１.進展する情報技術と内在するリスクの増大

　産業界は今、ＩＴ（情報技術）革命期にあるともいわれ,さまざまな組織体の情報システムが急激な変化を遂げている．たとえば，従来は強固に防護されたコンピュータセンターの中で処理されていたものから昨今のクライアントサーバー・システムの普及に伴い，情報処理が一般オフィスのユーザ部門まで拡大したことである。
業務で使用する情報化ツールも各種業務のアプリケーションをはじめ，電子メール、電子伝票、電子決裁書それに加えてグループウエア等多岐にわたり、情報化が爆発的ともいうべき速さで進行した． このＩＴの利便性は過大に評価される傾向があるが、一方ではこれが組織体を混乱させる凶器ともなり得る可能性を増大したと指摘できる。
ネットワーク化が進み，いまでは組織体内部だけのセキュリティ対策では十分なセキュリティレベルを確保できない状況になってきている。たとえば、電子メールの場合、交信先を日本国内に限定したとしても、このメールシステム自体はインターネットで世界につながっているので、コンピュータウイルスの海外からの感染や、意図的に業務の混乱をねらったメール攻撃を受ける脅威に常にされされていることを認識しなければならない。
このような組織体外部からの脅威ばかりでなく、現実の組織内金銭犯罪も内部統制のすきをついて惹起されており、機密情報や個人情報の漏洩事例は権限者によって行われた内部犯行が多いことも省みるべきである。

2.内部監査の定義の変化と使命の増大

　日本内部監査協会の「内部監査基準」によれば「内部監査とは組織体の経営目標の効果的な達成に役立つことを目的として、経営諸活動の遂行状況を、合法性と合理性の観点から公正かつ客観的な立場で検討・評価し、これにもとづき特に改善を重視して助言・勧告を行う組織体内の独立的な機能である」1)としている。しかし、最近の動向では監査活動の中にコンサルティングまで取り込む定義に国際間では変わりつつある。
すなわち、ＩＩＡ（The Institute of Internal Auditors，Inc）の新定義によるとこれまでの「組織内の独立した評価機能」から「独立的かつ客観的保証とコンサルティング活動」へと激変した。すなわち、「内部監査は、組織体のオペレーションに価値を付加し、それを改善することを目的とする独立的かつ客観的アシュアランスおよびコンサルティング活動である。」2)としている。この使命に内部監査が応えるためには現環境下では監査活動自体にＩＴの活用とＩＴ分野にも監査として踏み込むことが必要となった。
また昨今、組織体の経営破綻をはじめ不祥事が続発したが、監査がこれらの経営管理状態を開示するという組織体の透明化を社会に示す機能も求められ，監査機能の重要度が社会的に増してきている．監査では組織体の主たる業務の執行状況の検討・評価にとどまらず、それらが持つ社会性の視点からの評価も求められることとなった。
たとえば産業廃棄物の処理状況や環境改善のための取組を明らかにする環境監査国際基準(ISO14000)において環境監査の実施と監査結果の公表を求めることにも見られるとおりである。
また、決算や業務運営についても監査の客観性を求め、外部監査による評価が求められるのも監査が社会性を持ち出した例証である。今ではこのように組織体の各種リスクへの真摯な対応 が強く求められ、内部監査機能の充実も経営管理機能の一環として重要度を増してきている。

3.ＩＴ環境下における内部監査のありかた

（１） 内部監査活動の効率化
組織体においてはリスク管理上監査すべき対象業務は多数あり、監査の効率化と有効性を高めるために監査活動にＩＴを駆使しなければ監査依頼者の付託に応えることができなくなった。 このため監査人のマンパワーを充実する必要があるものの、要員の増員には限度があり、監査活動は自ずと活動時間を短縮した効率化がより一層厳しく求められる。
このような業務処理環境のもとではチェックリストを主体とした従来手法の監査ではIT環境に支えられた各種業務運営に対して機能発揮が十分期待できない状況であるのは明らかである。現在、内部監査は会計監査・業務監査・システム監査に分けて一般に実施されているが、いずれもシステム評価抜きの監査は今では成り立たなくなっており、堀江正之が指摘するとおり，「効果的なリスクのマネジメントのためには内部監査活動の統合化」3)を図らなければならない。したがって監査用の各種チェックリスト、監査調書の再整理・統合化を図り、監査活動の重複を監査部門ならびに被監査部門とも回避しなければならない。
あわせて監査ツールのデータベース化を図り、各分野の監査人が情報を共有して共同作業を実現することが必要である。このような方策を通じて監査活動を効率的、効果的なものにすることができる。
（２）監査業務の情報システムサポートの充実
　監査対象業務の情報システム化はさらにすすむため、有効な監査をするためにはシステム活用がキーファクターになる。すなわち、情報ネットワーク・業務データベースや携帯パソコンを監査で活用し，予備調査用のチェックリストからはじまり、往査用の監査調書、監査報告書へ転記作業を回避て一連の作業で監査ドキュメントが仕上がる工夫も必要である。
このためには表計算ソフトのシートの連携・統合も必要である。一方では、往査の時間短縮とタイムリーな監査実施のために被監査部門の日常業務をモニタリングすることを推進する。このことは金融監督庁の「金融検査マニュアル」においてもモニタリングの必要性を説いているとおりである。4)各種業務の情報システム化に伴い、異常取引や不備事象は業務データベースに痕跡を残すものとなっている。したがって、これらを監査部門で日常モニタリングしておれば、往査せずとも問題事象を早期に把握することが可能になるものがある。
すなわち、電子メールはもとより、電子決裁システムや各部門の業務活動状況等も情報系システムに詳細に登載されるため各部門の動きを監査部門のネットワーク端末機から把握することは可能になっている。監査部門として必要な分析プログラムを追加してシステムに組み込むことにより、異常な取引(見積もり、注文、検品、請求、支払時期等)や異常事象(入金遅延、長期未収及び異常数値)が発生した場合、監査部門でもタイムリーに把握が可能な仕組を構築できる。
すでに先進事例では各種汎用監査プログラムの利用や表計算ソフトの分析・抽出機能を応用し，監査活動で異常取引の検出に効果を発揮している。5)ﾊ また、往査時に監査人は携帯端末を携行し、被監査部門での点検・ヒヤリングを実施しながら監査調書等の入力を同時にすれば活動時間の短縮ができる。さらに追加して監査対応が必要な問題点が発見された場合も、適宜キーワード検索により新たなチェックリストの追加出力も可能となる。往査の現場での入力が終わると、不備一覧もその場で取り出すことができる。場合によれば、監査結果の概略報告も可能になる。このような方策を通じて監査活動を効率的、効果的なものにすることができる。
したがって、情報化された業務環境の下では事務リスク管理ならびにシステムリスク管理の監査の場合，ＩＴを駆使した内部監査でなければ真に有効な監査はできない状況となっている。ここでいうシステムリスクとは、コンピュータシステムのダウン又は誤作動等、システムの不備等に伴い組織体が損失を被るリスク、さらにコンピュータが不正に使用されることにより組織体が損失を被るリスクである。6)このように組織体にとってコンピュータ統制の破綻は経営にダメージを与えるものとなっているだけにその充実は重要度を増してきている。すなわち、情報化により、業務処理のプロセスが見えにくくなり、かつその処理は高速かつ大量処理となっており、情報システムが正常に機能しない場合は業務の混乱と損害が大きくなり、その組織体が受けるダメージも大きくなったことである。現実にコンピュータ犯罪が判明するのは残念ながらごく一部にすぎず，大半のものは感知されずに埋没している実態にある。これからはハイテク犯罪の増加が見込まれ、このハイテク企業犯罪への対応をはじめ、ネットワーク環境のセキュリティ強化が求められ、監査業務においても不審なアクセスの解析も必須となり、これらログ分析を解析ツールを活用して取組むことが必要となる。

5.おわりに

　情報技術は今後も際限なく進歩し、これをまた情報技術で守ろうとする取組も引き続き推進されると見込まれる。しかし、とどまることなく進歩する技術をこの技術で防護しようとすることは所詮限界やギャップがあるものと理解しなければならない。この技術ギャップを補完するものとして監査機能の発揮や情報倫理、企業倫理、個人の倫理等の充実をはからなければ快適な情報化社会は実現しないと考えられる。最近も個人情1800人登録のパソコンが町役場から盗みだされた事件7)も報じられている。ネットワーク化の進展につれて端末機がユーザまわりに増加したので、一般的にセキュリティ意識の低いエンドユーザ環境をどのようにリスクから護られているかが今後の重要な監査テーマとなろう 。

［参考文献］

1)日本内部監査協会;内部監査基準,1996改訂
2)山本明知;「新しい内部監査へのパラダイムシフト」,システム監査学会ニュース,No.72,p2-3,システム監査学会,(2000,4,30)
3)堀江正之;「金融機関におけるリスク管理とコントロール-コアリスクとしてのＩＴ（情報技術）リスク管理の視点-」、金融情報システム,No.230,p130,財団法人　金融情報システムセンター,(2000.6)
4)金融監督庁；「金融検査と監督上の措置のあり方等」,（金融検査マニュアル）,（1999）
5)クリストファー・シャーラー；「ハイテク犯罪予防と法廷弁論のための調査手法」,第４回コンピュータ犯罪に関する白浜シンポジウム予稿集, コンピュータ犯罪に関する白浜シンポジュウム実行委員会,p75-81,(2000.5.)
6)金融監督庁；「「システムリスク管理態勢の確認検査用チェックリスト」,（金融検査マニュアル）,（1999）
7)朝日新聞;「個人情報登録パソコン盗難」,(2000.6.20)

その他参考資料

・田渕治樹；「国際セキュリティ標準ＩＳＯ15408のすべて」,日経ＢＰ社,(1999)
・日本経済新聞「システムへのハッカー対策　情報保全で国際規格導入」,(2000.2.5) ・日経コンピュータ；「セキュリティ七つの不安」,1998.11.23 特集　p.137日経コンピュータ,日経ＢＰ社,(1998)
松田　貴典；「情報システムの脆弱性」,白桃書房,（1999.3）