«

»

1月 04

045堅苦しくないシステム監査のすすめ

「監査」というといかめしく、大層なことのように感じるが、簡単にいえば「やると決めたことをやっているか」を独立した立場の人間に点検してもらうことである。情報セキュリティ関係の活動やシステム運用は、自社だけでは甘くなりがちな面もある。堅苦しく考えずに重要な一部だけでも実施することをお勧めしたい。

□ 自社だけではチェック、管理が甘くなる業務に要注意
当面の業務には差し支えないが、やっておかないと後からひどい目に遭うかもしれないことがある。ITの日常マネジメントにおいてはパソコンのウィルススキャンや、システムのバックアップ回復訓練などである。
「やろう!」、とルールを定めるまではいいが、そのルールが利便性を制限するものであればあるほど守っていくのは難しい。このため、実行状況をチェックすることもルールに定めるが、チェックそのものが行なわれないようになると、その取り組みは破綻してしまう。
法令で定められた会計処理、決算処理については会計監査、あるいは税理士や税務署によるチェックがあるのでルール通りにやらざるをえない。しかし、会社のなかの任意のルールとなると優先度は会社によって様々になる。情報セキュリティやシステム運用は、知らず知らずに「優先度下位」となってしまうことも多い。

□ 監査のすすめ
そこで、たとえば、非常に重要なことだけでも外部から監視してもらうようにセットしておいてはどうだろう。年2回システム監査や情報セキュリティ監査をすることを、年度当初に実施機関に依頼しておくのである。
これにより、自社だけの管理では“ついつい”緩くなりがちなチェックや管理のカナメの部分を、外部の目による牽制で緩まないようにするのである。

□ システム監査、情報セキュリティ監査とは
「監査」には会計監査、業務監査という分類と、法定監査、任意監査という分類がある。内部監査、外部監査という分け方もある。システム監査や情報セキュリティ監査は業務監査であり任意監査の部類に入るもので、内部監査、外部監査のいずれかで実施するものである。
任意監査は、経営トップからの依頼を受けて監査対象部門(被監査部門)の対象業務を調べて、正当性などを判定する。監査をする側である監査人の奉仕対象は主にトップマネジメントだ。
監査人の資格に制限はないが、被監査部門からの独立性、専門的能力と業務経験が必要とされる。経済産業省では監査人の行動規範として、「システム監査基準」(*1)、「情報セキュリティ監査基準」(*2)を発行している。また、監査をおこなう際、監査人が監査上の判断の尺度として用いるべき基準として、「システム管理基準」(*3)、「情報セキュリティ管理基準」(*4)が整備されている。

□ 実践的、実利的な進め方
少し堅い言葉が並んでしまったが、監査はきちっとやるものであり、監査人にはいい加減な仕事はしてもらいたくない、ということを考えれば仕方が無いかとも思われる。
しかし本稿の目的は、「堅苦しい」、「面倒だから」と監査や業務遂行のチェックから遠ざかるのではなく、もう少し身近に考えてもらい、必要なことを実施していただきたい、ということである。
ではどのようにすれば実践的、実利的な監査の利用ができるのかについて、以下にポイントを述べる。

(1)仕組みとルールの整備
監査の前に、情報セキュリティやシステム運用の業務に関する適切な仕組み(仕事の組み立て)をつくり、その実行を確実におこなうためのルールを作ることが必要である。情報セキュリティでいえば、ウィルス対策ソフトを導入したり、情報セキュリティ規程を整備したりというようなことである。

(2)監査すべき対象の検討
その回に実施する監査の対象を決める。
例えば、既にあるルールに従ってシステム部門が運用業務を行なっているのか、あるいは、営業店での個人情報取り扱いはルールに沿ったものかどうかなどである。
これらは経営上の重要性に沿って判断する。テーマは毎回変えてもいい。

(3)誰に依頼すべきか
上に、「外部の目による牽制」と書いたが、組織の中に独立性と専門性を持った適切な実行者がいればそれでもいい。
外部に委託する場合は、システム監査、情報セキュリティ監査をカンバンに掲げている機関(*5)に相談するか、中小企業の場合、独立系ITコーディネータでシステム監査、情報セキュリティ監査を手がけているような人を探すといいだろう。

(4)「監査」でなくてもいい
監査という名目の場合、監査資格保有者の場合ははやり監査基準に沿った形でやらざるを得ないが、もっと柔らかい形で実施したい場合は、「チェック」、「診断」など、その時の目的に沿った名目で実施してもいいだろう。
要は、マネジメントの目的に合った形であれば「監査」という言葉にこだわる必要は無いのである。
(2012.5.23 執筆:山田一彦)

*1:「システム監査基準」:www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
*2:「情報セキュリティ監査基準」:http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
*3:「システム管理基準」:http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf
*4:「情報セキュリティ管理基準」:http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard.pdf
*5:「システム監査企業台帳」、「情報セキュリティ監査企業台帳」制度
http://www.meti.go.jp/policy/netsecurity/sys-kansa/
http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html