「先日、親会社の内部監査が入って、『このシステムの保守は誰がやっているのか』と聞かれたが、答えられなかった」——グループ子会社の情シス担当者からよく聞く話です。内部監査は、システムの実態を問われる場です。答えられない状態での監査対応は、その場での指摘だけでなく、その後の対応コストが膨らむリスクも伴います。内部監査でシステム関連として問われる典型的な質問親会社のIT部門や内部監査チームが子会社に入ったとき、よく問われる内容があります。このシステムの保守担当は社内にいるか、外部ベンダーかベンダーとの契約はどうなっているか(保守範囲・費用・更新時期)セキュリティ対応の状況はどうなっているかもしこのシステムが止まったら、どの業務に影響が出るか設計書や仕様書はあるかこれらはすべて「システムの実態が把握されているか」を確認する質問です。「答えられない」の本質:システムが把握されていないなぜ答えられないのか。技術的な理解が足りないからではありません。「誰がどの情報を持っているか」が整理されていないからです。典型的なパターンがあります。「以前の担当者が全部知っていた」「ベンダーに任せきりで自社では把握していない」「設計書はあるが古すぎて信用できない」——このような状態では、内部監査に限らず、日常の保守や障害対応でも情報がすぐに出てきません。ブラックボックス化が進んでいるシステムほど、監査の場で「把握できていない」と露呈しやすくなります。事前に整理しておくべき3つのこと内部監査が入る前に、最低限以下の3点を整理しておくと、対応の質が大きく変わります。① 誰が保守しているか(担当者・ベンダーの整理)社内担当者の名前と役割、外部ベンダーの担当窓口と契約内容を一枚にまとめておく。「誰に聞けばわかるか」を明示できるだけで、監査の場での印象は大きく変わります。② どの業務を支えているか(業務との紐付け)システムと業務の対応関係を整理する。「このシステムが止まったら何が止まるか」に即答できる状態にしておくことで、リスク評価ができていることを示せます。③ どんなリスクが潜んでいるか(老朽化・依存の状況)OSやミドルウェアのバージョン、ベンダー依存の度合い、担当者が特定の1人に集中していないか——こうした「把握しているリスク」を整理しておくだけで、「何も対処していない」ではなく「認識した上で優先順位をつけている」という姿勢を示せます。整理できていると「指摘されて終わり」ではなく「投資の優先順位」が立てられる内部監査に備えてシステムを整理しておく意義は、監査対応だけではありません。「何がリスクか」「どこから手を付けるべきか」が整理されていると、監査後に親会社や経営層に対して「次はここを改善したい」という具体的な提案ができます。指摘を受けて終わりではなく、それを起点に投資の優先順位を立てる——この違いは、事前整理ができているかどうかで決まります。ライクバードでは、グループ子会社・中堅企業向けのシステム現行調査(AI仕様解析)を提供しています。「監査に備えて整理したい」「設計書がなくても現状を把握したい」という段階からご相談ください。→ システム現行調査(AI仕様解析)について詳しく見る