見出し画像

大学業務系情報システムの内部監査

小野成志(Seishi Ono)

監査人は,しばしば自身のICTのスキルに自信が無いことから,情報システムに関して監査の対象から外してしまうことが多い.しかし,経営的な観点から見た場合に助言できることは数多くある.

※このノートは,2019年10月17日に行った講演のメモである

1 内部監査とシステム監査

大学の業務系システムの監査は、学校法人の特性から見て標準的なシステム監査手法には不十分な部分があり、大学の業務系情報システムの評価をする場合において検討すべき部分は多い。

周知のように,内部監査は,ISO9011の統合マネジメントシステム監査指針で,標準的な監査手法が確立しており,一方の情報システム監査は,経済産業省のシステム監査基準及びシステム管理基準による監査に加え,ISO27001の情報セキュリティマネジメントシステム審査による極めてフォーマルな手法が確立しており、情報システム監査人(CISA)による厳密な外部監査を実施することができる.

これを大学の業務システムに適用する場合も、業務システムは,通常のビジネスに要求されるシステムと類似しており、この点でも、CISAがシステム監査のための標準的な手法を適用することで、十分な成果が期待されると考えるのも当然のように思え,内部監査の立場からすると,業務系の情報システムには関わる必要は無いという意見に傾きがちである.

しかし、だからといって、コンピュータ部門の監査を専門家に任せて、手を触れるべきではないと考えるのは正しくない。情報システムに限ったことではないが、組織の監査環境等を踏まえたうえで、経営部門が考えるべき視点、監査人が抑えるべき視点は、内部監査でなければ得ることができない。

CISAの監査は,情報システムの効率的な運用にかかわる課題および情報セキュリティ上の課題を明らかにするが,大学の経営的な観点からの課題を明らかにしてくれるわけではない.これに対して,内部監査人は,CISAとは全く異なった視点から,例えば,そもそも当該業務導入した情報システムが経営的に妥当だったのかといった根本的な経営課題を問いかけることができる.

内部監査としての業務系情報システム監査が必要な理由である.

2 内部監査としての情報システム監査

大学の業務は,概ね教育支援、学生サービス、教員事務、職員事務、教育研究、広報のための情報発信等のシステムに分けられている事が多い。さしあたりこの区分にしたがって言えば,多くの大学では,教員事務・職員事務は、入試から合格発表、入学者管理、履修登録、成績管理、就職管理まで一貫して情報システム環境を整備され、教員も端末パソコンを利用して学生の成績の入力を行い、学生とのインターフェースもスマートホンやパソコンを通して行う環境が整備されている。

ところが,こうした情報システムは,その専門性・特殊性が高いことから、外注先や情報システム部門に任せきりで、情報システムを装置管理の一環としてしかとらえず、ともすると経営者自身にもICTガバナンスの視点が欠落していることがある。このため内部監査人は、ICTガバナンスについて理解するとともに、リスク管理の目線で監査を行い、問題点があれば、経営者に是正処置も含めて報告する必要がある。また、各業務部門では,ICT環境が整備されていながら,必ずしも効率性が高い処理を行っているとは限らないケースもある.同時に,情報セキュリティの観点も重要であり,今や情報発・受信ツールとして必須のICT環境・ネットワーク環境が重要な位置を占めており、そのセキュリティ対策が重要課題の一つと自覚されていながら,情報セキュリティのインシデント発生時の体制が不十分なケースも多く見かける。情報セキュリティに限って言えば,デジタルレジリエンシーを高めるため経営者が構築すべきサイバーセキュリティ環境整備の方針を決め、それを受けて各部門が進めていく必要があり,内部監査人はその対策に資する情報を提供することを求められている。

3 内部監査の役割

内部監査人は,しばしば自身のICTのスキルに課題があることを自覚しており,そのために,業務監査を実施しても,その業務に関わる情報システムに関して監査の対象から外してしまうことが多い.

内部監査人にICTのスキルがあればあるだけ好ましい結果が得られることは否定できないものの,経営的な観点から見た場合,内部監査人のICTのスキルは,さほど重要な要素ではない.

例えば,月々限られた量の伝票処理しか行われない経理業務に,過大と思える財務システムの導入がなされた場合,この財務システムは,単なる決算処理以外に,どのような目的で導入され,実際にその目的は達成されているか,といった監査は十分可能であり,その監査は経営的な観点から十分有用であると考えられる.

情報セキュリティの例で言うならば,内部監査人は,情報システムのセキュリティについて考慮する必要は無く,情報セキュリティのインシデントを起こさないための工夫,インシデント発生時の体制など組織的な在り方について監査を行うことで十分な意味がある.

内部監査人は,マネジメントシステム監査という立場から,恐れることなく情報システムについての監査に取り組む必要がある.

この記事が気に入ったらサポートをしてみませんか?