皆さん、監査と聞くと、どのようなイメージを持たれるでしょうか。多くの方が、会社や団体(自治会やNPOなどもイメージしやすい)の会計報告の内容を点検する仕事とお答えになります。監査において、会計報告の妥当性を保証することは大事な役割ですが、それ以外にも大切な役割を担っています。
監査という仕事は全世界共通です。業界では、監査の担当者を総称して「監査人」といい、アメリカに本部がある内部監査人協会という職能団体があります。私は公認内部監査人(CIA)、内部統制評価指導士(CCSA)という資格を有していますが、これは、内部監査人協会が認定する国際資格になります。日本ではまだまだマイナーな資格ですが、内部監査人は欧米では専門職としての処遇を受けていると側聞しています。
さて、今日は、内部監査人協会の内部監査の定義をご紹介します。以下に引用します。「内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このためにリスク・マネジメント、コントロールおよびガバナンスの各プロセスの有効性の評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う。」(専門職的実施の国際フレームワークより引用)
平易な言い方をしますと、監査人は、自らが所属する組織が、リスクを洗い出しているか、まず確認する必要があります。そして、重要度と発生可能性が高いリスクを特定し、適切に管理しているか評価することが必要です。もし、問題がなければ、それを保証し、逆に問題があれば、是正策を策定し、改善(フォローアップ)することが大切だと述べています。
現在、各組織がDXの実現に向けてしのぎを削っていますので、ITに関するリスク(以下「ITリスク」)管理は重要度を増しています。ITリスクは、情報セキュリティに関するものがイメージしやすいと思います。ただし、セキュリティリスクを適切に管理することは相当難しいことも申し添えておきます。
しかし、それ以外にも各組織はさまざまなITリスクに直面しています。例えば、多額の予算をかけて導入したシステムをユーザが全く活用していない、同一システムを長期間利用し続けていて更新が困難な状況に陥っている、社内の様々な部署で勝手に同じようなシステム(例えば、「野良」RPA問題など)を導入しており整合性が取れていない、テレワーク対策を早急に導入する必要があるが進捗が遅れている、などの事例が想定できます。内部監査、システム監査において、具体的なITリスクの管理状況を具体的に示し、不備があれば、是正策を定めることは大切な取り組みです。また、監査に割けるリソースに限りがある企業の場合には、第三者による評価なども参考にすべきです。
さて、ITリスクの不備を是正するためには、IT関連の専門知識が必要になります。他社の事例や、費用の妥当性の検証も必要です。当然、監査人も不備を指摘するだけではなく、所属する組織の他部署のベストプラクティスなどをコンサルティングする役割も担いますが、独立性を維持するためにも、具体的な作業まで関与するわけにはいきません。あくまでも改善策は、システム部門が主体的に決定する必要があります。
組織内のシステム担当者だけでは困難な場合には、ITと経営の両方の専門知識を有するITコーディネータなどの専門家が、場合によっては業務フローの抜本的な見直し等まで踏み込んだ改善策の策定をお手伝いする余地が十分にあります。逆の言い方をしますと、ITコーディネータがシステム整備などのコンサルティング業務を請け負うときには、監査や第三者による評価を十分に考慮し、IT統制を強化しつつ、働き方改革、業務改革、新しいビジネスモデルの創出につなげていくことが大切な役割になってくると考える次第です。
■執筆者プロフィール
氏名 浅野 卓(あさの たかし)
所属 豊橋ステーションビル株式会社 代表取締役社長
資格 ITコーディネータ 公認システム監査人 公認内部監査人
内部統制評価指導士 情報セキュリティ監査人補 AFP等
専門分野 内部監査、システム監査(システム監査学会会員)
ファシリテーション 人的資源管理
病院経営(企業立病院 事務部長経験あり)
コメントをお書きください