会員番号 2508 藤原 敏宏
1.テーマ 「地方自治体におけるICT監査の現状と課題」
2.講師 大阪市 行政委員会事務局 監査部 ICT監査担当課長 片岡 学 氏
3.開催日時 2018年1月19日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
講師は、企業内内部監査、監査法人による外部監査、会計検査院でのIT分野の会計検査を経験されており、現在は大阪市でICT監査に携われている。それぞれの監査・検査は、異なる役割を持っているが、今回は、地方自治体におけるICT監査の重要性と取り組み事例についてご紹介頂いた。
地方自治体においてもICTの重要性は高まっており、その中でICTが適正に利用されているか、適正利用を阻害するリスクに対するコントロールが適切に整備されているかを助言・勧告するICT監査がますます重要となっているが、ほとんどの自治体において本格的・定期的に実施されていない現状があり、その中で講師が大阪市で実際に取り組まれているICT監査の事例紹介と今後の課題事項についてご紹介頂いた。
<講演内容>
(ア) 地方自治体における監査制度
地方自治体での監査と民間上場企業での監査について、比較して説明頂いた。
そのうえで、地方自治体における監査委員の役割、監査委員監査の流れ等、監査委員監査全体の説明と大阪市での実例を紹介頂いた。その概要は、以下のとおり。
監査委員は、地方自治法によって、人数が定められており、大阪市では、識見を有する者から選任された委員2名(企業経営経験者1名、弁護士1名)、議員のうちから選任された委員2名の計4名で構成されている。識見委員は4年ごとの任期となっている。監査報告書は監査委員4名の連名で作成される。
監査委員監査における事務局スタッフは、監査委員が監査意見を行うための指摘材料等を監査委員に提供する役割を担っており、監査委員の目線にたった監査が必要となる。内部監査等におけるシステム監査では、IT統制上の細かな部分の指摘に留まることもあるが、特に大阪市の監査委員監査では、大阪市のICTに係る経営、戦略などの統制環境上の課題など、より本質的な原因分析や指摘を行う事を目指している。
(イ) 地方自治体におけるICTとICT監査の重要性
地方自治体におけるICTとICT監査の重要性について、その役割やリスクの観点から説明頂いた。その概要は、以下のとおり。
地方自治体においても、住民利便性向上や業務効率化の観点から、ICTを抜きにして語る事は出来ない。加えて昨今では災害に強い基盤作りや情報セキュリティにより配慮したシステム構築も必要となっている。地方自治体におけるICTの重要性が高まる中において、ICTの適正利用を阻害するリスクに対するコントロールが適切に整備されているかを点検・評価するICT監査も重要となってくる。
地方自治体独自の部分として、入札で実施されたシステム化の経費適正化も必要な観点となる。また自治体におけるICT担当職員は、ICTの専門家でなく、事務セクションで、かつ人事ローテーションで異動していく為、情報システムに精通していないケースもあり、ベンダー任せとなってしまう事がある。
また、地方自治体を担当しているICTベンダーにおいても、民間企業を対象としているICTベンダーと比較すると、ICTに係るリスクやコントロールについての認識が必ずしも十分でないように感じられる。
情報セキュリティの領域では、情報セキュリティポリシーについて責任者となる所属長が十分に認識していないケースがあり、個人の資質の問題とせず、組織としてリテラシーを身につけさせていく等、組織としての体制づくりが必要となっている。地方自治体においても、ICT監査が重要であるとの認識を持っているが、平成25~27年度の政令指定都市のホームページで確認した所、ほとんどの団体で本格的・定期的なICT監査は実施されておらず、大阪市を除く19都市の中で単発的に11テーマ程度の実施に留まり、3年間一度も実施していない団体が10都市もあった。
セキュリティ監査の実施については必ずしも多くないものの、総務省からガイドラインも提示されており、ICT監査よりは取り組みが多い状況にある。
(ウ) 大阪市におけるICT監査の取組事例
大阪市におけるICT監査の取組事例について紹介頂いた。その概要は、以下のとおり。
現在の大阪市におけるICT戦略は、ICTの徹底活用とICTの適正利用の二本柱となっているが、そのうちICTの適正利用に着目し、監査に取り組んでいる。
監査委員監査のアプローチとして、どんなリスクを抱えているかに着眼し、リスクを想定し、本質的な問題、経営に係る問題を探っていくことになるが、そのために、大阪市のICT監査では、①本質的な原因を常に探り、個々の問題を掘り下げ、共通的な課題を探る②未然防止に注力することに、特に留意して取り組んでいる。
監査取組みのひとつとして、ICT調達に係る事務の監査を行ったが、ICT調達のガイドラインが有効に機能しておらず、仕組み・手順をICT統括部門が整備しなければならないこと、仕組み、制度がうまくいっているかをモニターする力が弱く、ICT統括部門はモニタリングを十分にする必要があるなどの指摘を行った。
その他の監査事例の指摘も踏まえ、監査委員監査の総括として、ICT管理体制の再構築を行うべしとの監査指摘に至っており、現在、大阪市では、外部人材の活用などによるICT管理体制の見直しの検討が進められている。
最後に地方自治体におけるICT監査の今後の方向性の検討につながるものとして、平成29年6月の地方自治法の改正により、ICTなどの専門領域については監査専門委員の創設がされること、都道府県及び政令指定都市では内部統制評価報告書の作成が必要となることなどが紹介された。これらを踏まえると、今後は、地方自治体においても、「IT統制」及び「IT統制監査」の実施が必須となり、また、合わせて、マイナンバーの本格展開がされていく中においてはより一層のセキュリティ確保が求められる環境が予想されることから、ICT監査の役割がますます重要となってくるとの講師認識が示された。
6.所感
本講演ではシステムを導入するユーザー側の視点において、経営層がどのような観点でシステム導入を見ているかが紹介されており、システムを販売する側にいる筆者として勉強になった。
普段、ユーザー側の実際の利用者、ICT担当者と会話する中においては、システムの部分的な機能の有無といった個別部分に目がいってしまう事が多いが、システム導入時及び運用においても、適切な情報セキュリティが維持された環境で利用出来ているかはシステム機能だけにとどまらない部分もあり、そういった事も含めて提案していく事の重要性を感じた。
以上