IT監査を実行するに当たり、基本となるのがITガバナンスの監査だ。ITガバナンスとは何か、どのように実行するのかなどの基本を理解しよう。ITガバナンスとマネジメント(業務執行)の連携を押さえることも重要になる。

 本連載はAI(人工知能)時代に求められるIT監査のあり方について、内部監査人の立場から解説する。

 「AI時代」と題しているがAIの影響のみを対象にしているわけではなく、アジャイル開発やクラウドコンピューティング、ビッグデータといった、AIとともに急速に普及してきたIT関連の事象を、内部監査時にどのように扱うべきかを広く取り上げていく。

 監査人の視点を知ることは、監査を受ける側となる情報システム部門やユーザー部門に所属する情報システムの管理者などにも役立つ。監査人の視点は、日ごろの情報システムの開発や運用において重視すべき視点となるからだ。連載の初回である今回は、監査の対象となるITガバナンスについて解説していこう。

 特に近年、ITガバナンスへの注目が高まっている。代表例が、経済産業省が公表している「システム監査基準」および「システム管理基準」の見直しだ。両基準は2018年4月に13年半ぶりに改訂された。

 改訂の目玉の1つが、ITガバナンスに関連する記載が増えたことだ。世界的なITガバナンス強化の流れを踏まえた。さらにITガバナンスの「ISO/IEC 38500」や事業継続に関する「ISO 22030」といった国際規格と整合性を採るために記載内容を見直している。

ガバナンスは目的達成の支援

 注目が高まるITガバナンスだが、具体的にはどのような行為を指すのだろうか。またITガバナンスに限らず、ガバナンスとは何を指すのだろうか。ガバナンスやITガバナンスの定義から見ていこう。

 内部監査の国際機関としてIIA(内部監査人協会)がある。IIAはガバナンスについて「取締役会が組織体の目標達成に向けて、組織体の活動について情報を提供し、指揮し、管理し、および監視するためにプロセスと組織構造を併用して実施すること」と定義している。この定義は、IIAが公表している「内部監査の専門職的実施の国際基準」の用語一覧に掲載されているものだ。

 ガバナンスというと「監視」「管理」といったイメージがあるかもしれないが、IIAの定義は現場への情報提供など幅広い事項を定めている。加えてガバナンスのゴールを、企業目標の達成に置いている。「不祥事を起こさない」といった守りのためだけの考え方でないことがわかる。

 ガバナンスと同様にITガバナンスも、不祥事を起こさないために、ITの利用を制限するといった活動だけではない。情報システムの管理・監査に関する団体であるISACA(情報システムコントロール協会)は、ITガバナンスのフレームワーク「COBIT5」において、「ステークホルダーのニーズや、条件、選択肢を評価し、優先順位の設定と意思決定によって方向性を定め、合意した方向性と目標に沿ってパフォーマンスや準拠性をモニターすることで、事業体の目標がバランスを取って、合意の上で決定され、達成されることを保証するものである。ほとんどの事業体において、取締役会長のリーダーシップのもと、取締役会がガバナンス全体の実行責任を負う」と定義している。

図 COBITが示すガバナンスとマネジメントの重要領域
ガバナンスとマネジメントの双方向で取り組む(出所:米ISACA「COBIT5 事業体のITガバナンスとITマネジメントのためのビジネスフレームワーク日本語版」)
[画像のクリックで拡大表示]

 ISACAはガバナンスの重要なプロセスとして、「評価(Evaluate)」「方向付け(Direct)」「モニター(Monitor)」の3つを挙げて、「EDMモデル」を提示している。またマネジメントとガバナンスを明確に区別し、「マネジメントとは、事業体の目標の達成に向けてガバナンス主体が定めた方向性と整合するようにアクティビティを計画、構築、実行し、評価することである」と明記。ガバナンスのEDMモデルと、マネジメントが実行すべきポイントの関係性を示した。COBIT5はマネジメントについて「ほとんどの事業体において、最高経営責任者(CEO)のリーダーシップのもとに、経営幹部がマネジメントの実行責任を負う」と説明している。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら