内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。

　今回は情報システム①です。

内部監査が向き合う「情報システム」とは？

　今回から内部監査がみる情報システムについて、皆さんと一緒に考えてみたいと思います。

　会社にとって情報システムは必要不可欠な業務環境・ツールなのですが、皆さんの会社によってはこの情報システムに対する内部監査としての捉え方がさまざまです。分かりやすい例としては、ISMS認証です。官公庁／地方公共団体の入札参加資格の要件としてISMS認証取得を挙げているために事業上必要に迫られたり、業種・業界によっても必然的にISMS認証取得することが求められることがあります。一般企業でも、与信審査の際にISMSなどの認証の有無を確認することがあり、これによって情報セキュリティ基準を満たしているので問題無しとすることも少なくありません。

　それでは、自社・取引先等でISMS認証を取得しているからといって情報システムへの内部監査を行わなくて良いのか？と言えば、決してそうではありません。ISMSは内部監査員による内部監査を実施しますが、ISMSの内部監査と私たちの内部監査とは、その内容が異なります。また、会社によってその内部監査員は会社組織上の内部監査部門の皆さんが担当するケースもありますが、それはまったく問題無いものの先のとおり内容（監査項目、観点、視点など）が異なるので、担当する内部監査部門の皆さんは「まったく別の監査」として理解したうえで実施することをお勧めします。ISMSは文字通り「Information Security Management System（情報セキュリティマネジメントシステム）」ですから情報セキュリティをメインにしているので、この点だけでも私たち内部監査が行う情報システムに関する内部監査と大きく違うことがわかります。

　ISMSから話題を変え、少し会社全体を俯瞰して情報システムを見てみます。

　情報システムは必要不可欠な業務環境・ツールで、これが無いと事業・業務が回らないのものですが、では内部監査の皆さんはその必要不可欠な情報システムの「何を」「どのように」「何のために」内部監査しますか？真っ先に思いつくのは情報セキュリティかもしれませんが、それはほんの一部です。内部監査するときの観点は多種多様です。今回の記事から数回に分けて、その観点やポイントをご紹介しつつ、皆さんと一緒に考えてみます。

視野を広く・観点を多く

　個別具体的なお話しをする前に、まず情報システムを内部監査するときは視野を広く、観点を多く持つことを念頭に置くことをお勧めします。逆に、このことを念頭に置かないと、この先お話しを進めていく中でISMS、内部統制などで言う情報システムへの内部監査と混同する恐れがあります。もちろん、内部監査／ISMS ／内部統制それぞれが実施する情報システムへの内部監査（※内部統制ではIT統制）は要素として重複する部分がありますが、それは視野を広く持つことで「どの部分がどのように重複しているのか」及び「どの部分が他と異なるのか」を把握・理解し、観点・視点の違いを明確にしながら内部監査／ISMS ／内部統制それぞれの内部監査を実施する必要があります。重複しているからといって同じ証憑を見たとしても監査結果が同じと言うわけではありませんし、重複していない部分については違う証憑でなければならないわけではありません。なぜなら内部監査する対象は同じ情報システムであり、監査項目が違うといってもそれは観点・視点の違いなので、同じ証憑を見ても自ずと監査結果が違うのです。

　それでは内部監査の目線を中心に視野と観点のお話しをすすめますが、まず私たち内部監査は「ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する」ことです。（内部監査基準・一般社団法人日本内部監査協会「１．内部監査の必要」／1ページ）ですから先ほど「真っ先に思いつくのは情報セキュリティかもしれませんが、それはほんの一部です」とご紹介したのはこのことです。情報システムについてもガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性を評価するのです。まずここで私たち内部監査は、視野を広く・観点を多く持つことが必要になります。

　もうひとつ、内部監査基準でこのように述べています。

（出典：内部監査基準4ページ）

　私たち内部監査が監査を実施するにあたって注意すべきポイントに「⑤情報システムの妥当性、有効性および安全性」を挙げています。ここでも情報セキュリティがほんの一部であることがわかります。ですから、視野を広く会社全体を俯瞰するかたちで内部監査することと、監査テーマを絞るとしてもそのテーマに関係する部門を横断的にみることをお勧めします。

　この「情報システムの妥当性、有効性および安全性」も、皆さんの会社によっては捉え方がさまざまあると思いますが、

• ガバナンス・プロセス

• リスク・マネジメント

• コントロール

これら３つの観点から妥当性、有効性および安全性について内部監査することとなります。これらをバランスよく均等に監査するか。いずれかに重点を置いて監査するか。毎期に重点を替えて監査するか。それらは皆さんの会社（の方針・ポリシー）次第です。ただし、この３つの観点で内部監査することはとても大変だからといって１つ・２つだけに絞ることは避けた方が良いでしょう。なぜなら、この３つが揃うことで私たち内部監査のアシュアランス（保証）業務がまっとうできるからです。

　情報システムへの内部監査の実施方法は、いろいろあります。しかし、それらの方法をいろいろ試してみる前に、まずは視野を広く観点を多く持つことを念頭に置いて、情報システムへの内部監査に臨むことをお勧めします。

当社が提供するサービスとして

当社が提供する「内部統制・内部監査体制構築」サービスでは、

1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先（外部）として業務遂行いたします。（＊内部統制責任者として、社内に１名選任をお願いします。）

　この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築／再構築をご検討ください。