bannerkanmatsu.gif


最終回
いざ外部監査へ――監査人選択の留意点
西日本A市 情報管理課長
地方公共団体セキュリティ対策支援フォーラム 会員


 前回まで、情報セキュリティ内部監査について、監査を受ける側とする側と双方の立場からの留意点を説明してきました。最終回となる今回は「いざ外部監査へ」と題して、外部監査人を選択する際の留意点を説明します。
 地方公共団体における情報セキュリティの外部監査の実施率は、図表1にもある通り、まだ低い状況です。
 背景には、外部監査人を調達するにあたり、「どんな人に外部監査を依頼してよいか分からない」という担当者が多いことも挙げられると思います。先日、外部監査を何度も経験している自治体の担当者から、「外部監査人に求める人物像」について話を伺う機会がありましたので、ご紹介します。

監査人としての要件

 通常、財務であれ、システムであれ、セキュリティであれ、基本的な監査人の要件は変わりません。
 経済産業省公表の情報セキュリティ監査基準では、「独立性」「客観性と職業倫理(外観上・精神上の独立性、職業倫理と誠実性)」「専門能力」「専門家としての注意義務と守秘義務」「監査結果の品質管理」を、明記しています。
 外部監査として契約に基づき、対価を支払って「情報セキュリティ監査」をお願いするわけですから、自治体職員としては当然のように、このような“あるべき姿”を求めます。しかし、情報セキュリティ監査人の方には誠に失礼ですが、このように“神”のような監査人はほとんど存在しません。存在しないがゆえに、現実の監査人の方もそれぞれが、その落差に苦悩されていると思います。
 監査結果に見落としなどの不備があり、後日リスクの顕在化によって顧客に損害が生じた場合、いわゆる経営上の利害関係者に損害が生じた場合、厳しくその責任を追及されるであろうことは、最近の財務の監査をみても明らかです。「免責条項付きで契約しているから」などの理由は通用しません。

監査人はまちづくりのパートナー

 では、自治体が外部監査人を選択する際には、どんな点に留意すべきなのでしょうか。先述の担当者は「三種の知識」を外部監査人の必要要件として挙げています。これは、「監査の知識」「情報システムの知識」「顧客の業務知識」のことです。


 以下は、その担当者から聞いた「外部監査人へのメッセージ」ですが、見方を変えれば自治体が監査人を選択する際の参考にもなります。
(1)監査の知識
 経営学部、商学部あたりの「監査論」をきちんと読むことが必要です。困った時は原点、基本に忠実であることが大切です。応用は基礎の上に成り立っています。社会経験を経たいまでは、学生時代とは観点を変えて読んでいる自分に気づき、新たな発見があります。
(2)情報システムの知識
 情報システムの知識を身につけるには、情報処理技術者試験の過去問題集が参考になると思います。個々の設問内容は最近の技術動向に配慮したものが多いため、試験としてではなく回答と解説を“読み物”として読むことで、最近の情報システム技術で何が大切なのか、何が問われているかの基本が素早く理解できます。
(3)顧客の業務知識
 全体像を大まかに掴むには、案外、役所の暴露本なども参考になります。そこに書かれているすべてが真実かどうかはさておき(言い当てている部分も多く、結構、役所の職員もこっそりと目を通しているか?)、「地方自治法」の新書本ぐらいは、目を通しておくことが大前提であると考えています。
 ちなみに、特定非営利活動法人ネットワークリスクマネジメント協会が開催する「自治体業務知識研修」では、自治体業務の全体像が“二日漬け(ふつかづけ)”で理解できます。昔から一夜漬けが得意な方にとっては、うってつけの研修といえます。
 結局、「三種の知識」とは、本来、専門職業人として備えておくべき当たり前のことなのかもしれません。
 なお、経済産業省の『情報セキュリティ監査企業台帳』(図表2)には、これまでの実績や監査人の能力・資格等が掲載されています。自治体が外部監査人を選ぶ際には、これを参考に候補先を選定するのがいいでしょう。そして調達仕様書には、「三種の知識」を兼ね備えた真のプロフェッショナルを求めている、ということを盛り込んでおくことも重要です。

図表2 経済産業省「情報セキュリティ監査企業台帳」 http://www.meti.go.jp/

 地方公共団体は、各種の監査や検査を日常的に受けている組織です。住民の貴重な税金で成り立っている組織ですからこれは当然です。多くの職員は、精励恪勤よく職務に精励し、住民のためにその職務を全うするプロフェッショナルの自覚を持っています。自治体の担当者としては、監査人と職員間の相互理解に基づく信頼関係を構築し、同じ土俵の上で「まちづくり」を行える、そのような心豊かな、心優しい監査人の監査を求めています。情報セキュリティ監査人の方には、さらに一層その技能を向上させ、切磋琢磨されて「まちづくり」に協力していただければと願っています。
 一方、自治体にとっては外部からの視点は組織の活性化にもつながります。まだ外部監査を実施していないところでも、ぜひチャレンジしてみてください。



バックナンバーへ戻るspacer新風トップへ