日本版SOX法・徹底解析

重要性が高まる内部監査

　日本版SOX法対応で3点セットと呼ばれる、業務フロー、業務記述書、RCM（リスクコントロールマトリクス）といった文書を整備し、統制活動の運用を開始した企業は、その仕上げして、“モニタリングとしての内部監査”を実施しなければならない。

http://www.atmarkit.co.jp/im/cbp/serial/cp/12/01.html

　これに伴い、内部監査部門を新たに立ち上げる企業はもちろんのこととして、内部監査部門がすでにある企業でも、監査業務の見直しが不可欠となっている。

• PR -

　法定監査である監査法人による会計監査や監査役監査と違い、経営者の下で実施される内部監査は、従来は任意のものだったが、日本版SOX法の成立を受けて不可欠な活動となった。

　一方、非上場企業であっても、会社法が株式会社に求める「損失の危険の管理に関する体制」の整備の一環として、内部監査部門の立ち上げと強化は不可欠だろう。今回は、内部監査に関する問題を取り上げる。

　なお、このたび、＠IT情報マネジメント編集部が協力しているイベント「リスク管理と情報活用セミナー～明日から使えるTIPSやノウハウを紹介」において、私がリスク管理に関する基調講演を行わせていただくことになった。講演では、「明日から使えるリスク管理TIPS集」と題して、リスク管理に関する20のTIPSを実例を用いて分かりやすく紹介しているので、ご興味のある方はぜひ立ち寄ってほしい。

内部監査に求められる正当性と有効性

　重要性が高まる中で、内部監査に求められる業務品質が厳しくなるのは当然だろう。

　特に、正当性と有効性は重要だ。正当性では、指摘事項に間違いがあってはならないことはもちろんのこと、監査手続きも不当であってはならない。正当な監査手続きが周到に準備・実施されて、初めてその結果が受け入れられる。

　有効性では、指摘事項の意義が問題となる。「発見すべきあるいは発見した問題は、問題といえるものか」「その問題の背後にさらなる問題が隠れていないか」「重要な関連問題を見落としていないか」といった、事前事後のレビューが重要となる。

■監査計画は仮説の立案

　監査を実施するに当たって策定する監査計画では、単に監査対象となる項目を決定するだけでは十分ではない。その監査項目に不正や不適合があったとすれば、どのような状況になっているのかをイメージし、どのように調査すべきかまでを考えることが必要である。

　例えば、経費稟議（りんぎ）における上司の承認が監査項目だとすれば、上司が中身も見ずに押印してしまうという状況を想定し、そうした状況がないことを確認するために、稟議書上の申請理由や却下理由などの記載内容を点検したり、承認者に承認基準について質問してみるなどの調査方法を考えつくことになる。

　以前紹介したHAZOP（Hazard and Operability Study）を使うのも有効だろう。

　発見すべき問題状況を漠然としたまま監査するのではなく、具体的な問題状況をイメージすることによって、監査方法も具体的なものとなり、有効性を増すことができるのである。

監査設計に有効なミスユースケース

　では、発見すべき問題状況を具体的なイメージにするための分析方法として、ミスユースケースを紹介したい。

　ミスユースケースは本来、UML設計技法の1つであるユースケースの応用として、正当でないユーザーを主人公として不正アクセスといった情報セキュリティ上の行動を分析するために利用されている。ミスユースケースの一般使用例を以下に示ておこう。

ミスユースケースの一般例

　この例では、中身を見ずに承認印を押してしまう上司が、統制機能を無効化している。そのぜい弱性をついて、悪意を持つ部下が虚偽の経費支払いを受ける状況が見えてくる。

　この分析から、承認印を押す上司がしっかりと審査しているかを確認することと、過去の経費稟議の記録の中に不審なものがないかを点検することが必要であることが分かる。監査対象者が不正に走ったと想定して、その好ましくない行動をミスユースケースによって分析し、その結果を基に調査すべき資料や担当者への質問事項を考えるのである。

記録から見えてくることと見えないこと

　情報セキュリティ関係の監査では、入退室記録をチェックすることが多い。

　しかし、入退室記録が本来持つ意義をしっかり理解していないために、お粗末な評価がされているケースが少なくない。

　例えば、サーバルームへの入室に対して入退室記録が義務付けられていたとしよう。

• PR -

　そこにある保守委託先のエンジニアが入室し、入退室記録に9時から17時まで「サーバ作業」をしていたと記入していたとしよう。後日、監査担当者はこの記載を見てどう思うだろうか。サーバルームに「サーバ作業」のために終日入室していたということが分かったとしてもあまり意味がない。

　もし、その日にサーバへの不正アクセスがあったとすると、真っ先にこのエンジニアが疑われてしまうだろう。そして、結局、このエンジニアが犯人ではなかったとしても、彼のせいで真犯人捜しが遅れてしまうことになる。

　もし、彼が作業内容としてもう少し具体的な内容を書いていれば、疑われることもなかっただろうし、無駄な捜査に時間を取られることもなかったかもしれない。

　本来、入退室記録は、不審な者を発見するためというよりも正当な者を判別するために意義があるものである。不正侵入する者はできるだけ跡を残したがらない。やましい気持ちがないからこそ、堂々と跡を残せるのである。

　「サーバ作業」とだけ書いたこのエンジニアは不正アクセスとまではいかなくても、余計なことまでやっていた疑いを持たれても仕方がない。あるいは、モラルが低く情報セキュリティに対する理解があまりないのかもしれない。

　結局、監査する側としては、入退室記録からは判断することができないため、彼に面談して直接質問することによって、「サーバ作業」が適切なものだったのかを確認するか、彼の作業を観察することを考えることになる。記録から見えてくることと、決して見えないことがあるのだ。

「はい」「いいえ」で答えにくい質問をしよう

　先の例でこのエンジニアに対して質問によって適否を確認する場合、「はい」「いいえ」で答えにくい質問をする必要がある。

　いつ、どこで、誰が、何を、どのようにといった質問によって、具体的に回答させるのである。具体的な回答は実際にやっていることでないとできないし、それが虚偽であれば、「はい」「いいえ」で答えにくい質問の連続によって、矛盾を生み出すことになる。もちろん、それが真実であれば、どれだけ質問が連続しようとも矛盾は生じない。

　仮に回答者に勘違いがあって矛盾があったとしても、回答者に少しも焦りはない。「はい」「いいえ」で答えにくい質問の連続は、監査や不正捜査において大変強力な道具となるものなのだ。

■現場観察では反応を見る

　最後に、監査技法としての現場観察を挙げておこう。観察とはまさに自分の目で確かめるということだ。

　とはいうものの、ただ見ているだけでは、見えるものも見えてこない。目の前に起きている状況から「何かを見たい」という意思がなければ、効果のある観察は期待できない。

　委託先視察を思い浮かべてほしい。委託先は見てほしくないものを隠そうとするし、そうでなくてもよそ行きの言動で飾り付けるだろう。現場観察で見たいものを見るためには、見られるような状況を作り出すことが必要だ。

　決算業務を見たいならば、期末に訪問すればよいというのは容易に思い付くが、いつ起きるか分からないような状況を、釣り糸を垂らすがごとく待ち続けるのは困難である。警察で問題になっているような機会提供型のおとり捜査はやり過ぎだろうが、見たい反応を引き起こすためのトリガーを考えることは必要である。

　例えば、先に見た入退室記録の場合で、部外者が入室する際はゲストバッジを着用してもらったり、社員が同行するといったルールが守られているかを確認するのであれば、監査担当者自らがゲストバッジを外して1人で入室して周りの反応を待てばよい。

　もちろん、事前に監査業務として関係者から許可を取っておくことが必要だが。

◇

　今回は、重要性が高まる内部監査を効果的に行うために留意すべき点について、いくつか説明した。良い行いにも悪い行いにも因果関係があり、その行いの本質に迫れば真実が見えてくる。

　さて、この連載も終わりに近づいている。次回は、総まとめとして防犯の技術を振り返ってみることにしよう。