トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド(英国の法令に基づく保証有限責任会社)のメンバーファームおよびそれらの関係会社(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む)の総称です。詳細はwww.tohmatsu.com/deloitteをご覧ください。
システム監査
システムを取り巻く環境の変化
近年、情報システムは企業の業務を支えるインフラであるとともに、企業の成長戦略を達成するために欠かせないツールとなっています。しかしながら、情報システムへの依存度が高まるにつれて、情報システムは高度化・複雑化しており、損失を発生させるリスクは増大しています。また、システム投資の増加に対して期待される費用対効果も高まっています。
ト一マツの強み
トーマツは30年以上前からシステム監査の重要性に着目し、官公庁・金融機開・社会インフラ等に対する多くの監査実績を有しています。トーマツのプロフェッショナルが、ニーズに応じた監査テーマに対してシステム監査を実施し、システムの信頼性、有効性、効率性および安全性等の観点から、より高度なITの活用を支援します。
卜一マツのサービス
独立した専門家としての評価
第三者の立場から情報システムおよび管理体制を客観的に評価し、発見された問題点に対してはクライアントに適したアドバイスを行い、改善を支援します。このタイプのシステム監査は、その報告の形態から助言型と保証型に分類されます。助言型は情報システムの信頼性、有効性、効率性および安全性についての課題を識別し、その解決策を提案することを目的とします。保証型システム監査は、情報システムの信頼性や安全性などについて証明することを目的としており、システム利用者等の関係者へ報告書を発行します。法令等に基づくものの他は、通常助言型のシステム監査を実施します。
内部監査支援
内部監査の一環として、システム監査を実施します。内部監査部門と共働し、品質の高い監査を実施するとともに、内部監査部門のシステム監査スキルの向上を支援します。
システム監査の対象領域
システム監査の対象領域は、IT全般統制領域とIT業務処理統制領域に大別されます。
システム監査のサービス例
トーマツでは、以下のようなシステム監査サービスを提供しています。IT管理の各種ガイドラインに基づく評価だけでなく、ニーズに応じて品質管理、コスト管理、安全対策等、様々な評価観点を設定し実施することが可能です。
| サービス例 | 実施内容 |
| 管理ルールの適用状況の評価 | 会社が定めた規定・基準等を担当部門や外部委託先が遵守しているか、また、ルールは業務の実態に照らして適切かつ十分か |
| システム開発プロジェクトの運用状況の評価 | 大規模なシステム開発に対し、品質・コスト・納期の要求を満たすプロジェクト管理が行われているか |
| システム障害の対応策策定プロセスの妥当性評価、改善状況評価 | システム障害の対応策は必要な関係者との意見調整に基づいて策定されているか、また、対応策は確実に実施されているか |
| IT戦略の策定プロセスの評価、戦略に対する実行状況の評価 | IT戦略、計画は企業の戦略に基づいて策定され、実行するための行動計画策定・資源配分は適切に行われているか、また、投資対効果の測定は適切に行われているか |
| 情報セキュリティ管理体制の評価 | 情報セキュリティポリシー、スタンダード等に準拠したセキュリティ管理手続が整備されているか、システムに実装されたセキュリティ機能は有効に機能しているか |
| 外部委託先における、委託業務の管理態勢の評価 | 外部委託先の中で、委託業務を遂行するために必要な管理手続きが整備され、有効に運用されているか |
| アプリケーションコントールの有効性評価 | アプリケーションシステム上に、業務プロセス上必要な機能が十分に実装されているか、また、有効に機能しているか |
| データの完全性評価 | システム上のデータの完全性、システム間のデータ整合性等をツールを用いて検証 |
サービス提供の流れ
システム監査は、以下の流れで行います。長期に渡るプロジェクト等、継続的なモニタリング・評価が必要な場合は、繰り返し実施します。
システム監査サービス一覧
- システムリスク管理態勢監査
- システム統合リスク管理態勢の第三者評価
- システム開発プロジェクト評価
- ソフトウェアライセンス監査
- データ分析監査サービス
- 電子認証局関連サービス
- ITに関する内部監査支援サービス
- 18号/SAS70検証サービス