WEBマガジン

「これからの内部監査部門に期待される役割」 ~システム監査の有効性を高めていくために~(第1回)

2010.12.02 さくら情報システム株式会社  河野 謙一郎

 本稿では、システム監査の黎明期から現在までを振り返り、これからの内部監査部門に期待される役割について考察してみたいと思います。ただし、本稿は、我が国のIT化が進展してきた現場で経験し、感じてきたことを実務者の視点で整理したものです。信頼のおける資料や十分な量のデータに裏付けられた学術的な分析の結果ではないこと、また、筆者の思い込みや記憶違いに由来する誤りが含まれている場合があることを、あらかじめお断りしておきます。

1.情報技術の発展とシステム監査の変遷

 今後のシステム監査のあり方と内部監査部門の役割について検討する前に、システム監査の現状を歴史的な流れの中でとらえ、その位置付けを整理するために、情報技術(IT: Information Technology)の発展とともに、システム監査の変遷を振り返ってみましょう。図1は、ITの発展とその大きな変化を表すような関連のイベントを整理したものです。

IT の発展と関連のイベント
図1 ITの発展と関連のイベント

 黎明期(1970年代半ばまで)―EDP処理結果の正確性の保証

 米国で、1890年の国勢調査のために開発された集計作表機(TM: Tabulating Machine)を会計処理に応用したのが、事務処理の機械化の幕開けといえるでしょう。1896年に設立されたTMCが、ほかの2社と合併して、1911年には、後のIBMの前身であるC-T-Rが設立され、TMから発展した電気会計機(EAM: Electric Accounting Machine)1 )が普及していきました。EAMの有力メーカであったIBMから、最初の汎用コンピュータSystem/3602 )が1964年に発表されると、ビジネス領域での主役の座は、コンピュータへと移っていきました。

 米国では、会計処理を中心にコンピュータの利用が普及してきましたが、我が国では、商習慣の違いなどから、事務処理の合理化・省力化を中心に利用が進展していきました。昭和39年(1964年)に開催された東京オリンピックでは、コンピュータを使って記録データがオンラインで処理され、その翌年の昭和40年(1965年)には、銀行のオンラインサービスが開始されました。

 System/360の発表以降、ビジネス領域でのコンピュータの利用はEDP(Electronic Data Processing)と呼ばれ、急激に増加していきました。当時は、とても高価だったハードウェアを、無駄なく有効に活用するために、職人芸的なプログラミングテクニック(超絶技巧)がはびこるようになり、会計処理過程のブラックボックス化に拍車をかけていくことになりました。

 このような状況の中でも、会計監査において、公認会計士や監査法人は、被監査企業が作成した財務諸表が適切かどうかの意見を表明しなければなりません。公認会計士たちは、専門のプログラマ(又は当該プログラムを作成した当事者)にしか分からない、被監査企業の会計処理プログラムというブラックボックスの中身に触れることを避け、処理結果としての情報を対象に、その正確性を保証するという方策を採りました。そこでは、サンプルデータを抽出した上で、公認会計士が保有するプログラム(正しく処理されることをあらかじめ確認済み)で処理した結果と、被監査企業における処理結果とを比較する、並行シミュレーション法などの監査技法が用いられました。

 一方で、複雑化し、ブラックボックス化していくプログラミングの現状を憂い、IT分野の側から警鐘を鳴らしたのは、オランダのE.W.Dijkstra(ダイクストラ)でした。ACMAssociation for Computing Machinery:米国のコンピュータ学会)の機関誌Communication soft the ACM1968年3月号のLetters to the Editor(編集長への手紙)のコラムに掲載された“Go To Statement Considered Harmful”(GoTo文は有害である)は、ソフトウェア工学の発達を促す端緒になりました。我が国では、この翌年、昭和44年(1969年)に情報処理技術者試験制度が創設され、ソフトウェア品質の高度化、IT人材の育成への取組みが本格化していきました。

揺籃期(1980年代末まで)―コンピュータでの処理手順の正当性の確認

 Dijkstraの一文に触発されて、ソフトウェア工学は急速な発展を見せていきました。コンピュータプログラムにはバグが付き物で、出来上がったものの品質は、作成したプログラマの資質に依存するという工芸品の世界から、標準の工程に従って製造すれば、一定の品質を確保することができる工業製品への転換が進められました。1970年代の前半は、構造化プログラミング(Structured Programming)が議論の中心でした。ソフトウェア工学では、テスト工程ですべてのバグを検出して修正することは困難で、最終的な検査に依存した品質の向上には限界があり、より早い段階から品質を作りこむ必要があると考えられました。この考え方に基づいて、1970年代の後半になると、研究の中心が上流工程へと移っていきました。当時の主流であり、ほぼ唯一の開発手順であったウォーターフォール型の工程の流れに沿って、構造化設計(Structured Design))、構造化分析(Structured Analysis)と遡っていきました。ソフトウェア工学の発展の過程で、ウォーターフォール型ではない各種の開発方法論や、プログラムの制御の流れに着目するのではなく、データの変換やデータの構造とデータ間の関連に重点をおいた、データ中心アプローチ(DOA: Data Oriented Approach)などが提唱されていきました。この流れは、1980年代のオブジェクト指向(OOA: Object Oriented Approach)などにつながり、その後、組織や業務プロセスにまで視点を広げ、現在のEA(Enterprise Architecture)の考え方にも継承されています。また、これらの研究の中で開発されてきた各種の図式表現が整理され、統合されて統一モデル化言語(UML: Unified Modeling Language)の規格3 )として制定されています。

 1970年代の後半には、開発方法論の発達と時を同じくして、データベース技術の分野でも、それまでの階層構造のデータベースに替わるリレーショナルデータベース(RDB: Relational DataBase)の実用化の研究が、急速に進展していきました。1979年、OracleはRDBソフトウェアを商用化しました。一方で、IBMは、当時のハードウェアでは十分な性能を発揮できないとして、RDB専用の支援機能をハードウェアに組み込んで実用的な性能を得るための研究に取組み、同年、RDBに特化した小型機System/38を発表し、販売を開始しました。

 我が国では、1970年代の中頃に、各銀行が第2次オンラインシステムへと移行しました。以前には、ソフトウェアは高額なハードウェアのおまけのように扱われてきていましたが、大規模ソフトウェアの開発費用はハードウェアの価格を凌駕するようになり、短期間で効率よく、高品質なソフトウェアを開発する必要に迫られ、各企業でのソフトウェア開発方法論の導入・活用が、一気に進みました。また、1970年代の後半には、銀行間ネットワークが発達し、他行の自動機でも、預金の入出金や振込などが行えるようになり、企業間の連携が当たり前になっていきました。銀行だけでなく、いろいろな企業の様々な業務においてコンピュータの利用が進み、一つのシステムで障害が発生すると、その影響は、単一の企業内にとどまらず、社会的に大きな広がりをもつようになりました

 1970年代に入ってからのコンピュータ犯罪や事故などの増加を背景に、会計監査の一部として、コンピュータでの会計処理結果の正確性を保証するのではなく、システム全体を幅広く見渡して実施する、システム監査の必要性が認識されるようになってきました。昭和60年(1985年)、通商産業省(現在の経済産業省)から、“情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資するため”の(旧)“システム監査基準”が公表され、翌、昭和61年(1986年)には、情報処理技術者試験に、新たな試験区分として、システム監査技術者が追加されました。

 大規模で複雑なシステムで処理される様々な業務に対して、正しく処理されることをあらかじめ確認済みのプログラムを用意することは、開発に要する期間・工数・費用の面で非現実的であり、並行シミュレーション法は、会計監査以外では、ほとんど使われることはありませんでした。システム監査では、処理結果の正確性を保証するのではなく、プログラムが実行する処理の正当性を確認するようになっていきました。運用中のシステムや開発が完了したシステムを対象に、開発工程の一環として行われるテストとは別に、システム監査人が独自のテストを実施するというのが、この時期の代表的なシステム監査の形式となってたようです。対象となるシステムにテスト用の口座を開設し、テスト用のデータを入力して出力される結果を確認するITF(Integrated Test Facility)法、条件を設定して、システムでの処理がその条件を満たしたときに、変数の値や処理中のファイルレコードの内容などを出力するスナップショット法などが、監査技法として用いられました。

 第1回は、ここまで。次回は、1990年代初頭から現在までの情報技術の発展とシステム監査の変遷を振り返ります。その後、現代のシステム監査について、その目的や形態の視点から整理し、今後の内部監査としてのシステム監査の位置付けと役割を探っていきます。

1) TMやEAMは、我が国では、パンチカードシステム(PCS:Punch Card System)として知られています。
2) 最初のコンピュータとしては、1946年に開発されたENIACがよく知られていますが、
  System/360は、それまでの科学技術計算用と事務処理用とに分かれていたコンピュータを統合した、
   商用としては最初の汎用コンピュータで、現在の高度IT化社会を築く礎になりました。
3) JIS X 4170:2009オープン分散処理―統一モデル化言語(UML)1.4.2版
   ISO / IEC 19501:2005 Open Distributed Processing―Unified Modeling Language(UML),Version1.4.2

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。