会員番号 2591 近藤 博則
1.テーマ 「システム監査の多様性について」
2.講師 システム監査人協会 近畿支部 林 裕正 氏
3.開催日時 2016年1月15日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
システム監査の多様性とシステム開発プロジェクトの監査という2つのテーマについて講演いただいた。それぞれのテーマについてお話いただいた後、会場の参加者から意見を発表してもらうディスカッション形式で行われた。参加者からは、テーマを超えてシステム監査の発展についても意見が述べられた。
<講演内容>
(ア) システム監査の多様性
① テーマ選定の背景
今回のテーマを選定した背景として、システム監査学会で2012年に開催された公開シンポジウムの開催趣旨から、多様なシステム監査の必然性が求められていること。システム監査学会におけるシステム監査の多様性 研究プロジェクトのプロジェクト概要からICTを利用した情報システムが高度化し適用範囲が広がるに従って、情報システム関連の評価に対する要求も高度化・多様化し、システム監査においても従来と違う視点が求められている。という所から、システム監査が多様化してきている現状を感じテーマとして選定されたとのことだった。
② 多様性に関する視点
なぜシステム監査が多様化してきたのかについて3つの視点からまとめられていた。第一に対象組織の多様性の視点として、従来からの民間企業に加え、公共団体、非営利団体、教育機関等が増えてきたこと。次に目的の多様性の視点として、信頼性・安全性・効率性に加えて、適法性・利便性・経営戦略適合性が加わってきたこと。最後に技術の進歩からリスク拡大・変容の視点として、クラウド、ビックデータ、SNS、オープンソース、スマホ、仮想化等が加わってきたことをあげられていた。
③ システム監査学会主催イベント 統一論題、システム監査講演会 講演テーマ、システム監査技術者試験
出題範囲、公認システム監査人の得意分野、システム監査に関係した出来事を概観し、多様な変化を遂げて現在に至るシステム監査の流れを紹介された。
④ 多様性をもたらす要因
上記の多様な変化を遂げたシステム監査の流れを下敷きにして、システム監査に多様性をもたらす要因についてまとめられた。まず、ITの進化によるリスクの多様化に由るもの。次に、事件・事故が発生した際の再発抑止・減災に由るもの。国際会計基準等グローバル化を迫られる外圧に由るもの。これらを契機とした法制度の整備による規制・促進により、システム監査にも多様性がもたらされると結論づけられていた。
⑤ 多様性するシステム監査に向けて
多様化したシステム監査において大切なものについて、「監査(Audit)は「聴く」と言う意味を持つ。「聴く」ためには、相手と向き合う事が大切。」と言う言葉から、システム監査スキルはもとより、「聴く」ための技術スキル、「聴く」ための業務・業種・技術に関する知識が必要とまとめられていた。また、これに対応するためには一人の監査人では限界があるため、「チーム医療」に準え「チーム監査」が有効ではないかと提唱されていた。
⑥ 会場からの意見
・システムを取り巻く技術も多様化してきており、リスクを見抜くことも難しくなってきているが、監査人としては見抜くための力を研鑽し続けなくてはならないと感じた。
・現在、監査業務に携わっているが、サイバーセキュリティの分野については、外部の協力を得ている。
・これまでは理屈がわかっていればよかったが、今は勉強していないと世の中についていけないと感じる。
・チーム監査は必要だと感じるが、コストも必要となる。チームもクラウド的に遠隔から参加する等の対応も必要ではないかと感じた。
・多様化でシステム監査は厳しき局面を迎えている。ネットワーク・IOT・クラウドなどは総合力がないと評価できない。監査人としてはネットワークを組みながら、チームで監査することが必要と感じた。
・書類を電子化しクラウドへ保管する場合等、e文書法の電子媒体保管との兼ね合いを整理するかが問題と感じている。
・保証型の監査が求められると感じている。マイナンバーで自治体に対し保証型監査のニーズが高まればと感じる。
・システム監査が普及していないのはなぜなのか。マイナンバーはよい機会と考えるが、世間に対するアピールが弱いのではないか。
・ITへの依存度が高まれば、監査も多様化し、スコープも広がっている。ITが専門細分化してきている現状に監査人が対応しきれないのではないか。ITの専門家に監査の知識を習得してもらうのがよいのはないか。
・日本では法が情報に対して権利を与えていない。システム監査が法の足りない部分を補完してほしいと考えている。
・クラウド事業者は、監査を受け付けていない場合も多く、直接監査できない場面が多い。こういった場合に有効なのが格付けと考えている。格付けに対して監査人がステータスを見ていく必要があると考えている。
・経営者がリスクと感じていてもベネフィットがなければシステム監査を行わない。システム監査の認知度を向上するためには経営者へのアプローチが必要。
(イ) システムプロジェクトの監査
① 失敗プロジェクトの理由
雑誌の記事より、失敗プロジェクトの理由として「営業が無理をして受注した」「技術継承がうまくいかずプロマネ力が衰えた」「リスク管理に対して過信した」という有識者の分析、「技術的に高いレベルの案件だった」「もともと赤字を見込んでいたが、想定以上の赤字になった」というSIerの言い分を紹介し、最後に「SE稼働率維持のためリスクのある案件を受注したため」(景気が好転し、企業がIT投資に積極的になれば解消する)という雑誌編集者の見解を示された。
② SIベンダーの取り組み
失敗プロジェクトに対するSIベンダーの取り組みとして、案件開始前の段階でリスクを管理する。提案段階やプロジェクト計画段階でリスクを開示する。早い段階でプロジェクトの大方針を顧客と共有する。リスク管理を現場任せにしない。第三者による品質評価を実施する。利用部門の関与度合いを確認する。定期的に顧客の満足度を確認する。等を挙げられていた。
③ 監査のチェックポイント
情報サービス産業協会「ソフトウェア開発委託取引における受注チェックシート」を参考に、リスクを整理し確認して置くことの重要性について示された。
④ プロジェクト監査での指摘事項
実例に近い話として、プロジェクト監査時の指摘事項を紹介いただいた。「現行システム機能を踏襲」が前提条件であったが、肝心の現行システム機能が分かる人やものが十分ではない。2つの商談が発生しており、双方とも提案しないといけないが2つとも受注するとSE体制が十分に取れない。別ベンダーが途中まで実施した作業を引き継いで作業する条件であるが、前行程の作業品質が不明である。と言ったものであった。
⑤ システム開発プロジェクトの成功とは
そもそもシステム開発プロジェクトが成功するとはどういうことかと言う問いに対して、「QCD目標の達成」をベースに、「要求通りシステム」を構築し、「システムの安定稼働」を支え、「業務がうまくいく」ことを担保する。これにより、「関係者が満足」する。これがプロジェクトの成功であると説明されていた。
⑥ 会場からの意見
・社内でのプロジェクトの成功とはコストを抑えてシステムを構築すること。ある意味、監査を端折っても結果が良ければそれで良いとする風潮がある。ここをなんとかしたと思っており、普及に努めたい。
・システム監査の多様性はシステムが多様化してきていることによると思う。システム監査が経営にどう貢献できるかをアピールする必要がある。
・プロジェクト成功の定義は難しい。経営がプロジェクト発足時に何を目指すのかを表明できるかにかかってくると考えている。システム監査は一番のリスクに対し保証が与えられることが重要ではないか。
・多様性に対応するためには、システムよりも人を監査できるかが重要ではないかと考える。
・監査は時代の影響を受けると感じている。監査には幅広い知識を得ておく必要があると思う。
・システム監査が多様化してきており、監査人のスキルも多様化を求められている。例えば公認医療監査人の様な専門監査人制度が必要ではないか。システム監査を定着するためには経営者への訴求が必要と考える。CIOへ向けたシステム監査の普及活動が必要ではないか。
・個人経営者や中小企業には実はお金がある。社員の福祉など目に見えるものにはお金を出すが、目に見えないものにお金を出さない。このため、システム監査にはお金がつかない。システム監査を経営者に説明できるようにしなければいけない。例えば、システム監査をすると儲かる、監督官庁から求められる、ISOのように第三者へアピールできる。など、外に向けた発信が必要と感じている。
6.所感
システム監査に限らず、システムを取り巻く環境はめまぐるしく変化し、開発者や運用者はそれに追いつくのに精一杯となっている。このような現状に対してシステム監査人として、どのような貢献ができるであろうか。日々業務に邁進するシステムに携わる方々に、外部からの客観的な視点を持ち込むことにシステム監査人としての存在意義があるのではないだろうかと改めて感じた。
個人として研鑽に励むのはもとより、定例研究会等に参加して監査人同士のつながりを広げることも大切ではないかとこの度の会を通して感じた。また、他の参加者の自分と異なる視点からの意見も大変参考になり、非常によい刺激となった。
以上