• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro 電子行政

第10回 監査人の独立性

~阻害要因はどこにあるのか~

2004/03/31 日経BPガバメントテクノロジー

監修・NPO日本ネットワークセキュリティ協会
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人

 今回は地方公共団体が情報セキュリティ監査を外部に委託する場合に問題となる、監査主体の独立性について考えてみることにします。

■情報セキュリティ監査基準における独立性の要求

 一般的に監査人の独立性は、「精神上の独立性」と、それを担保するための「外観上の独立性」があります。その考えに基づき、情報セキュリティ監査基準は、この2つの独立性を「2.1 外観上の独立性」、「2.2 精神上の独立性」として規定しています。情報セキュリティ監査基準「一般基準 2.独立性、客観性と職業倫理」において、以下のように言及されています。

2.独立性、客観性と職業倫理
2.1  外観上の独立性
  情報セキュリティ監査人は、情報セキュリティ監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない 。

2.2  精神上の独立性
情報セキュリティ監査人は、情報セキュリティ監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

 「精神上の独立性」は人間の心の問題であり、どのような場合に「精神上の独立性」が侵されているのかについての判断基準を示すのは難しい面があります。そこで今回は情報セキュリティ監査の「外観上の独立性」について検討することにしましょう。

 情報セキュリティ監査は、保証型監査(基準に準拠していることを監査人が保証する監査)にも助言型監査(基準と照らし合わせての不備を指摘・助言する監査)に利用できることを想定しています。また、内部利害関係者のための監査(内部目的監査)にも、外部利害関係者のための監査(外部目的監査)にも利用できることを想定しています。そのため、独立性の程度についても、制度に基づく保証型監査である会計監査や ISMS 認証などの審査とは異なり、多様な独立性のあり方が考えられます。

 総務省が 2003 年 12 月に発表した「地方公共団体における情報セキュリティ監査のあり方に関する調査研究報告書 本編」では、監査人の独立性について以下のように言及しています。

2.2.3  監査の定義
(前略)・・・。つまり、監査においては、監査対象から独立した者が中立・公平な立場から点検・評価を行うことが条件になる。(後略)・・・


3.3.2  外部の監査人を選択する際の留意事項
(1) 監査契約主体について
(前略)……。また、地方公共団体は、監査の独立性の確保及び監査結果の公平性の確保のために、監査契約主体と監査対象との利害関係を重視する必要がある。監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等について、監査契約主体がグループ会社も含め関わっていた場合には、当該監査契約主体を選定しないこととするのが適当である。ただし、グループ会社が監査対象に関わっていた場合でも、当該監査契約主体を選定することに合理的でやむをえない理由がある時は選定することができるものとする。また情報セキュリティ監査統括責任者は、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守等についてグループ会社も含め利害関係がないことについて、監査契約主体からの証明書を徴収する。

 ここでは、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守などについてグループ会社も含め利害関係がないことが、一応の独立性の原則であるという考え方を示しています。

 監査人が監査対象から独立していることは、監査の成立条件の一つでもあり、非常に重要な概念です。しかし、すべての監査主体は社会的な存在であり、監査主体が全ての利害関係者から完全に独立することは不可能といえます。したがって、監査主体の独立性については、独立性の程度が監査主体の監査判断にどの程度の影響を及ぼすのか、監査の結果を利用する利害関係者が監査主体の結果をどの程度の信頼を置いて利用するのかを考慮した上で検討する必要があるといえます。

■独立性を阻害する要因 ~自己利益、なれ合いなど~

 総務省の研究報告書では、監査対象の業務に対して、監査主体及びそのグループ会社が利害がないことを独立性の判断基準としていますが、独立性の判断については更なる検討が必要でしょう。

 監査の独立性のフレームワークについては、国際会計士連盟がフレームワークを示しているので参考になります。このフレームワークによれば、独立性を阻害する要因を次の5つに類型化しています。このフレームワークに沿って情報セキュリティ監査に当てはめて考えると次のようになります。

1. 自己利益 監査主体が自らの利益を図る、又は損失を防ごうとすること
2. 自己レビュー 監査主体が過去において意思決定等に関与した監査対象を監査すること
3. 擁護 監査主体が監査目的に関連する訴訟等に関与することから生じる
4. なれ合い 監査主体と被監査主体との間に親密な関係が生じることにより生じる
5. 威嚇 監査人の交代などの条件を提示するなど、監査主体に対する被監査主体からの威嚇

 情報セキュリティ監査においては、「 3. 擁護」に関係するケースは少ないと思われますので、それ以外について例を挙げて説明します。


◆ 自己利益

 経済的な利害関係が最も典型的なものです。例えば、監査主体が監査主体である地方公共団体から補助金などの助成を受けている場合などが該当します。その他にも、監査人の家族が自治体の職員などであり監査の結果によって影響を受ける可能性がある場合、監査主体の収入がその地方公共団体からの監査報酬に大きく依存している場合、監査主体が地方公共団体と一緒になり第三セクターなどを設立している場合が想定されます。


◆ 自己レビュー

 総務省の研究報告書で挙げられている、監査対象のシステム構築などの関与を行った場合が該当します。つまり、監査主体が構築したシステムを監査主体が監査する場合です。その他にも、監査主体から被監査主体である地方公共団体に出向している職員がいる場合で、その職員の関与する業務を監査する場合も自己レビューとなる可能性があります。反対に、被監査主体である地方公共団体から出向している監査人がその出向元を監査対象とする場合も自己レビューとなります。


◆なれ合い

 監査主体が長期的に同じ地方公共団体を監査し続けることによりなれ合いが生じる場合があります。また、監査人の家族が地方公共団体の職員である場合もなれ合いが生じやすくなります。


◆威嚇

 監査主体が被監査主体である地方公共団体から圧力をうける可能性がある場合に、独立性が阻害される可能性があります。監査主体が被監査主体である地方公共団体から行政指導が行われている場合、監査主体の収入がその地方公共団体からの監査報酬に大きく依存している場合、監査主体が地方公共団体と一緒になり第三セクターなどを設立している場合が想定されます。

■独立性を阻害する要因 が及ぶ範囲

 総務省の研究報告書では、グループ会社も含めて独立性を検討するように要求している一方、個人レベルでの独立性については言及されていません。しかし、独立性を検討する場合、監査主体と被監査主体との関連性については個人レベルから組織体(グループ会社全体)までのレベルで検討する必要があります。


◆ 個人レベル

 監査人が被監査主体である地方公共団体の元情報システム部門の課長であった場合は独立性があると言えるでしょうか。また、監査人の父親が情報システム部門の課長であった場合には独立性があると言えるでしょうか。このように独立性については個人レベルでも検討する必要がありそうです。


◆ 組織体レベル

 監査主体が被監査主体である地方公共団体の外郭団体の場合は独立性があるとは言えないでしょう。また、監査主体の親会社あるいは主要な子会社が、被監査主体である地方公共団体から大口の受注を受けている場合はどうでしょうか。

■時間の経過や要求される独立性の程度なども考慮

独立性を阻害する要因 が及ぶ範囲

 そのほか留意すべき点として、時間の経過と独立性、要求される独立性の程度、そして独立性についての自己宣言又は報告についても簡単に触れておきます。


◆時間の経過と独立性

 独立性を阻害する要因の影響度は時間の経過とともに減少していくと思われます。例えば、監査主体の関連会社が1年前に構築した情報システムと10年前に構築した情報システムのセキュリティ監査を考えてみるとわかりやすいかも知れません。1年前であれば、自己レビューとして独立性が阻害される可能性が高いのは明らかです。しかし、10年前であれば、独立性が阻害される可能性は低くなっているでしょう。


◆要求される独立性の程度

 完全な独立性を確保することは困難であること、保証及び助言によっても要求される独立性の程度は変わることは既に説明したとおりです。どの程度の独立性が要求されるかを一律に決めることは困難ですが、要求される独立性に影響する因子は次のようになるでしょう。

  1. 助言型監査か保証型監査か
  2. 内部の利害関係者向けの監査か外部の利害関係者向けの監査か
  3. 利害関係者の数
  4. 利害関係者が行う意思決定の影響度

◆ 独立性についての自己宣言又は報告

 監査人と被監査主体である地方公共団体の間で応札する時、監査契約を締結する時に独立性についての自己宣言を行うことが考えられます。総務省の研究報告書では、「情報セキュリティ監査統括責任者は、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守などについてグループ会社も含め利害関係がないことについて、監査契約主体からの証明書を徴収する」と記載されており、自己宣言をすることが想定されています。この場合、監査主体では、グループ会社(その定義は不明であるが)も含め上記利害関係がないことを確認し、証明書を作成することになるでしょう。

◆       ◆       ◆

 特定非営利活動法人 日本セキュリティ監査協会の技術部会では、2004年度の課題として、独立性についての報告書をとりまとめることを検討しています。独立性については、今後さらに深く検討し、情報セキュリティ監査が信頼できるものとなるようにしなければならないでしょう。

「サブコントロール」解説コーナー

6.4.1 極めて重要な業務情報及びソフトウェアのバックアップは、定期的に取得し、かつ検査すること

6.4.1.7 バックアップした媒体は、必要な場合の緊急使用のための信頼性を確実とするために、実行可能ならば、定期的に検査すること

6.4.1.8 復元手順は、定期的に検査及び試験すること

【解説】

 たび重なるシステムの停止事故の報道のおかげ(?)もあって、多くの組織でバックアップの重要性は十分に認識されています。しかし、地方公共団体に限らず、多くの企業においてもバックアップの定期的な検査が十分に行われていない場合があります。データやシステムのバックアップを取得することが目的ではなく、緊急時に適切にシステムを復旧できることが目的です。そのためには、バックアップを取るだけではなく、復旧テストを実施することが非常に重要です。ある組織で復旧テストを実施した結果、適切にデータが処理されませんでした。システムのバージョンアップ後にシステムのバックアップを取得していなかったことにより、古いシステムのままでデータを処理したことが原因でした。また、別の組織では、システム及びデータの復旧が予定していた時間をはるかに超えることが復旧テストの結果判明したこともあります。

 また、復旧テストをした後、元のシステムへの切り替え手順も整備しておくべきです。ある組織においては、元のシステムへの切り替え手順を定めていなかったために、復旧テストの後の通常のシステムへの切り替え時に障害が発生しました。復旧テスト及び通常のシステムへの切り替えの手順の整備とテストの実施は非常に重要といえます。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る