監修・NPO日本ネットワークセキュリティ協会
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人
今回は地方公共団体が情報セキュリティ監査を外部に委託する場合に問題となる、監査主体の独立性について考えてみることにします。
■情報セキュリティ監査基準における独立性の要求
一般的に監査人の独立性は、「精神上の独立性」と、それを担保するための「外観上の独立性」があります。その考えに基づき、情報セキュリティ監査基準は、この2つの独立性を「2.1 外観上の独立性」、「2.2 精神上の独立性」として規定しています。情報セキュリティ監査基準「一般基準 2.独立性、客観性と職業倫理」において、以下のように言及されています。
|
「精神上の独立性」は人間の心の問題であり、どのような場合に「精神上の独立性」が侵されているのかについての判断基準を示すのは難しい面があります。そこで今回は情報セキュリティ監査の「外観上の独立性」について検討することにしましょう。
情報セキュリティ監査は、保証型監査(基準に準拠していることを監査人が保証する監査)にも助言型監査(基準と照らし合わせての不備を指摘・助言する監査)に利用できることを想定しています。また、内部利害関係者のための監査(内部目的監査)にも、外部利害関係者のための監査(外部目的監査)にも利用できることを想定しています。そのため、独立性の程度についても、制度に基づく保証型監査である会計監査や ISMS 認証などの審査とは異なり、多様な独立性のあり方が考えられます。
総務省が 2003 年 12 月に発表した「地方公共団体における情報セキュリティ監査のあり方に関する調査研究報告書 本編」では、監査人の独立性について以下のように言及しています。
|
|
ここでは、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守などについてグループ会社も含め利害関係がないことが、一応の独立性の原則であるという考え方を示しています。
監査人が監査対象から独立していることは、監査の成立条件の一つでもあり、非常に重要な概念です。しかし、すべての監査主体は社会的な存在であり、監査主体が全ての利害関係者から完全に独立することは不可能といえます。したがって、監査主体の独立性については、独立性の程度が監査主体の監査判断にどの程度の影響を及ぼすのか、監査の結果を利用する利害関係者が監査主体の結果をどの程度の信頼を置いて利用するのかを考慮した上で検討する必要があるといえます。
■独立性を阻害する要因 ~自己利益、なれ合いなど~
総務省の研究報告書では、監査対象の業務に対して、監査主体及びそのグループ会社が利害がないことを独立性の判断基準としていますが、独立性の判断については更なる検討が必要でしょう。
監査の独立性のフレームワークについては、国際会計士連盟がフレームワークを示しているので参考になります。このフレームワークによれば、独立性を阻害する要因を次の5つに類型化しています。このフレームワークに沿って情報セキュリティ監査に当てはめて考えると次のようになります。
| 1. 自己利益 | 監査主体が自らの利益を図る、又は損失を防ごうとすること |
| 2. 自己レビュー | 監査主体が過去において意思決定等に関与した監査対象を監査すること |
| 3. 擁護 | 監査主体が監査目的に関連する訴訟等に関与することから生じる |
| 4. なれ合い | 監査主体と被監査主体との間に親密な関係が生じることにより生じる |
| 5. 威嚇 | 監査人の交代などの条件を提示するなど、監査主体に対する被監査主体からの威嚇 |
情報セキュリティ監査においては、「 3. 擁護」に関係するケースは少ないと思われますので、それ以外について例を挙げて説明します。
◆ 自己利益
経済的な利害関係が最も典型的なものです。例えば、監査主体が監査主体である地方公共団体から補助金などの助成を受けている場合などが該当します。その他にも、監査人の家族が自治体の職員などであり監査の結果によって影響を受ける可能性がある場合、監査主体の収入がその地方公共団体からの監査報酬に大きく依存している場合、監査主体が地方公共団体と一緒になり第三セクターなどを設立している場合が想定されます。
◆ 自己レビュー
総務省の研究報告書で挙げられている、監査対象のシステム構築などの関与を行った場合が該当します。つまり、監査主体が構築したシステムを監査主体が監査する場合です。その他にも、監査主体から被監査主体である地方公共団体に出向している職員がいる場合で、その職員の関与する業務を監査する場合も自己レビューとなる可能性があります。反対に、被監査主体である地方公共団体から出向している監査人がその出向元を監査対象とする場合も自己レビューとなります。
◆なれ合い
監査主体が長期的に同じ地方公共団体を監査し続けることによりなれ合いが生じる場合があります。また、監査人の家族が地方公共団体の職員である場合もなれ合いが生じやすくなります。
◆威嚇
監査主体が被監査主体である地方公共団体から圧力をうける可能性がある場合に、独立性が阻害される可能性があります。監査主体が被監査主体である地方公共団体から行政指導が行われている場合、監査主体の収入がその地方公共団体からの監査報酬に大きく依存している場合、監査主体が地方公共団体と一緒になり第三セクターなどを設立している場合が想定されます。
■独立性を阻害する要因 が及ぶ範囲
総務省の研究報告書では、グループ会社も含めて独立性を検討するように要求している一方、個人レベルでの独立性については言及されていません。しかし、独立性を検討する場合、監査主体と被監査主体との関連性については個人レベルから組織体(グループ会社全体)までのレベルで検討する必要があります。
◆ 個人レベル
監査人が被監査主体である地方公共団体の元情報システム部門の課長であった場合は独立性があると言えるでしょうか。また、監査人の父親が情報システム部門の課長であった場合には独立性があると言えるでしょうか。このように独立性については個人レベルでも検討する必要がありそうです。
◆ 組織体レベル
監査主体が被監査主体である地方公共団体の外郭団体の場合は独立性があるとは言えないでしょう。また、監査主体の親会社あるいは主要な子会社が、被監査主体である地方公共団体から大口の受注を受けている場合はどうでしょうか。
■時間の経過や要求される独立性の程度なども考慮
独立性を阻害する要因 が及ぶ範囲そのほか留意すべき点として、時間の経過と独立性、要求される独立性の程度、そして独立性についての自己宣言又は報告についても簡単に触れておきます。
◆時間の経過と独立性
独立性を阻害する要因の影響度は時間の経過とともに減少していくと思われます。例えば、監査主体の関連会社が1年前に構築した情報システムと10年前に構築した情報システムのセキュリティ監査を考えてみるとわかりやすいかも知れません。1年前であれば、自己レビューとして独立性が阻害される可能性が高いのは明らかです。しかし、10年前であれば、独立性が阻害される可能性は低くなっているでしょう。
◆要求される独立性の程度
完全な独立性を確保することは困難であること、保証及び助言によっても要求される独立性の程度は変わることは既に説明したとおりです。どの程度の独立性が要求されるかを一律に決めることは困難ですが、要求される独立性に影響する因子は次のようになるでしょう。
- 助言型監査か保証型監査か
- 内部の利害関係者向けの監査か外部の利害関係者向けの監査か
- 利害関係者の数
- 利害関係者が行う意思決定の影響度
◆ 独立性についての自己宣言又は報告
監査人と被監査主体である地方公共団体の間で応札する時、監査契約を締結する時に独立性についての自己宣言を行うことが考えられます。総務省の研究報告書では、「情報セキュリティ監査統括責任者は、監査対象となる情報資産の管理及び当該情報資産に関する情報システムの企画、開発、運用、保守などについてグループ会社も含め利害関係がないことについて、監査契約主体からの証明書を徴収する」と記載されており、自己宣言をすることが想定されています。この場合、監査主体では、グループ会社(その定義は不明であるが)も含め上記利害関係がないことを確認し、証明書を作成することになるでしょう。
特定非営利活動法人 日本セキュリティ監査協会の技術部会では、2004年度の課題として、独立性についての報告書をとりまとめることを検討しています。独立性については、今後さらに深く検討し、情報セキュリティ監査が信頼できるものとなるようにしなければならないでしょう。
|
|
