企業価値を高める“これからのシステム監査”：システム監査入門（5）

企業において情報システムの重要性が増すにつれ、システム監査の大切さも増している。今回は重みを増すシステム監査のこれからを見ていこう

「システム監査」をテーマに5回にわたってお話ししてきたこの連載も、いよいよ最終回になりました。今回は、現在そしてこれからの企業活動において、システム監査の重要性が一層高まってきているというお話をします。

情報システムを取り巻く環境の変化

　システム監査は情報システムを対象にした監査ですので、当然、情報システム環境の変化の影響を大きく受けます。情報システム環境の変化については、あらためて説明するまでもないと思いますが、大きく4つの観点で整理してみると分かりやすいでしょう（図1）。

図1　情報システム環境の変化

　高度情報化は、民間企業、公共機関を含めてその動きを加速しています。その背景には、政府が推進しているe-Japan戦略があります。政府、地方自治体をはじめとして、すべての民間企業を含めて統一の取れた情報化社会を構築し、わが国の国際競争力を高めようという戦略です。今後、大企業だけでなく、中小企業もe-Japan戦略に基づいた情報化社会の中で企業活動を行っていかなければなりません。

　当然、そのベースには、情報技術（IT）の発展があります。インターネットや携帯端末の爆発的な普及を基盤に、ITを活用した新たなビジネスモデルが出現しており、情報管理の在り方も従来とは劇的に変わってきています。

　そうした情報化社会の動きは、新たな脅威を生み出し、脅威がいったん顕在化した場合の影響を飛躍的に増大させています。さらに、高度情報化社会において活動を行っていくためのさまざまな要請が生まれています。高度な情報活用、情報公開、その一方での厳格な情報保護や情報セキュリティ対応への要請です。

　こうした情報システム環境の変化を踏まえ、求められている多様な要請に応えられる健全な仕組みが構築されているかどうかを評価し、問題があれば適切かつタイムリーな改善を図るためのシステム監査が、いま新たな注目を集めてきています。

「システム監査基準」の改訂

　経済産業省が発表している「システム監査基準」は、システム監査のバイブルといってもよいものです。多くの企業、自治体などが「システム監査基準」をガイドラインとして、システム監査に取り組んできています。

　先に述べた情報システム環境の変化を受け、経済産業省では「システム監査基準」の改訂作業を進めてきており、この6月にも改訂版の「システム監査基準」が発表される予定になっています。システム監査にとっての新たな時代が到来したといっても、よいかもしれません。

　まだ最終確定ではありませんが、今回のシステム監査基準の改訂における主な改訂ポイントは、次のとおりです（表2）。

　情報システムの位置付けの変化への対応では、情報システムはまさに企業活動そのものであるという認識を明確に打ち出しています。従って、ITを組み合わせた仕組みとして情報システムを監査するのではなく、情報システムが組織的活動の中で健全に機能しているかどうか（ITガバナンス）という観点を重要視しています。

　また、保証型監査という考え方が登場しています。いままでのシステム監査は、対象を客観的に調査・評価して、問題点があれば指摘し改善に結び付けるという活動でした。このことは、内部監査である業務監査でも同じです。しかし、今回の改訂では、一歩踏み込んで、システム監査を実施したことによって一定の保証を与えようという考え方です。ユーザー企業であれば、顧客、株主、取引先などに対して、自治体であれば住民に対して、保証を与えるということです。これは、非常に大きな発想の転換です。

　もちろん、保証とはいっても、システム監査を受ければ問題が絶対に発生しない、あるいはシステムが必ず有効活用されるということを100％保証するものではありません。限られた時間の中でサンプリングした監査対象から集めた情報に基づいて、システム監査人がある基準に照らして判断した結果を宣言するというものです。しかし、これでもいままでとは大きく違います。外部システム監査では保証型監査を期待する傾向が強くなると考えられ、保証型監査の場合システム監査人の責任がいままでより重くなることは間違いありません。

　この保証型監査という考え方、さらにその次の改訂ポイントである監査基準と管理基準という切り分けは、1年前に同じ経済産業省が発表した「情報セキュリティ監査制度」での考え方を踏襲したものです。

システム監査と情報セキュリティ監査

　情報セキュリティは、システム監査の大きな着眼点の1つである「安全性」に含まれるとされていました。そのことは、基本的には変わるものではありません。しかし、「電子政府」「電子自治体」をわが国の基盤として確固たる仕組みにしていくためには、情報セキュリティの確保は極めて大きな課題となります。そこで、経済産業省では、昨年度（平成15年度）、独立した制度としての「情報セキュリティ監査制度」を公表しました。

　「情報セキュリティ監査制度」は、いくつかの施策で成り立っていますが、その中心になるのが情報セキュリティ監査を行っていくための「情報セキュリティ監査基準」と「情報セキュリティ管理基準」です。監査基準は監査を行う監査人の行動規範を規定した基準であり、管理基準は対象が具備していなければならない情報セキュリティ要件を規定した基準です。この監査基準と管理基準の切分けの考え方は、今回の「システム監査基準」の改訂でも同じように盛り込まれています。

　システム監査と情報セキュリティ監査は、重複する部分もありますが、明確に区別してとらえるべきです（図3）。

図3 システム監査と情報セキュリティ監査

制度化に近づいたシステム監査

　システム監査は任意監査だという話を、第1回「最適なシステム環境を維持する方策とは？」でしました。このことがシステム監査の普及を大きく阻害しているという意見があります。それは事実です。法定監査ではありませんから、お金を掛けて導入し実施しなければならない強制的な理由はありません。

　しかし、この連載でお話ししてきましたように、情報システム環境の信頼性、安全性、有効性を確保することはまさに経営課題になってきています。そして、そのことによって、システム監査を導入・実施することについての認識が確実に高まってきています。

　制度化とまではいきませんが、わが国の制度・行政指導の中で、システム監査の実施をうたっているものが増えてきています（表4）。

　「JIS Q 15001」および「ISMS認証基準」ではシステム監査とは明記していませんが、制度の内容から考えて、明らかにシステム監査を実施することを義務付けています。個人情報保護および情報セキュリティマネジメントの実効性を上げるために、システム監査の仕組みが不可欠ということです。「金融検査マニュアル」は金融庁による金融機関に対する行政指導ですが、この中でシステム監査を義務付けています。

　こうしたシステム監査の義務付けは、今後、ますます増えていくはずです。これは、わが国国内だけでなく国際的な動向でもあります。システム監査基準の改訂、保証型監査の明示なども、システム監査を普及・定着させるための大きな動きです。

　任意監査だからこそ、経営トップの意思決定が重要であり、前向きなシステム監査の導入・実施への取り組みが、企業価値を高めることにつながるのです。

おわりに

　システム監査について5回にわたって、お話をさせていただきました。限られたスペースでしたが、大事なポイントに的を絞ってお話しさせていただいたつもりです。今回の連載が、それぞれの企業や組織の皆さまが、システム監査を理解し導入・実施に目を向けていただくきっかけになれば幸いです。