「監査を恐れることはない」とIT部門にエール CSE内部統制セミナー

CSEが3月5日に開催した内部統制セミナーで、日本ユニシス商品企画部セキュリティビジネス企画室の戸木貞晴氏が講演。「監査を恐れる必要はない」とIT統制に頭を悩ますIT部門を勇気づけた。

[ITmedia]

　シー・エス・イー（CSE）は3月5日、「電子ワークフローとシステムログ連携による内部統制モニタリングセミナー」を開催した。講演した日本ユニシス商品企画部セキュリティビジネス企画室の戸木貞晴氏は「経営者は情報システムに詳しくない。IT統制をできるのは情報システム部門しかいない」と話す。さらに、内部統制に頭を悩ますIT部門を「監査を恐れる必要はない」と勇気づけた。

　日本版SOX法の適用年度が4月から始まる。財務報告が作成されるプロセスには情報システムが深くかかわっており、IT部門が活躍しなければならない機会は多い。

　IT部門の監査対応は、（1）開発と運用の分離、（2）開発・変更管理、（3）運用管理、（4）セキュリティ管理、（5）外部委託管理――がポイントになるとされる。要員の少ない日本のIT部門にとっては、これらを適切に整備し、監査対応を行うのは重荷。しかも監査自体に不慣れなど、不安もよぎる。

　「監査は建設的な学習経験になる。準備は必要だが、監査人もITの自動化されたプロセスの方が正確で効率的なことは分かっている。情報システム部門は、得意とするITの基本特性を積極的に生かしていけばいい」

　監査人は目に見えるものを要求するため、文書や記録を重要視する。それだけに、自動化された情報システムが吐き出すログやリポートは証跡として信頼度は高い。「監査人もそのことは分かっている」

日本ユニシス商品企画部セキュリティビジネス企画室の戸木貞晴氏

　また、客観的かつ合理的な対応を行うには、IT部門の原理原則に立ち返えるとよい、とアドバイスする。そうすれば、開発・変更管理と運用管理を混同したり、開発と運用を別組織にせずとも、システム環境を分離し、申請と承認、作業を監視・記録するなどで客観的に仕事を分離できることなどが見えてくる。

　「監査法人は、統制の強度（有効性）に関してゾーンを持っている。強度は自分たちで決める必要があるが、情報システム部門が当たりをつけて、統制を自動化していくことなどやれることはたくさんある」

　同氏によると、監査実例からは、「証跡に関する事項」や「コントロール実施に関する事項」「リスクコントロールマトリクス（RCM）・規定類」――が指摘の上位に入る傾向にあるという。