情報システムの“有効性”と “投資対効果”を監査する:システム監査入門(4)
企業システムが有効活用されているかどうか──。古くからある情報システムの大きな課題だ。システム監査という観点では、それをどのように見るのだろうか。
前回「“安心して使えるシステム”を客観的に評価する 」は、情報システムを安心して使えるかどうか、という信頼性と安全性の監査について、お話ししました。
しかし、システムは安心して使えれば十分かというと、企業経営という視点に立つと、それだけでは十分ではありません。システムの構築・運用には相当の投資が必要であり、投資に見合う価値をシステムが提供できるか、提供しているかは、ユーザー企業の経営者にとって非常に重要な問題です。
今回は、そうした視点でのシステム監査について、お話しします。
投資対効果から見た情報システムの有効性
経済産業省の「システム監査基準」では、「システム監査は情報システムの信頼性、安全性、効率性の向上を図ることを目的に実施する」としており、効率性については、次のように定義しています(表1)。
情報システムの資源の活用及び費用対効果の度合
この定義の前半の「資源の活用度合」は、狭い意味では、ハード、ソフト、ネットワークのシステム構成要素を無駄なく利用しているかということです。そうした視点も必要ですが、広くとらえると、企業活動の中でシステムを有効活用して、企業活動の付加価値を高めているかということです。それが、定義の後半の「費用対効果の度合」にも通じます。システムを有効活用することができれば、費用対効果は当然高くなります。
会計学の世界で、「3E」と呼ばれている考え方があります。投資と効果の関係について整理を行った考え方です(図2)。
3Eは経済性、有効性、効率性の英語でのスペルがすべて“E”で始まることから、そう呼ばれています。経済性は投資に注目した考え方、つまり、100万円で構築した販売管理システムと200万円で構築したものとでは、前者の方が経済性に優れているという見方です。
有効性は効果に注目した考え方であり、販売管理費比率を10%削減できた販売管理システムと20%削減できた販売管理システムでは、後者が有効性では勝っているという見方です。
最後に効率性ですが、投資から効果を生むプロセスに注目します。100万円を投資して構築し販売管理費比率を10%削減できた販売管理システムと、200万円の投資で20%の販売管理費比率削減を実現した販売管理システムで、どちらが効率性が良いかということです。これは数値だけでなく、その中味を分析・評価しなければ判断できません。
会計学における3Eは、概念的には分かりやすいものでしょう。情報システムの投資対効果を考えるときには、3つ目の効率性に着目して評価する必要があります。「投資効果性」「採算性」と呼ばれる視点であり、今日では、これが情報システムの有効性の重要な視点の1つとなっています。
情報システムの有効性のさまざまな視点
情報システムの有効性については、投資対効果以外にもさまざまな視点があります(表3)。
| 有効性の視点 | 内容 | |
|---|---|---|
| 目的適合性 | 経営目的・目標にどれだけ合致しているか | |
| 適時性 | 企業活動の中でいかにタイムリーにアウトプットを提供しているか | |
| 利便性 | 業務活動を行ううえでいかに便利なツールとなっているか | |
| 有用性 | 業務活動をいかにスムーズ、正確、無駄なく行えているか | |
| 品 質 特 性 |
操作性 | 操作しやすく、操作ミスを起こしにくいか |
| 機能性 | 業務活動に役立つ機能を有しているか | |
| 性能 | 業務活動を計画どおりに進めるうえで処理能力は十分か | |
| 拡張性 | 業務活動の変化、業務量の増加に容易に対応できるか | |
| 表3 情報システムの有効性のさまざまな視点 | ||
要は、情報システムが企業活動において、どれだけ役に立っているか──経営者の経営上の意思決定、管理者の計画策定・実績評価・判断、業務担当者の業務遂行にどれだけ貢献しているかということです。さらに、現在の情報システムがどうかということだけでなく、経営戦略との整合性が取れた情報戦略、情報化計画、システム化計画が策定・推進されているかという「戦略性」も重要になります。
では、情報システムの有効性に対するシステム監査は、どのようにして行うのでしょうか?
前回取り上げた信頼性や安全性に比べて、明確な監査基準が設定しにくく、監査手続きも確立しにくい分野です。
経営戦略から情報戦略、情報化計画、システム化計画、それに基づいたシステム構築という基本的な流れがあります。まずは、その流れに従って情報化が進められているかという評価が必要です。経済産業省の「システム監査基準」は、この流れを基準項目として設定しています。企業によって違いはありますが、有効性の高い情報システムを実現するためには、この基本的な流れが重要であり、ヒアリングや記録の確認によって、この基本的な流れに沿って情報化が進められていることを確認します。
構築されたシステムが有効かどうかは、それを利用する人たちが、いかに満足しているかということです。経営者、管理者、担当者、さらに対象を広げて株主、取引先、顧客など、システムに関係している人たちに、確認すべき項目を明確にしたうえで話を聞く方法が、原始的かもしれませんが、最も一般的な監査手続きです。場合によっては、アンケート調査によって幅広く意見を集める方法も有効です。
情報システムの投資効果性の評価
話を、投資効果性に戻します。投資効果性についてのシステム監査では、どんな点について監査するのでしょうか?
上で述べた基本的な情報化の流れは、そのまま、情報化投資とその評価の流れにもなります(図4)。
図4 情報化投資とその評価の流れ 情報システムの投資効果性の評価とは、図4の流れに沿った取り組みが企業活動の中で行われており、結果として経営目的に合った投資対効果の目標が達成されているかを評価することです。投資対効果の目標が達成されているということは、その情報システムが企業活動に貢献しているということになります。
具体的には、投資効果性に対するシステム監査の監査項目、チェックポイントは、次のようなものになります(表5)。
| 監査対象 | 監査項目 | チェックポイント |
|---|---|---|
| 投資対効果評価体制 | ・ 評価体制 | ・ 情報化投資対効果の評価を行う体制が業務部門を含めて確立されていること ・ その体制で事前評価から事後評価まで一貫して行うよう定められていること |
| 情報化計画 | ・ 投資分析 ・ 投資額 ・ レビューと承認 |
・ 情報化計画の中で、経営目標を達成するうえで大きな効果が期待できる戦略分野を見極め、情報化投資を計画していること |
| システム化計画 | ・ 投資額の見積もり ・ 投資評価指標 |
・ 情報化計画の中のシステム化案件について、必要な投資額を見積もっていること ・ 投資によって期待される効果を評価するための効果評価指標を設定していること |
| 事前評価 | ・ 事前評価計画 ・ 効果目標値 ・ レビューと承認 |
・ システム化計画の中で明確化した投資対効果について、事前評価を行い、その妥当性を確認したうえでシステム化を意思決定していること ・ 効果評価指標に対して、効果目標値を設定していること |
| 事後評価 | ・ 事後評価計画 ・ コストと効果の把握 ・ 評価の実施 ・ 評価に基づく改善 |
・ 運用段階におけるモニタリングが計画・実施されていること ・ 運用段階において、システム化計画の中で明確化した効果目標が達成されていることを評価していること ・ 効果目標の実現に問題がある場合、目標実現のための対応を図っていること |
| 表5 情報化投資マネジメントに対する監査チェックリスト | ||
表4の流れに沿って情報化投資マネジメントを実行するのは、業務部門および情報化部門の役割です。システム監査人には、情報化投資マネジメントが適切に行われていることを評価することで、情報システムの投資効果性、有効性の向上に寄与することが期待されています。
情報システムの有効性監査の意義
お話ししてきたように、情報システムの有効性とは、システムが企業活動に貢献しているか、そのシステムを構築・運用するための投資効率は妥当かということです。情報システムの有効性が企業にとって重要であることは、情報システムが企業活動の重要な要素であることを考えれば、当然のことです。
情報システムの有効性が向上すれば、企業活動が効率化・高度化し、顧客や社会に対する企業価値が高まります。ビジネス面から見れば、その結果として、企業の競争優位性が高くなり、顧客増大、売り上げ拡大、利益率向上に貢献します。
情報システムの有効性についてのシステム監査は、先に述べた監査基準の設定や監査手続きの確立の難しさから、普及が遅れている領域です。しかし、情報システムの企業活動の中での位置付けがますます重要になってきている今日、方法論の研究とともにその取り組みが大きな注目を集めるようになってきています。
この記事に対するご意見をお寄せください managemail@atmarkit.co.jp
Profile
小野 修一(おの しゅういち)
有限会社ビジネス情報コンサルティング 代表取締役
早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業
▼専門分野
業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査
▼資格
公認システム監査人、中小企業診断士、ITコーディネータ、技術士(情報工学)、CISA(公認情報システム監査人)、ISMS主任審査員
▼所属
日本システム監査人協会、システム監査学会、中小企業診断協会、ITコーディネータ協会、日本技術士会、経営情報学会、情報システムコントロール協会
▼著書
『情報システム監査実践マニュアル』(共著、工業調査会)
『情報化投資効果を生み出す80のポイント』(工業調査会)
『成功するシステム導入の進め方』(日本実業出版社)
『ITソリューション 戦略的情報化に向けて』(共著、同友館)
『図解でわかる部門の仕事 情報システム部』
『システムコンサルタントになる本』(共著、日本能率協会マネジメントセンター)ほか多数
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
ITmediaはアイティメディア株式会社の登録商標です。