PR

 今回も前回に引き続き、情報システム監査人が何をするのか、具体的な業務内容について解説する。理解しやすいよう、CISA(公認情報システム監査人)試験の内容に沿った形で説明する。

 情報システム監査人の業務は「計画」「実施」「評価」「報告」の四つに分かれる。前回は、「計画」「実施」について説明した。今回は、残りの「評価」「報告」の業務について述べる。

問題点の指摘だけでなく対策もアドバイス

 これまで述べたように、事前に監査計画を立案し、企業に出向いて関係者にヒアリングしたり証拠を収集したりした後で、情報システム監査人は「監査報告書」を作成する。

 監査報告書には、監査業務の目的や範囲を記述するほか、ヒアリングなどで発見した発見事項(事前に定めた基準から逸脱している事項)を一覧表にしたり、監査した結論や結論に基づいた改善提案などを記述する(図1)。

図1●監査報告書のイメージ
図1●監査報告書のイメージ

 例えば,顧客管理システムで事前に定めたアクセス権限者以外がアクセスしていたことが判明したら、それを発見事項として記述しておく。情報漏洩や改ざんのリスクがあるからだ。アクセス権限のある2人が別々のパスワードで会計システムにアクセスすべきなのに、業務効率を上げるために1人が2つのパスワードでアクセスしていたことが分かった場合も、発見事項として記述しておく。不正な会計処理が起こる可能性があるからだ。

 こうした問題点を指摘することが「評価」になるが、これだけで情報システム監査人の業務は終わりではない。問題点に対し、今後どうすべきかといった改善策を提案する。既に何らかの対策が現場で打たれている場合でも、対策が不十分であれば追加的な対策をアドバイスする。パスワードのポリシーが企業内に浸透していないことがセキュリティ対策が不十分な原因だった場合は、ポリシーの認知度を向上させるための社内教育や啓蒙活動を提案する、といった具合だ。

「フォローアップ監査」を実施し、残余リスクの最小化を確認

 監査が終わったら、報告会を開催し、監査を受けた部門や経営者に監査結果および改善事項に対する改善策を提示する。そのうえで、監査を受けた部門や経営者と情報システム監査人が、改善策を実施する時期や内容について合意する。報告書を出すだけで問題点が改善されなければ意味がないからだ。

 監査報告会の実施後は、一定の期間をおいて、監査を受けた部門や経営者が情報システム監査人と合意した改善策を予定通りに実施しているかどうかを、情報システム監査人が再監査する。これを「フォローアップ監査」と呼ぶ。この監査も情報システム監査人が計画を立て実施する仕事の1つである。指摘した問題点が改善されているかどうかをチェックし、現時点でのリスクが最小化されていることを見極めることも、情報システム監査人の役目なのだ。

 以上が、情報システム監査人の仕事である。会計監査と実行していることは同じかもしれないが、会計監査とは異なりITの知識まで広く求められることは間違いない。しかも企業の状況をヒアリングして状況を把握し、リスクを識別して適切に判断できる能力まで必要だ。

 業務知識も不可欠だろう。製造業と流通業では業務プロセスや社内ルールなどが異なるからだ。情報システム監査人の仕事は、単に情報システムの内部構造を見ることではなく、むしろ情報システムと「人」の接点を検証することが役割と言える。

 コンピュータ犯罪のほとんどが内部犯罪と言われる。機密情報が誤ってまたは故意に外部に流出するようでは、企業の存亡にかかわりかねない。情報システム監査によって情報システムの状況が明確になれば、企業のリスク対策に大いに役立つだけに、内部統制が求められる時代にあって、情報システム監査は、とても意義のあるスキルであると筆者は考えている。

本田 秀行(ほんだ ひでゆき)
富士通ソーシアルサイエンスラボラトリ エンタープライズセキュリティ部主任(セキュリティコンサル担当)/アビタス講師
流通,エネルギー,半導体業界向けシステム開発/運用およびプロジェクトマネジメントを経験後,ISMS認証取得コンサルティング,事業継続計画策定コンサルティング,米SOX対応内部監査,金融商品取引法(J-SOX)対応IT全般統制構築/監査,システムセキュリティ要件分析,情報セキュリティリスク分析およびシステム構築改善,官公庁向けシステム監査などを実施。また,自治体をはじめとしメーカー,病院など幅広い業種の顧客に対し,情報セキュリティ教育および内部監査人育成教育を行っている。2008年より公認情報セキュリティマネージャ(CISM)委員会委員としてレビューマニュアルなどの翻訳査読,レビューコース講師を務める。公認情報システム監査人(CISA),CISM,日本内部監査人協会公認内部監査人(CIA),ISO27001審査員補