• お問い合わせ
  • プライバシーポリシー
  • サイトマップ

建築資材、土木資材をはじめとした建設資材、機材、設備、工法等の
データを収録し、スピーディな検索を実現した建設総合ポータルサイト

建設資材データベーストップ > 特集記事資料館 > 積算資料 > 政府情報システム標準ガイドラインの詳説 最終回 政府機関におけるシステム監査

 

1.はじめに

2015年4月1日から施行された「政府情報システムの整備及び管理に関する標準ガイドライン」及び「実務手引書」
(以下、合わせて「標準ガイドライン等」という)では、
各府省が整備又は管理する情報システムに対してシステム監査を実施することが義務付けられた。
本稿では、標準ガイドライン等がどのような目的で、
また、どのような内容のシステム監査を政府機関に対して求めているのかを詳説する。
 
なお、本稿は筆者の個人的見解が多々含まれていることをあらかじめお断りする。
 
 

2.監査とは何か

監査は、
「業務等が遵守すべき法令や組織内の規程等に準拠して適切に行われているか等を
 利害関係者に代わって監査実施組織が評価し、利害関係者に報告する」
ものである。
代表的な監査の例としては、
株式公開企業等に対して監査法人が行っている財務諸表監査や企業の内部監査部門が行っている内部監査が挙げられる。
利害関係者とは、
監査を受ける組織(以下、「被監査組織」という)の活動等によって利益を得たり、損失を被ったりする者をいい、
財務諸表監査においては投資家、内部監査においては経営者が利害関係者にあたる。
 

図-1 監査における関係者

図-1 監査における関係者


 
図-1は、監査における関係者を示すものである。
本来、利害関係者は、自ら被監査組織の活動等を確認し、
その結果に基づいて何らかの意思決定(株式の売買、経営判断等)を行うことになる。
しかし、実際には、自らが直接、確認を行うのが難しいため、
監査法人や内部監査部門等の監査実施組織が代わって、その確認を行い、利害関係者に報告を行うことになる。
 
一方、監査においては、監査実施組織及びその構成員となる監査実施者が、
監査対象(被監査組織や監査対象となる業務等)から独立していること
(利害関係がないことや、精神的な圧力を受けないこと)が重要になる。
例えば、監査実施者が、過去に被監査組織に所属し、監査対象となる業務に従事していた場合には、
自身に関係する問題点の隠ぺいを図ったり、
問題点を発見しても以前の上司に遠慮して報告するのを躊躇したりする可能性があるからである。
 
システム監査は、財務諸表監査、内部監査等において実施される監査のうち、
情報システムや情報システムの企画、開発、運用、保守等の業務を対象としたものをいう。
組織活動の情報システムへの依存度が高まる中、民間企業や政府機関において、システム監査の必要性は益々高まっている。
 
 

3.標準ガイドライン等におけるシステム監査の目的

標準ガイドライン等では、システム監査の目的及び内容について、
「プロジェクトの目標を達成するため、その整備又は管理を行う情報システムに伴うリスクとその対応状況を客観的に評価し、
 問題点の指摘及び改善案の提示を行うシステム監査を実施するものとする」
と記載している。
標準ガイドライン等でいう「プロジェクト」とは、どのような情報システムを整備する必要があるかといった企画から始まって、
ハードウェア、ソフトウェア等の設計・開発、完成した情報システムの運用、保守、最終的に情報システムが廃棄されるまでの
情報システムのライフサイクル全体を指している。
 
政府機関において、情報システムのプロジェクト目標は、政策目的の達成に寄与することである。
したがって、情報システムのプロジェクト目標は、政策目的から自ずと導かれる。
例えば、「電子政府・電子自治体の推進」といった政策に対しては、
「国民の利便性の向上と行政運営の合理化、効率化及び透明性の向上」といった政策目的が考えられる。
この政策目的を実現するために整備する情報システムのプロジェクトにおいては、
「電子申請の利用率の向上」や「申請から処理が完結するまでの時間の短縮」等のプロジェクト目標が導き出されることになる。
 

図-2 プロジェクト目標の達成を阻害するリスク

図-2 プロジェクト目標の達成を阻害するリスク


 
しかし、設定したプロジェクト目標の達成を阻むリスクが多数存在する(図-2)。
そのため、プロジェクトを推進する組織(PJMO)は、プロジェクトの計画段階からプロジェクトが完了するまでの間、
継続的にプロジェクト目標の達成を阻害するリスクを洗い出すとともに、
それらをモニタリングし、必要な対応策を検討・実施していくことになる。
 
このように、PJMOによってリスク管理が行われているにも拘らず、改めてシステム監査を行う必要があるのはなぜだろうか。
その理由は、PJMO及び委託先事業者のプロジェクトメンバが、
「決められた予算内で期限までに情報システムを完成させる」ということと、
「要求される機能について適切な品質(正確性、操作性、性能、情報セキュリティ等)を確保する」という
両立させることが非常に難しい2つのミッションを与えられているからである。
プロジェクトメンバは、内外部からのプレッシャー、慣れから生じる気の緩み、
長時間勤務による疲労、プロジェクト内の人間関係等からくるモラル低下などが原因で、
単純ミス、ルール違反、不正を犯してしまう可能性を常に抱えているのである。
 
システム監査実施者は、プロジェクトの当事者でない、客観的な立場であるため、問題点を発見することができる場合が多い。
実際に、システム監査で指摘される多くの問題点は、プロジェクトの当事者たちが既に知っていたものが多い。
しかし、「これぐらいの違反は、どうってことないだろう」とか、「後で、対応すれば済む」といった甘い認識により、
問題点が見過ごされ、府省のプロジェクト全体を管理する組織(PMO)にも伝えられないままとなる。
そして、このような問題が積み重なって、やがて大きなトラブルに発展していくのである。
このような現象は情報システムのプロジェクトに限らず、建設工事などのプロジェクトにおいても同じように起きうる。
 
情報システムに利用される手法や技術は、専門性も高く、変化が速いので、
システム監査の実施者が、すべての分野について精通していることは不可能である。
そのため、システム監査では、あまり役に立つ指摘や提案を得られないという批判も多い。
しかし、システム監査においては、システム監査実施者が、客観的な目で「当たり前のことを当たり前にやっているか否か」を確認し、
被監査組織にとって都合の悪いことを毅然と指摘し、利害関係者である組織等に報告することの方が、
専門的な知識よりもより重要なのである。
 
標準ガイドライン等では、このようなシステム監査が実施され、
政府機関のプロジェクト目標がより確実に、かつ効率よく実現されることを期待している。
 
 

4.標準ガイドラインで求めるシステム監査の特徴と課題への対応

標準ガイドライン等が施行される前にも、政府機関においてシステム監査が行われていなかったわけではない。
しかし、いくつかの課題があった。
ここでは、これらの課題をどう解決しているのかを含めて、標準ガイドライン等におけるシステム監査の特徴について述べる。
 

1)さまざまなリスクを対象としたシステム監査の実施

これまで政府機関で行われていたシステム監査は、
情報漏えいや改ざん等の情報セキュリティに関わるリスクを対象としたものがほとんどであった。
標準ガイドラインでは、
既に述べたように、プロジェクト目標の達成を阻害するさまざまなリスクに対してシステム監査を実施するように求めている。
 

2)システム監査の独立性の向上

これまでのシステム監査の多くは、主にPJMOの判断で実施が決められ、PJMO自身が事業者に委託して実施されていた。
また、その監査結果の報告先は、PJMOであり、
PJMOが必要と判断した改善を行うという、いわゆる助言型監査であった(図-3)。
 

図-3 助言型監査

図-3 助言型監査


 
すなわち、図-1のような監査の構図になっておらず、
監査業務を受託した事業者は、PJMOが調達したシステムの開発事業者や運用事業者に関わる問題点は指摘しやすいが、
PJMO自身の問題点については、指摘しにくいという課題があった。
 
標準ガイドライン等では、PMOが監査対象となるプロジェクトを選定し、PJMOにシステム監査を実施させ、
その報告を受けて、改善状況をモニタリングするという建て付けになっている。
システム監査の独立性をより高めるためには、
本来、PMOがシステム監査を実施する(又は、PMOが直接、事業者に委託して実施する)ことが理想であるが、
各府省におけるPMOの体制はまちまちであり、
現段階においてすべての府省においてPMO自身がシステム監査を実施することは現実的でない。
そのため、システム監査の実施は、PJMOが指名した監査実施者が行うことにする一方で、
監査実施者の独立性について明記している。
 

3)監査対象となるプロジェクトの選定方法の提示

前述のように、これまでのシステム監査は、
どのプロジェクトに対して、どのようなシステム監査を実施するかはPJMO の判断となっていた。
標準ガイドライン等では、一定の要件を満たしたプロジェクトについて、システム監査を義務付けることも検討されたが、
各府省によってプロジェクトの規模や数など特徴が異なることから、一律の要件は設けないことにした。
 
その代わりに、標準ガイドライン等では、システム監査の対象プロジェクトの選定手順や選定方法の考え方を示している。
具体的には、各府省のプロジェクトのうち、高いリスクを抱えるプロジェクトに対して監査を実施するという考え方である(図-4)。
 

図-4 監査対象選定のためのリスク評価結果

図-4 監査対象選定のためのリスク評価結果


 
リスク評価には、2つの方法があり、
ひとつは、各プロジェクトにおいてPJMOが実施したリスク評価の結果の適切性を確認した上で活用する方法であり、
もうひとつはPMOが、簡易的にリスク評価を実施する方法である。
 

4)内部要員によるシステム監査の実施

これまで、情報セキュリティ以外をテーマとしたシステム監査の多くは、事業者に委託されて実施されていた。
しかし、システム監査の予算を確保できるプロジェクトも限られることから、
外部委託だけでは、必要なシステム監査をすべて実施することができない。
一方で、システム監査に必要な情報システムや技術の知識、監査の経験をもつ内部要員は、ほとんどいないのが現実であった。
 
そこで、標準ガイドライン等では、監査実施チームの要員に被監査組織との独立性を要求する一方で、当面の処置として、
監査実施チームの半数未満は、一定の条件の下に監査対象となるプロジェクトに関係している者が参画することを認めている。
 
また、内部要員には、
比較的経験等が少なくても実施が可能な規程等に対する準拠性を確認するシステム監査を中心に行うことを推奨し、
内部監査要員によるシステム監査の普及を図っている。
 
 

5.おわりに

以上のように、標準ガイドラインにおいては、
これまでの政府機関のシステム監査の課題を解決するための必要な取組みを規定したが、すべての課題が解決されたわけではない。
システム監査によって、政府機関における情報システムのプロジェクトの目標達成をより強力に推し進めるためには、
内部監査要員の育成、システム監査実施者の更なる独立性の強化、
システム監査の効果を高めるための政府機関共通のチェックリスト等の監査ツールの開発等、
中長期的に取り組むべき課題は多いと考える。
 
 
 

筆者

総務省行政管理局技術顧問 榎木 千昭
 
 
 
【出典】


月刊積算資料2015年9月号
月刊積算資料2015年9月号
 
 

 

同じカテゴリの新着記事

最新の記事5件

カテゴリ一覧

バックナンバー

話題の新商品