企業価値を高める“これからのシステム監査”システム監査入門(5)

企業において情報システムの重要性が増すにつれ、システム監査の大切さも増している。今回は重みを増すシステム監査のこれからを見ていこう

» 2004年06月03日 12時00分 公開
[小野 修一,@IT]

「システム監査」をテーマに5回にわたってお話ししてきたこの連載も、いよいよ最終回になりました。今回は、現在そしてこれからの企業活動において、システム監査の重要性が一層高まってきているというお話をします。

情報システムを取り巻く環境の変化

 システム監査は情報システムを対象にした監査ですので、当然、情報システム環境の変化の影響を大きく受けます。情報システム環境の変化については、あらためて説明するまでもないと思いますが、大きく4つの観点で整理してみると分かりやすいでしょう(図1)

図1 情報システム環境の変化

 高度情報化は、民間企業、公共機関を含めてその動きを加速しています。その背景には、政府が推進しているe-Japan戦略があります。政府、地方自治体をはじめとして、すべての民間企業を含めて統一の取れた情報化社会を構築し、わが国の国際競争力を高めようという戦略です。今後、大企業だけでなく、中小企業もe-Japan戦略に基づいた情報化社会の中で企業活動を行っていかなければなりません。

 当然、そのベースには、情報技術(IT)の発展があります。インターネットや携帯端末の爆発的な普及を基盤に、ITを活用した新たなビジネスモデルが出現しており、情報管理の在り方も従来とは劇的に変わってきています。

 そうした情報化社会の動きは、新たな脅威を生み出し、脅威がいったん顕在化した場合の影響を飛躍的に増大させています。さらに、高度情報化社会において活動を行っていくためのさまざまな要請が生まれています。高度な情報活用、情報公開、その一方での厳格な情報保護や情報セキュリティ対応への要請です。

 こうした情報システム環境の変化を踏まえ、求められている多様な要請に応えられる健全な仕組みが構築されているかどうかを評価し、問題があれば適切かつタイムリーな改善を図るためのシステム監査が、いま新たな注目を集めてきています。

「システム監査基準」の改訂

 経済産業省が発表している「システム監査基準」は、システム監査のバイブルといってもよいものです。多くの企業、自治体などが「システム監査基準」をガイドラインとして、システム監査に取り組んできています。

 先に述べた情報システム環境の変化を受け、経済産業省では「システム監査基準」の改訂作業を進めてきており、この6月にも改訂版の「システム監査基準」が発表される予定になっています。システム監査にとっての新たな時代が到来したといっても、よいかもしれません。

 まだ最終確定ではありませんが、今回のシステム監査基準の改訂における主な改訂ポイントは、次のとおりです(表2)

改訂のポイント 主な改訂内容
(1)情報技術の革新への対応 情報技術の革新に対応した管理項目の設定
(2)事業における情報システムの位置付けの変化への対応 「ITガバナンス」を意識し、組織運営の観点から情報システムを見直すための要素を追加
(3)社会における説明責任の高まりと保証型監査の必要性 保証型のシステム監査の要素を追加
(4)「情報システム管理の標準」と「監査人の行動規範」の峻別(しゅんべつ) 現行「システム監査基準」を「システム管理基準」と「システム監査基準」に分離
(5)情報セキュリティ監査制度との関係 基準の前文や項目に関係整理を明記
表2 「システム監査基準」の改訂ポイント

 情報システムの位置付けの変化への対応では、情報システムはまさに企業活動そのものであるという認識を明確に打ち出しています。従って、ITを組み合わせた仕組みとして情報システムを監査するのではなく、情報システムが組織的活動の中で健全に機能しているかどうか(ITガバナンス)という観点を重要視しています。

 また、保証型監査という考え方が登場しています。いままでのシステム監査は、対象を客観的に調査・評価して、問題点があれば指摘し改善に結び付けるという活動でした。このことは、内部監査である業務監査でも同じです。しかし、今回の改訂では、一歩踏み込んで、システム監査を実施したことによって一定の保証を与えようという考え方です。ユーザー企業であれば、顧客、株主、取引先などに対して、自治体であれば住民に対して、保証を与えるということです。これは、非常に大きな発想の転換です。

 もちろん、保証とはいっても、システム監査を受ければ問題が絶対に発生しない、あるいはシステムが必ず有効活用されるということを100%保証するものではありません。限られた時間の中でサンプリングした監査対象から集めた情報に基づいて、システム監査人がある基準に照らして判断した結果を宣言するというものです。しかし、これでもいままでとは大きく違います。外部システム監査では保証型監査を期待する傾向が強くなると考えられ、保証型監査の場合システム監査人の責任がいままでより重くなることは間違いありません。

 この保証型監査という考え方、さらにその次の改訂ポイントである監査基準と管理基準という切り分けは、1年前に同じ経済産業省が発表した「情報セキュリティ監査制度」での考え方を踏襲したものです。

システム監査と情報セキュリティ監査

 情報セキュリティは、システム監査の大きな着眼点の1つである「安全性」に含まれるとされていました。そのことは、基本的には変わるものではありません。しかし、「電子政府」「電子自治体」をわが国の基盤として確固たる仕組みにしていくためには、情報セキュリティの確保は極めて大きな課題となります。そこで、経済産業省では、昨年度(平成15年度)、独立した制度としての「情報セキュリティ監査制度」を公表しました。

 「情報セキュリティ監査制度」は、いくつかの施策で成り立っていますが、その中心になるのが情報セキュリティ監査を行っていくための「情報セキュリティ監査基準」と「情報セキュリティ管理基準」です。監査基準は監査を行う監査人の行動規範を規定した基準であり、管理基準は対象が具備していなければならない情報セキュリティ要件を規定した基準です。この監査基準と管理基準の切分けの考え方は、今回の「システム監査基準」の改訂でも同じように盛り込まれています。

 システム監査と情報セキュリティ監査は、重複する部分もありますが、明確に区別してとらえるべきです(図3)

図3 システム監査と情報セキュリティ監査

制度化に近づいたシステム監査

 システム監査は任意監査だという話を、第1回「最適なシステム環境を維持する方策とは?」でしました。このことがシステム監査の普及を大きく阻害しているという意見があります。それは事実です。法定監査ではありませんから、お金を掛けて導入し実施しなければならない強制的な理由はありません。

 しかし、この連載でお話ししてきましたように、情報システム環境の信頼性、安全性、有効性を確保することはまさに経営課題になってきています。そして、そのことによって、システム監査を導入・実施することについての認識が確実に高まってきています。

 制度化とまではいきませんが、わが国の制度・行政指導の中で、システム監査の実施をうたっているものが増えてきています(表4)

JIS Q 15001:個人情報保護に関するコンプライアンス・プログラムの要求事項 事業者は、コンプライアンス・プログラムがこの規格の要求事項と合致していること、及びその運用状況を定期的に監査しなければならない。
代表者に報告しなければならない。
事業者は、監査報告書を管理し、保管しなければならない。
ISMS認証基準(Ver.2.0) 組織は、当該ISMSの管理目的、管理策、プロセス及び手順が次の事項を満たしていることか否かを明確にするために、あらかじめ定められた間隔でISMSの内部監査を実施すること。
金融検査マニュアル:システムリスク管理態勢の確認検査チェックリスト 内部監査部門の体制整備
システム部門から独立した内部監査部門が定期的にシステム監査を行っているか。
内部監査部門は、システム関係に精通した要員を確保しているか。また、必要に応じてシステム監査とシステム以外の監査を連携して行うことができる体制となっているか。
外部監査の活用
国際統一基準適用金融機関は、システムリストについて、定期的に会計監査人等による外部監査を受けているか。
表4 システム監査を義務付けている制度・行政指導

 「JIS Q 15001」および「ISMS認証基準」ではシステム監査とは明記していませんが、制度の内容から考えて、明らかにシステム監査を実施することを義務付けています。個人情報保護および情報セキュリティマネジメントの実効性を上げるために、システム監査の仕組みが不可欠ということです。「金融検査マニュアル」は金融庁による金融機関に対する行政指導ですが、この中でシステム監査を義務付けています。

 こうしたシステム監査の義務付けは、今後、ますます増えていくはずです。これは、わが国国内だけでなく国際的な動向でもあります。システム監査基準の改訂、保証型監査の明示なども、システム監査を普及・定着させるための大きな動きです。

 任意監査だからこそ、経営トップの意思決定が重要であり、前向きなシステム監査の導入・実施への取り組みが、企業価値を高めることにつながるのです。

おわりに

 システム監査について5回にわたって、お話をさせていただきました。限られたスペースでしたが、大事なポイントに的を絞ってお話しさせていただいたつもりです。今回の連載が、それぞれの企業や組織の皆さまが、システム監査を理解し導入・実施に目を向けていただくきっかけになれば幸いです。

※今回で本連載は終了です。ご愛読ありがとうございました


この記事に対するご意見をお寄せください managemail@atmarkit.co.jp


Profile

小野 修一(おの しゅういち)

有限会社ビジネス情報コンサルティング 代表取締役

早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業


▼専門分野

業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査

▼資格

公認システム監査人、中小企業診断士、ITコーディネータ、技術士(情報工学)、CISA(公認情報システム監査人)、ISMS主任審査員

▼所属

日本システム監査人協会、システム監査学会、中小企業診断協会、ITコーディネータ協会、日本技術士会、経営情報学会、情報システムコントロール協会

▼著書

『情報システム監査実践マニュアル』(共著、工業調査会)

『情報化投資効果を生み出す80のポイント』(工業調査会)

『成功するシステム導入の進め方』(日本実業出版社)

『ITソリューション 戦略的情報化に向けて』(共著、同友館)

『図解でわかる部門の仕事 情報システム部』

『システムコンサルタントになる本』(共著、日本能率協会マネジメントセンター)ほか多数


Copyright © ITmedia, Inc. All Rights Reserved.