orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

なぜシステム監査でシステム障害や不正が防げないか

f:id:orangeitems:20200316115904j:plain

 

システム監査の勉強中です

情報処理技術者試験ですが、まだIPAが予定通り2020/4/19に行うと言っているので、ここはまだ予定通り実施する体で準備をするべきだと思います。延期や中止があっても、試験自体はいつか行われますから、決して損にはなりません。

さて、私は今システム監査のお勉強をしているのですが、なかなか考えさせられる知識体制となっています。システム監査と言えば、現場に対して、あれができてないやらこれができてないやら、外部からネチネチ言われるというイメージがあるのかもしれません。ただこのシステム監査というカテゴリーを勉強すればわかるのですが、システム監査自体は現場の敵ではありません。できるだけ現場を、会社を良くしようとするものです。しかし、どうも取り調べ的なイメージが強く、現場が被害者意識を持つことが多いと教科書に書かれているくらいです。

システム監査は、2つに分かれているようです。

・助言型監査=もっとシステムが会社の成績に貢献するためにどうすればいいかをアドバイスするタイプの監査

・保証型監査=ある規格にちゃんと沿って運用されているかを、外部の人に保証するタイプの監査

内部監査と呼ばれる、会社の中で行われる監査は助言型監査です。

ISO27001(ISMS)やISO9001(QMS)など、外部の会社の監査人が自社にやってきて、いろいろインタビューされたり現場の確認をされるケースは保証型監査です。

保証型監査の場合は、監査を受けた結果外部認証が受けられないとなると、経営上問題なので、そうならないようにいろいろと会社で準備しなければいけない。それを内部監査に組み入れて、外部監査はシャンシャンで終わるようにするというのが企業の一般的な対応の仕方だろうと思います。

だから、内部監査は、本当は「助言」を行うタイプなのですが、外部監査の一環のようには現場に取られ、指摘を受けるとあたかも現場の成績が下がるような錯覚を覚えてしまう状況が生まれるんだろうなと推察しています。

 

なかなか難しい内部監査

そもそも論ですが、本当は内部監査に携わる監査人は、現場から完全独立していなければいけません。監査人がシステム開発部門を内部監査するとして、システム開発部門のメンバーだったら妙な圧力があるのは当たり前です。システム開発部長に監査人がヒアリングするとして、監査人がシステム開発部のメンバーだったら、恐縮しちゃいますよね。いわゆる忖度してしまうのは当然です。また、一応監査部門がシステム開発部門から独立していたとしても、結局担当役員は一緒だと言う場合は、これも圧力がかかります。

で、会社で完全に独立した存在って、大企業なら成立するかもしれないのですが、中小企業になるともはや完全に無理だと思います。だって、社員数が少ないのに、監査だけを担当する人なんて経済的に無理、です。例えば10人の会社であれば一人が監査だけに専念したら会社が回らなくなると思います。ほとんどの会社がそうじゃないかなぁと思いました。

しかも、組織が独立しているだけではなく、現場に対して精神的にも独立しなければいけないそうですが、狭い社内で、監査人はアイツ嫌いとか好きとか。この人怒りやすいからあんまり突っ込まないでおこうとか。あとは彼は社内でも意見が強いので、彼の意にそぐわないことを結論に書こうものなら自分の評価が台無しになったり、左遷されたりする、など、これはかなり内部監査とは難しい物ではないかと思う次第です。

 

なぜシステム監査がシステム障害を防げないか

情報処理技術者試験のシステム監査は、かなりロジカルにあるべき論が語られていて、かつまとまっているので、技術論でしかシステムを考えたことが無い人には大変お勧めです。なぜ、どんなに技術を駆使しても、システム障害やシステム上の不正が無くならないかわかるような気がします。

ちなみに、勉強の本は下記を使っています。

 

 

アマゾンの評価は☆3.5ですが、序盤に知識が体系的にまとめられていて、かつ試験対策が知識と対応していて感心しながら読み進めています。

で、私は現場の人間なので、まぁ理想論がかなり詳細にまとめられていて、それに対する現実を考えさせられています。

本当はこうありたいよなあ。でも実際はそういかないよなあ、と。

・現場が、さっぱりシステム監査の目的を理解していない。
・監査依頼者(経営者)が監査目的をISOなど外部認証取得のツールとしか思っていないため、外部監査人に対するお化粧のような監査を行ってしまう。
・監査上で指摘事項があると、あたかも指摘事項があった部門は無能だと言うことを言っているような雰囲気に陥ってしまう。
・監査人が何か言うと「余計な仕事を増やしやがって」という雰囲気が生まれる。

などなど。

まだまだ私も勉強中なので、まだ最適解は構築できていません。ただ、なるほどこれでは、こんなにシステム監査のロジックはこんなに整っても、障害や不正が防げないな、ということは感じることができています。大企業でも毎年のように発生しているのはこのためなのか、と。