見出し画像

大学が本当に欲しかったものの監査

小野成志(Seishi Ono)

業務系情報システムは,しばしば「本当に必要だったもの」を見失ってしまうシステムである事が多い.監査は,業務のために本当に必要なもの見いだすことができる可能性がある。「本当に必要もの」の発見のためには,情報科学の知識よりも,「倫理的、知覚の鋭さ、適応特性、粘り強さ,不屈の精神、決断力、自律的、改善に対する前向きの姿勢、文化に対する敏感さ」などがの監査人の力量が必要だからである。

※このノートは,2020年6月25日に行った講演のメモである. 

1 日本のITの厳しい現実

日本のIT投資は,バブル崩壊以降,世界的に見て非常に低い水準にあり,米国との格差は年々開くばかりになっている(図1).日本の高等教育機関のIT化は,企業に比べて遅れているとの批判があるが,ITへの取組の停滞は,高等教育機関だけの問題ではなく日本全体の問題である.

図 1総務省情報通信白書のポイント
(出典)OECD Statを基に作成

ところが,一方では,日本の金融機関だけをみても,IT投資への投資額は,毎年400億円程度あり,スカイツリーが毎年建てられるといわれるほどの投資を行っている.最近,回収を終えたみずほ銀行の基幹システムへの投資は総額4,000億円にも上ると言われている.

この事実から日本のIT投資の2つの側面がみえてくる.

第一に,現在のIT投資は,みずほ銀行のシステムに象徴されるように,積年のシステムへの投資を怠っていた結果であり,いわば後ろ向きの投資をしているに過ぎない.サクラダファミリアと揶揄された,みずほ銀行のシステムは,世界的に見ればすでに時代遅れのシステムが漸く稼働したものである.

第二に,巨額の投資を行うことが出来るのは,日本の巨大な企業ばかりであり,中小企業の情報投資は限られたものになっている.中小企業は,セキュリティ投資への余裕さえ無い.その結果,中小企業のセキュリティは容易に侵害され,大企業にまで深刻な影響が及ぶサプライチェーンリスクを抱えている.中小企業は.サプライチェーンリスクの結果,大企業からの取引停止を受けるリスクがあるとされても,そのリスクを受け入れざるを得ないほど厳しい状況に置かれている.

日本の高等教育機関,特に中小の私立大学におけるITへの取り組みが遅れているといわれているが,IT化の遅れは,日本全体が抱えている問題でもある.

2 J-SOXガイドライン

上場企業などでは,確かに大学よりも進んでいる部分もある。特に2001年の米国でのエンロンの破綻以降,内部統制が厳しく言われるようになり、日本でもJ-SOX法と言われる監査基準ができたことが大きい。これによって、企業の内部監査の環境は大きく変わったと言うことができる。

J-SOX法の下で,ITガバナンスにおいても内部統制は厳しく言われており、そのガイドラインも経産省から発行されている。大企業においては,経営戦略に基づく経営の意思を,ITにおいても確実にステークホルダーに伝えるために,IT戦略に基づくIT統制が言われるようになってきたのである.

これに伴い,上場企業の監査人もITガバナンスに関するスキルは必須と考えられるようになってきている. 

現実に全ての企業の内部監査人がそのようなスキルを有しているかは別としても,監査人にITガバナンスに関するスキルを身につけることが義務づけられたことは、大きな変革であると言うことができる。

3 私立大学のITガバナンスの実状

私立大学では、上場企業におけるJ-SOX法のような規制を受けないため、私学の経営陣にとってはこれまでIT統制は関心の主要事項ではなかった。

また歴史的な経緯から、理事長主導の私学においては、しばしばその意思がステークホルダーに行きわたらず、経営意思の実現が困難であるケースがみられ、一方,理事長よりも教授会が意思決定に関与するような学校においては、意思決定が停滞するという傾向があった。私立大学においては,ITガバナンス以前に、コーポレートガバナンスが思うように機能していなかったということができる。

近年の大学の制度改革の進展によって,このような私学の伝統的な課題は、次第に解消されつつあるようにみえるが、IT統制に関しては、経営者もなかなか意思を明確に示せないでいる事が多い。それはそもそもITに関するスキルを経営者が十分に身につけていないことも課題である。

私学の内部監査人にとっても、ITスキルに疎いという事情は同じことが多いと思われる。しかし、システムに関する十全な知識無くてして,IT統制の監査はできないと考えるのは早計である。一般的な意味でのシステム監査は、そのシステムが適切に稼働しているかを監査する。しかし、システムはそれだけでは評価できない。そのシステムは、本当に求められていたものだったのだろうか?それはシステムの監査では、わからない。こうした側面は,むしろ内部監査人が適切な判断をすることができる.

本当にほしかったシステムの発見

図 2顧客が本当に必要だったもの

図2は、情報システムを少しでもかじったことがある人なら、必ず目にする図である。

この図の一番左上の図では、まず顧客が必要と思われるものを説明したことが3段ブランコの絵で描かれている.次にそれを聞いた人たちが様々な解釈を加えて、しかし、最後には,この図の7枚目にある「実装された運用」の絵のように、意味の無いシステムを納品してしまうという状況を説明している。

図2の最後には、「顧客が本当に必要だった物」はタイヤのブランコだったという絵が描かれている.そもそもの問題は,最初に顧客が上手く説明できていない事から生まれており,プロフェッショナルの目からすれば,必要なものが三段ブランコのはずがないという思いから様々な解釈がなされ,多くの誤解の連鎖が生まれているということが読み取れる。

これが,システム監査であれば,この図にある「実装された運用」を監査するだけであり,システムが問題なく動作していれば適合とするであろう.いうまでもないが,このような運用は,投資に見合わず,IT統制の観点から見れば大きな問題があるにもかかわらず,システムの監査だけでは,そうした問題はしばしば見逃されてしまう. 

内部監査人の力量があれば、この様な場合、図2の「顧客が説明した要件」のシーンと「実装された運用」シーンに相当する部分について、担当者からよく話を聞き、そこから図2の最後のシーンにある「顧客が本当に必要だったもの」を見いだすことができる可能性がある。そこには情報科学の知識よりも,監査人の力量としてISO19011などで求められている「倫理的、知覚の鋭さ、適応特性、粘り強さ,不屈の精神、決断力、自律的、改善に対する前向きの姿勢、文化に対する敏感さ」などが活きてくるはずである。


この記事が気に入ったらサポートをしてみませんか?