日本版SOX法はIT部門にとって脅威か機会か？：システム部門Q＆A（34）（2/3 ページ）

[木暮 仁，＠IT]

内部統制はシステム監査やセキュリティ対策と違う

システム監査との違い

　貴社の場合は、すでに多くの業務がシステム化されているので、情報システムが正しく構築され運用されていることの内部統制が重要になります。

　それらのシステムに関して文書化されていても、内部統制としての視点での文書としては不十分なことが多いでしょう。例えば、データ入力以降のプロセスについては文書化されているとしても、データが必ず入力されること、決められた手段以外でのデータ入力は発生しないことなどの証明に耐えるものにはなっていないでしょう。

　また、これまでにもシステム監査を行ってきた場合、そこでの資料は大いに役立つのですが、システム監査とここでの内部統制とは異なる観点があり、それをよく理解せずにシステム監査の延長程度と考えていると、突然大きな作業が必要となる危険があります。

・位置付けの違い

　システム監査は、第三者による監査が望ましいことではあっても、任意監査であり、報告先も社内の経営者でした。業務の繁閑によっては、行わなくてもよいし、対象を限定することもできました。また、企業文化をよく知っている社内だけのことですので、ある程度は厳格性に欠けていても容認されましたし、性善説に立つことも認められました。

　それに対して、内部統制は対象業務が規定され、それを毎年（というより常時）行うこと、その報告書の監査を受けることが法的に強制されるのです。監査法人は責任を追及されないためにも、厳格な客観性のある内部統制を要求するでしょう。システム監査にありがちな甘さは許されないのです。

・財務に関する全般業務

　一般にシステム監査では、個別のアプリケーションシステムや個別の機能に限定していることが多いのですが、内部統制では、財務に関する業務全体が対象になります。ほとんどのシステムは会計システムにつながっていますから、実際には基幹系システム全体が対象になります。そこで、システム間での整合性などに抜けがある場合があります。

　また、システム監査では、情報システム対象業務に限定することが多いのですが、内部監査では、それを取り巻く組織や人までが対象になります。もし、システム監査で、データ入力以降のプロセスを監査したとしても、内部統制ではデータを入力しなかったことがないことを証明する必要があります。

・不正ができないことの証明が必要

　内部統制では、不正がなかったことだけでなく、不正が発生しない仕組み、不正があったら必ず発見できる仕組みになっていることを証明することが求められます。しかも、監査法人にそれを認めてもらうには、性悪説に立った論理的な証明が必要ですので、従来の社内だけでの説明とは格段に異なる説明が必要になります。

セキュリティ対策との違い

　情報システムの信頼性のためには、セキュリティ対策が重要なことはいうまでもありません。ISMS対策をされているケースでは、実務的にはかなり進んでいると思いますが、特に留意するべき事項があります。

・対内部犯行への対処が重要

　ウイルス対策や不正アクセス対策などの外部の脅威に対する対策に比べて、社員、特に正規のアクセス権限を持っている業務担当者の犯行への対策はないがしろになりがちです。ところが、財務に関する犯行では、内部によるものの割合が高いので、これを重視する必要があります。ところが、正規の利用者の不正利用を防ぐには、情報システムの大幅な手直しが必要になります。その費用を得るのにも苦労しますし、仲間を疑うようでやりにくいこともあります。

・説明責任が必要になる

　万全なセキュリティ対策を取ることは不可能ですし、費用的にも不適切です。観念的には、対策費用と事故発生の損害の合計が最小になるレベルでの対策をすることになりますが、実際に数値的な検討をするのは困難なので、関係者の主観で決定していることが多いでしょう。これも、外部に対して客観的な説明をすることが求められるようになります。

注：

ここでは違いを強調しましたが、当然ながらシステム監査やISMSは、内部統制と密接な関係があります。当面の内部統制対策が達成できたら、引き続いてCOBITやITILなどの活用へと発展させるように働き掛けましょう。