った調査では、ITシステムとAI技術の活用により、生産性の向上により6.6兆ドルの収益増加が見込まれています[ 14 ]。そのため、大手監査法人は、財務監査を支援するITシステムとAI技術の開発またはアウトソーシングを通じて、生産性の向上、ひいては収益の向上を目指し、巨額の投資を行っています。

世界最大級の監査法人であるPwCは、監査法人が収益と生産性の向上を実現するために開発・導入できる3種類のITシステムとAI技術を絞り込みました。1つ目のシステムは、人間の監査人の意思決定を補助する役割を果たすテクノロジーシステムとして構築されます。これにより、人間の監査人は意思決定の自律性を維持し、テクノロジーを活用して正確な業務遂行能力を支援・強化することができ、最終的には企業の生産性コストを削減できます。次に、PwCは、問題解決能力を備えたシステムが、最も正確な結果を生み出すために不可欠であると述べています。PwCは、意図しないバイアスによる誤差の許容範囲の拡大を認識しており、さまざまなシナリオに適応できるシステムの構築が不可欠です。このタイプのシステムでは、人間の監査人とITシステムの間で意思決定を共有し、人間の監査人だけでは対応できないコンピューティング作業をシステムが担うことで、最大限の成果を生み出すことができます。最後に、PwCは、テクノロジーが意思決定の自律性を持ち、独立して動作する必要があるシナリオがあることを認識しています。これにより、人間の監査人はより重要なタスクに集中することができ、一方、テクノロジーは人間の時間を必要としない時間のかかるタスクを処理できるようになります。[ 14 ]

財務監査におけるITシステムとAI技術の活用は、生産性の最大化と収益の増加という目標にとどまりません。これらのシステムを監査業務に活用する企業は、不正行為の可能性があるデータをより効率的かつ正確に特定することができます。例えば、ドローンなどのシステムは、より正確な在庫計算を支援するために、大手4社すべてによって承認されています[ 14 ]。また、音声認識や顔認識は、不正行為のケースにおいて企業の活用範囲を広げています[ 14 ] 。

参照

コンピューターフォレンジック

オペレーション

その他

不正行為および違法行為

参考文献

  1. ^ a b c Rainer, R. Kelly, Casey G. Cegielski. 情報システム入門. 第3版. ホーボーケン、ニュージャージー州: Wiley, 2011年. 印刷.
  2. ^ Stoel, M. Dale; Havelka, Douglas (2020-02-18). 「情報技術監査の品質:個人および組織要因の影響に関する調査」 . Journal of Information Systems . 35 (1): 135– 154. doi : 10.2308/isys-18-043 . ISSN  0888-7985 .
  3. ^ Gantz, Stephen D. (2014). IT監査の基礎:目的、プロセス、そして実践的な情報. Syngress, Elsevierの出版物.
  4. ^ NAP.edu で「Computers at Risk: Safe Computing in the Information Age」をお読みください
  5. ^リチャード・A・グッドマン、マイケル・W・ローレス(1994年)『テクノロジーと戦略:概念モデルと診断法』オックスフォード大学出版局(米国)ISBN 978-0-19-507949-4. 2010年5月9日閲覧
  6. ^ K. Julisch他「設計によるコンプライアンス:監査人とITアーキテクトの間の溝を埋める」 Computers & Security、エルゼビア。第30巻、第6-7号、2011年9月~10月。
  7. ^ Juergens, Michael. 「ソーシャルメディアのリスクが内部監査の役割拡大をもたらす」ウォール・ストリート・ジャーナル. 2015年8月10日閲覧
  8. ^ 「ソーシャル メディア監査/保証プログラム」 . ISACA . ISACA . 2015年8月10日閲覧
  9. ^ Lingo, Steve. 「コミュニケーション監査:統合コミュニケーションへの第一歩」 . The XO Blog . 2016年1月17日閲覧
  10. ^ 「電話システム監査サービス」 1st Communications Services 1st Communications Services. 2019年4月1日時点のオリジナルよりアーカイブ。 2018年12月14日閲覧
  11. ^ 「Voice Audit」 . www.securelogix.com . 2016年1月20日閲覧。
  12. ^ 「IPテレフォニー設計および監査ガイドライン」(PDF)www.eurotelecom.ro。 2014年3月27日時点のオリジナル(PDF)からアーカイブ
  13. ^ 「オムニチャネルとは何か? - WhatIs.comからの定義」 SearchCIO 2016年1月20日閲覧
  14. ^ a b c d e f g Munoko, Ivy; Brown-Liburd, Helen L.; Vasarhelyi, Miklos (2020-11-01). 「監査における人工知能の利用の倫理的影響」 . Journal of Business Ethics . 167 (2): 209– 234. doi : 10.1007/s10551-019-04407-1 . ISSN 1573-0697 . 
  15. ^エレフテリー、リアナ(2016年)「情報技術が監査プロセスに与える影響」『経済・経営・金融市場11303-309頁。
  16. ^ Yang, David C.; Guan, Liming (2004-01-01). 「財務諸表監査におけるIT監査と内部統制基準の進化:米国の事例」 .経営監査ジャーナル. 19 (4): 544– 555. doi : 10.1108/02686900410530547 . ISSN 0268-6902 . 
「 https://en.wikipedia.org/w/index.php?title=Information_technology_audit&oldid=1334027430」より取得