上場企業では、決算期に公表する財務諸表が会計基準に準拠した適正なものかどうかをチェックするため、公認会計士や監査法人による会計監査を行っている。これと同じように、自社の情報セキュリティ対策が適正に機能しているかどうかをチェックするのが、情報セキュリティ監査だ。
その目的は、情報セキュリティの整備や運用状況を情報セキュリティ監査人が専門的な立場から評価・検証し、保証あるいは助言することで、組織全体が効果的なリスク管理を行えるように支援するものである。監査手続きの内容や対象範囲などを示したセキュリティ監査基準は、経済産業省などから公表されている。
情報セキュリティ監査は、日本版SOX法への対応で求められる内部統制の整備にも大きな関わりがある。ITを利用した内部統制(IT統制)では、セキュリティが重要な要素になるからだ。
金融庁・企業会計審議会が公表した内部統制の実施基準では、売上高、売掛金、在庫を重点項目にしている。企業では従来に増して売上データの入力処理や、在庫管理データの正確性を確保することが求められている。セキュリティの不備によって売上データが改ざんされたり、在庫管理データに関わるシステムへ権限外の社員が容易にアクセスできるようなIT環境では、内部統制に必要なデータの正確性を担保することが困難になるのは明らかだ。
情報セキュリティ監査というと、第三者の監査人が関与してきて大変だと思われるかもしれないが、企業内でセキュリティ対策が適切に行われているかを経営者が自ら検証することがポイントの1つになる。
「企業が定めた情報セキュリティポリシーやルールに基づいてユーザー認証のID・パスワードは適切に管理されているか」「システムへのアクセス管理はきちんとなされているか」「いつ、誰が、どのシステムを利用したのかを監査するログ管理は行われているか」といったセキュリティの実施状況をチェックする。これにより、経営者はIT統制に必要なセキュリティ対策が適正に機能しているかどうかを判断することができ、不備があれば対策を強化するというようにPDCAのサイクルを継続していく。
日本版SOX法では、経営者による評価・報告と監査人による監査を通じて財務報告に係る内部統制の信頼性の確保を求めている。ステークホルダーはこの財務諸表の信頼性を前提に企業への投資や取引を行う。情報セキュリティについても、顧客・取引先には情報管理の徹底を、投資家にはリスク管理などへの取り組みを経営者がアピールすることで、企業価値を高められる。その情報セキュリティの説明責任を担保する上でも監査が不可欠である。
経営者の強いリーダーシップのもと、情報セキュリティ対策の立案から実施、監査までの一貫した体制を確立することによって、企業のリスク管理、内部統制に資する情報セキュリティガバナンスの構築も可能になるだろう。
|
関連記事 「内部統制」〜法規制はビジネスチャンス 業務可視化を通して成長の契機に 内部統制対応の予定なし31%〜非上場企業の内部統制対策とは? パスワードは覚えやすいように統一している24.4%〜セキュリティの基本は個人のリテラシー向上にあり |
