日本版SOX法(金融商品取引法)が登場して以来,国内でも情報システムの監査がますます注目されるようになった。日本版SOX法は,企業の経営者に対して「内部統制」(法や規則を守り,経営の効率性および有効性を上 げ,財務報告の信頼性を高めるようなプロセスのこと)を評価した報告書の提出を義務付けている。内部統制が有効であることを経営者が報告するためには,「情報システムに関する内部統制」も必要になる()。

図●情報システム監査の必要性
図●情報システム監査の必要性

 情報システムに関する内部統制のためには,企業情報システムの信頼性,安全性,有効性を評価する「システム監査」が欠かせない。だが,現状ではシステム監査を実施できる人材は不足している。日本版SOX法施行後は,企業が求めるシステム監査のニーズに追いついていないのが現状だ。

内部統制に必要なシステム要件を理解できる

 「システム監査の知識は自分には関係ない」---。そう思っているSEは多いだろう。しかし,SEがシステム監査の知識を身に付けることには大きな意義があると筆者は考える。

 まず,内部統制に必要な要件を満たしたシステムを構築・導入しやすくなる。システム監査の知識があれば,内部統制に必要な要件を理解しやすくなるからだ。

 もし,内部統制に必要な要件を備えていないシステムを構築・導入した場合,その不備を改善するために,莫大な費用が発生したりカットオーバーが遅くなってしまう可能性があり,企業経営に大きな影響を与える。これは,経営者による内部統制の不備を意味し,ひいては対外的な信頼を失うことにもつながる。

 システム監査の知識を身に付けることは,SEのキャリアアップにもつながる。例えば,社内で内部監査業務に従事できる可能性があるし,監査法人やコンサルタント会社へ転身する道も開かれる。情報システムを経営の視点でとらえられるようになるため,SEとしてのスキルも向上する。

 システム監査の知識を身に付けるには,資格取得が早道だ。経済産業省が主導し情報処理推進機構(IPA)が実施する「システム監査技術者試験」と米システムコントロール協会(ISACA)が公認する「公認情報システム監査人(CISA)」が,国内では代表的な資格である。

 システム監査技術者試験は,情報システムのスキルを持つ人がシステム監査人になることを想定した資格。情報処理技術者試験の一区分として実施され,その難易度は非常に高い。

 CISAは,監査法人などで監査の仕事をしてきた人に,情報システムの知識を身に付けさせ,システム監査ができるようにする資格である。日本国内のみならずグローバルに通用する。実務経験が要求される資格ではあるが,情報システム関連の知識の難易度はあまり高くないので,システム開発の経験があるSEには取得しやすい資格と言える。なお,CISAを認定する団体ISACAは,ITガバナンスのフレームワークとして知られる「COBIT (Control Objectives for Information and related Technology)」を提唱した機関である。

 本連載では,CISAの試験範囲に沿って,システム監査の基本的な知識について,分かりやすく解説していく。ぜひ,皆さんのスキルアップとキャリアアップにお役立て下さい。

本田 秀行(ほんだ ひでゆき)
富士通ソーシアルサイエンスラボラトリ エンタープライズセキュリティ部主任(セキュリティコンサル担当)/アビタス講師
流通,エネルギー,半導体業界向けシステム開発/運用およびプロジェクトマネジメントを経験後,ISMS認証取得コンサルティング,事業継続計画策定コンサルティング,米SOX対応内部監査,金融商品取引法(J-SOX)対応IT全般統制構築/監査,システムセキュリティ要件分析,情報セキュリティリスク分析およびシステム構築改善,官公庁向けシステム監査などを実施。また,自治体をはじめとしメーカー,病院など幅広い業種の顧客に対し,情報セキュリティ教育および内部監査人育成教育を行っている。2008年より公認情報セキュリティマネージャ(CISM)委員会委員としてレビューマニュアルなどの翻訳査読,レビューコース講師を務める。公認情報システム監査人(CISA),CISM,日本内部監査人協会公認内部監査人(CIA),ISO27001審査員補