内部監査に向き合う Part.20 -情報システム⑤-
- 長嶋 邦英
- 6月29日
- 読了時間: 6分
内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。
今回は情報システム⑤です。

情報システムを監査するポイントを考える⑤
今回の記事では、前回の記事「内部監査に向き合う Part.19 -情報システム④-」でご紹介した内容の補足となります。というのも、経済産業省「システム管理基準」と特定非営利活動法人 日本システム監査人協会(SAAJ)が策定したシステム管理ガイドライン(以下「管理ガイドライン」といいます)を理解することで、皆さんの会社の業種、業態、規模に合ったかたちの情報システム・IT管理ができるとご紹介しましたが、システム管理基準と管理ガイドラインをみると2部構成(①ITガバナンス、②ITマネジメント)となっており、内部監査ではこの2部ともが監査範囲となり、J-SOX(内部統制)では全社統制(CLC)が①、IT全社統制(ITGC)では②が評価範囲とご理解いただきたかったからです。
今回のお話しは内部監査に向き合うことがメインですので、内部監査だけに話題を絞ります。
内部監査では管理ガイドラインが示す①ITガバナンス②ITマネジメントが監査範囲となりますが、これらをどのように監査する(=監査項目とする)のかは監査する皆さん次第となります。例えば、管理ガイドラインに挙げている「IT ガバナンスの実践」の状況をそれぞれの項目ごと(下記をご参照ください)に順を追って監査するのも良い方法だと思います。
経営戦略とビジネスモデルの確認
IT 戦略の策定
効果的な IT パフォーマンスの確認と是正
実行責任及び説明責任の明確化
1を具体的に考えますと、毎年立案する事業計画にあるIT計画及びこれに伴うIT予算計画の立案内容が、会社の事業計画及び経営戦略を支援するための IT 戦略ビジョンと合致しているのか。会社の中期計画にあるIT戦略計画(ビジョン)に沿ったかたちで単年の事業計画が立案されているのかを監査するということが考えられます。
2も1と同様に、毎年立案する事業計画にあるIT計画及びこれに伴うIT予算計画の立案内容が会社の事業計画及び経営戦略を支援するための IT 戦略ビジョンと合致しているのか。会社の中期計画にあるIT戦略計画(ビジョン)に沿ったかたちで単年の事業計画が立案されているのかを監査するということが考えられます。ここで「ITに関する事項・事柄を事業計画に個別に記載する必要があるのか?」という質問をお受けすることがあります。回答は、できればITに関する事項・事柄であることがわかるような記載を事業計画にすることをお勧めします。ただし、例えば新規事業立ち上げに関する事業計画の中にITに関する事項・事柄を含めているケースあります。これを文章記述でわざわざ個別に分ける必要はありませんが、その文章の中にITに関する事柄の記述があれば助かります。ステークホルダーの立場から見ても、会社は事業計画でITに関しても注力していることがわかります。これも会社の説明責任(accountability)だと思います。(関連:管理ガイドライン「I.2.1 ステークホルダーへの対応」)
3は効果的な IT パフォーマンスの確認と是正を会社として責任のある機関がこれを行なっているか。管理ガイドラインでは取締役会とありますが、取締役会においてIT パフォーマンスの個別・具体的な内容の確認と是正を行えるかどうかは難しいところだと思います。現実的には、その個別・具体的な内容の確認と是正は、例えば情報セキュリティ委員会やリスク管理委員会等で行い、そこで協議・諮問した内容と今後の方針をまとめた答申案を取締役会で決議するというかたちが考えられます。この場合、協議・諮問する機関には社外取締役の出席が理想的かもしれません。このあたりも皆さんの会社の事情等によっていろいろ考えられます。そしてその内容をどのように内部監査するか。これも決まったかたちや正解はありませんので、ぜひ工夫することをお勧めします。
4の実行責任及び説明責任の明確化は必須です。ITに関する責任を負う部門・部署の明確化は必ずお願いします。これはさきほど2で挙げました具体例(新規事業立ち上げに関する事業計画の中にITに関する事項・事柄を含めているケース)では、よく曖昧になってしまいがちです。新規事業立ち上げに伴うITシステムの導入については誰が責任を負うのか?事業に伴うのだから当該事業部門?会社のITシステム全般を管理する部門?この点はのちに大きな問題が発覚したときにモメてしまうことがあります。これはIT統制に限らず、ISMSでも同様のルール(要求事項)がありますので、逆に言えばどのような会社でも発生するありがちなパターンといえます。のちになってモメることの無いよう、十分ご注意ください。
情報システムを監査するポイントを考える⑥
次に②ITマネジメントですが、こちらは次の項目となります。
推進・管理体制
プロジェクト管理
企画プロセス
開発プロセス
運用プロセス
保守プロセス
廃棄プロセス
外部サービス管理
事業継続管理
人的資源管理
この10項目について内部監査を実施する場合は、IT統制で評価する内容と重複する点がありますので、そのことを踏まえて監査手続を作成する際に十分ご検討ください。明らかに重複する内容は避けますが、例えばさきほどの具体例(新規事業立ち上げに関する事業計画の中にITに関する事項・事柄を含めているケース)でその新規事業立ち上げ自体を監査対象としたときにITシステムについて深掘りするのは、必要なことだと考えます。以前の記事でご紹介しました「クロス監査」のように、同じ監査対象に対して違う観点・切り口で監査することで業務の適正性・有効性・効率性、リスク低減、不正防止等を確認することができるからです。ですから監査テーマを挙げる際は、監査項目としてどのような項目があるのかを十分検討して、内部監査で監査するのか内部統制で評価するのかを見極めることをお勧めします。
情報システムは会社にとっての生命線です。無くてはならないものですし、疎かにできないものです。そのためISMSではルール遵守の運用、経産省ではシステム管理基準・監査基準によって管理・監査のルール化、J-SOXではその管理・監査の内容と監査結果を内部統制報告書として開示することが求められています。とても面倒だと思われるかもしれませんが、内容を見るとごく当たり前の内容です。会社を守るためのものと理解していただき、積極的な管理・監査を実施することをお勧めします。
当社が提供するサービスとして
当社が提供する「内部統制・内部監査体制構築」サービスでは、
IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。
上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。
IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)
この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。
ความคิดเห็น