システム監査とは、企業や組織が利用する情報システム（コンピュータシステム）が、適切かつ安全、効率的に機能しているかを、独立した客観的な立場（監査人）が評価することです。

簡単に言えば、情報システムの「健康診断」や「業務チェック」のようなものです。

目的：なぜ監査が必要か？

システム監査は、主に以下の点を確認するために行われます。

1. リスクの管理（安全性・信頼性）: システムが停止したり、サイバー攻撃を受けたり、情報漏洩を起こしたりする「システムリスク」が適切に管理されているか。
2. コンプライアンス（法令・ルール遵守）: 個人情報保護法や業界のガイドライン（例：金融機関のFISC、クレジットカードのPCI DSS）など、守るべきルールを守れているか。
3. ガバナンス（統制）: ITが経営目標の達成に貢献するよう、経営層がITを適切に管理・監督（ITガバナンス）できているか。
4. 効率性・有効性: 導入したシステムが、目的（例：コスト削減、売上向上）のために効率的・効果的に使われているか。

誰がどのように行うか？

システム監査は、利害関係のない「独立した立場」で行うことが重要です。

• 監査人: 監査を行う専門家です。社内の内部監査部門が行う場合（内部監査）と、監査法人や専門のコンサルティングファームなどの外部機関が行う場合（外部監査）があります。
• 監査プロセス:
  1. 監査計画を立てる。
  2. システム設計書や運用ルールなどの文書をチェックする。
  3. 担当者へのヒアリングや、実際のシステムのログ（操作記録）を確認する。
  4. ルールやガイドラインと照らし合わせ、問題点（指摘事項）や改善案を「監査報告書」として経営層に報告します。

関連資格: システム監査の専門家であることを証明する代表的な国際資格がCISA（公認情報システム監査人）です。