「まずコントロール(統制)ありき,監査ありきという考え方を採ると罠にはまる。なぜコントロールや監査が必要なのかという原点に立ち返ることが今こそ必要だ」。
2009年2月23~24日に京都で開催されているITガバナンス/情報セキュリティに関する国際会議「Asia-Pacific CACS」の2日目の講演で,日本大学商学部の堀江正之教授は国内外のIT監査のプロフェッショナルにこう訴えた(写真)。
堀江氏は「日本文化におけるITコントロールと監査の検討」と題した講演を,海外からの参加者を念頭に置いて,あえて英語で実施した。講演では,J-SOX(日本版SOX法)をきっかけに日本でもITコントロールの整備・運用やIT監査の取り組みが進みつつあるとしつつも,「日本でようやく定着してきたのは,あくまで“ブレーキ”としてのITコントロールやIT監査」と指摘する。
堀江氏は以前から,ITコントロールやIT監査には“ブレーキ”の側面と“アクセル”の側面があると主張している。ブレーキとは,いわゆる情報セキュリティのこと。アクセルとは,企業の情報活用の有効性や効率性を高めることを指す。しかし,ブレーキの印象が強い日本では,「多くの人が監査という言葉によい印象を抱いていない。学生に聞いてみても,『暗い』『不正にかかわる仕事』『小難しい』といったネガティブな反応が返ってくる」。
しかし,J-SOX対応に限らず,企業におけるITコントロールやIT監査の役割が,今後ますます大切になるのは間違いない。ではどうしていけばよいのか。堀江氏は講演で,参加者とともに今後考えていきたいととして,いくつかの考えを示した。
手近なところでは「相手の話を聞く」「通り一遍に作業を進めるのでなく,どうすれば問題を解決できるかという姿勢をみせる」「監査の結果を利用者に分かりやすく提示する」などを挙げた。
一つ目については,「そもそも監査(audit)という言葉は,聞くという意味のラテン語から来ている。まずきちんと相手の言うことを聞くのが第一」。例えば,一等地にデータセンターを作った企業に対し,「カネのムダなどと思う前に,理由をその企業に確かめるべきだ。一等地を選んだ正当な理由があるかもしれないからだ。その理由を理解してはじめて,効果的な意見が言える」。
二つ目に関しては,「日本では監査を“通る”という言い方をよくする。とにかく監査期間を乗り越えればよい,と多くの人たちは考えている」。その一因として,一覧表を使ったチェックボックスに代表される「誰でも同じ監査ができる」というアプローチに問題があると指摘。監査の質を一定にするという意味でこうしたアプローチには意味があるが,「もっと密に相手とコミュニケーションをとり,問題解決に向けた姿勢を見せることが大切。その上で,なぜその現象が起こっているのか,なぜその問題があるのかに対してアドバイスできなければいけない」。
三つ目については,「例えばコントロールのレベルを3段階に分けて,それぞれを金・銀・銅のメダルで表してもいい」とする。
その上で,堀江教授は「まだ本質的な議論が不足している」と指摘する。例えば,ブレーキとアクセルの議論にしても,「ブレーキの面は分かりやすいが,アクセルの側面はまだ理論的に説明できない。『将来的に起こるこの危険が排除できたからプラスの効果がある』といった荒っぽい理由付けしかできていない。その方向でより詳細に議論を進めると,IT投資効果の議論にすり替わってしまう。国際的にみてもこうした議論はまだなされていない。経営の視点からきっちりした議論が必要だ」。
コントロールや監査についても,コストとメリットだけの議論に陥ってしまうことに警鐘を鳴らす。「まずコントロールありき,そのコントロールを実施するのが当たり前,と考えがち。しかし,その理由を尋ねると『このコントロールがないと,情報が漏れる可能性がある』程度しか説明できなかったりする。それでは,経営者が『その程度の情報だったら,漏れても大きな問題はない。コントロールを整備するコストがもったいない』と言ったら,反論できない」。
堀江教授はそうしたうわべの議論でなく,「経営者とコントロールや監査の必要性を説明し,共有するための努力が必要だ。なぜこれらが必要なのか,理論的に分析されていない。初歩的な処方せんすら提供できていない。(主催者である)ISACA(情報システムコントロール協会)のような場で,今こそぜひ地に足の着いた議論を展開してほしい」と主張した。加えて,「内部統制にITをうまく活用し,自動的に実行する仕組みを作るという考え方は日本的な風土に合っていると感じている。このあたりも,もっと皆さんと議論していきたい」と話した。
