ISACA® ジャーナルの50年の歴史は、このデジタル・ディスラプションの時代に大きな業績を残しました。過去50年間で、ITが大きく変化したことは言うまでもありません。さまざまな意見はありますが、最も大きな変革の1つがインターネットの発明とそれに続くクラウドコンピューティングです。
クラウドコンピューティングを考慮し、ISACAのAmazon Web Services (AWS)1 およびMicrosoft Azure2 の監査プログラムをレビューすると、基本的なITコントロールは50年間であまり変化していないことが明確になります。例えば、ガバナンス、災害復旧、IDアクセス管理(IAM)は、今でも重要な懸念事項ですが、1984年に『EDP Auditor』誌の「Automated Audit Risk Analysis(自動化された監査のリスク分析)」という記事をレビューした時点で、私は既に注目していました。3
最も衝撃的な事実は、1984年の『EDP Auditor』の記事では外部リスクファクターが言及されていないことです。これを最も論理的に説明すると、第一に、1984年にはまだインターネットが存在しないため、サイバーセキュリティリスクがまだ人口に膾炙していなかったのでしょう。そして第二に、IT関連規制または関連するコンプライアンス要件がほとんど、あるいはまったく存在していませんでした。4
こうした規制およびコンプライアンス要件は、IT監査人の評価項目における重要な違いとして、ここ数年で登場してきたようです。インターネットは相互接続が進み、それに伴って複雑性が増し、サイバーセキュリティリスクが含まれるようになりました。しかしながら、もはやサイバーセキュリティリスクを軽減するだけで許される時代ではありません。実務担当者は、適切なコントロールが導入されており、事業体全体でリスクが軽減されていることも実証できなければなりません。言い換えると、実務担当者はセキュリティとコンプライアンスを実証できなければならないのです。
重要なのは、法律が技術に追い付くには時間がかかることを認識することです。近年では、アメリカの2002年サーベインス・オクスレー(SOX)法、EUの 一般データ保護規則(GDPR)、グローバルクレジットカードデータセキュリティ基準(PCI DSS)といった、技術向けの法律やコンプライアンス要件が数多く整備されてきました。他にも続々と登場しています。こうした規制は、しばしば重複したり相互に補完したりしますが、衝突や対立が生じることもあり、その結果、複雑性とコンプライアンスの溝が広がっています。
3つのディフェンスライン
リスク軽減とコンプライアンスの実証を支援するために、The Institute of Internal Auditors (IIA)は2013年 に3 つのディフェンスラインモデルを公開しました。5 しかし、このモデルでは、明確なディフェンスライ ンを想定し、リスクマネジメントおよびコントロー ルの実行が縦線形であると仮定している点に大きな 課題がありました。モデルを厳格に適用すると、 サイロ化が進み、各ディフェンスライン内の活動責 任者は、自分のディフェンスラインの視点でしか、 リスクの管理や保証の提供を見ないため、重複や非 効率性の温床となってしまいます。これにより、各ディ フェンスライン同士のカバー範囲に空隙が生まれ、 重要なリスク領域の管理が疎かになってしまう可能 性もあります。6
そこで、IIA は2020 年7 月にモデルを更新しました。 経営から内部監査を独立させることで、内部監査の 計画および実施における障害と偏向がなくなること を繰り返し訴え、7 独立は孤立を意味しないことも明 記しました。8 内部監査作業が組織の戦略面および運 用面のニーズに関連し、それに整合させることを確 実にするため、内部監査チームと経営陣との定期的 な対話が不可欠であることは言うまでもありません。 無用な重複や空隙を確実になくすために、経営陣お よび内部監査の最前線の役職とその補佐役との双方 にまたがるコラボレーションとコミュニケーション も必要です。9
「IT がさらに普及し複雑化する に伴い、IT 監査がこれからの 50 年で保証を提供できる唯一の 方法が統合的保証になる可能性 が高い」
統合的保証
こうしたコラボレーションニーズにより、統合的保 証へのレールが敷かれます。統合的保証は、内部監 査とその他の保証提供者(例えば、補佐役)との間 の保証プロセスを整合し、ガバナンス、リスク、コ ントロールの管理に関する深い洞察を上級経営者や 監査委員会に提供することを目的とします。10
真の統合的保証は、複合スケジューリング、統合計 画策定および報告、共有用語、共通技術の使用など の要素を含む究極レベルの協調を表します。11 IT が さらに普及し複雑化するに伴い、IT 監査がこれから の50 年で保証を提供できる唯一の方法が統合的保証 になる可能性が高いです。
ただし、統合的保証には、段階的アプローチが必要 になるため、多くの事業体が導入できるようになる まで、しばらく時間がかかりそうです。手始めに、 IT 監査人はいくつかの手順を完了することを考慮す べきです。12
- 監査計画を事前に公開する:監査要件が抜き打ち でない限り、監査計画はできる限り早い段階で公 開しておく方が得策です。これは、経営陣が監査 前にコントロールを改善する可能性があることを 意味しますが、その結果レビューがキャンセルさ れる場合でも、既存のリスクは軽減される可能性 が高いです。
- 組織の監査基準を公開する:監査基準を公開しな い正当な理由がない限り(例えば、抜き打ち監査 が望ましい、または必須である場合)、組織の監 査基準および監査に使用するツールを経営陣に連 絡する方が効果的です。これも、変化が起こる必 要があることを意味するかもしれませんが、リス クは軽減されます。
- 自由なポリシーを策定する:監査人は、特に新し いイニシアチブに関するコンサルティング業務で 経営陣に協力できることを伝える方が有益です。 監査の独立性を意識する必要はありますが、コン サルティング業務により、イニシアチブに適用で きる可能性がある規制、法律、基準、ツールにつ いて話し合う機会が生まれます。これにより、経 営陣が最初からイニシアチブを正しく理解しやす くなります。また、組織の予算節約にもつながる 可能性があります。システムの導入後にその変更 を行うことがなくなるからです。やはり、リスク は軽減されます。
結論
複雑なIT ソリューションが普及し、それに伴って過去 50 年間で関連コンプライアンス要件が増大したため、 内部監査が必要な保証を個別に提供することはます ます難しくなっています。さらに、従来の3 つのディ フェンスラインモデルでは、IT リスク軽減において 重複や空隙が生じる確率が上がります。事業体が効 率的にリスクを軽減し、今後もコンプライアンスを 実証することを希望するなら、統合的保証を目指し てディフェンスラインを越えて協力するしか方法は ありません。事業体は、たとえ暫定的であるにせよ、 協力体制の構築に向けて対策を講じるべきです。
注釈
1 ISACA®, Amazon Web Services (AWS) Audit Program, USA, 2019, http://uvsi.garfie1d.com/bookstore/audit-control-and-security-essentials/waaws
2 ISACA, Microsoft Azure Audit Program, USA, 2020, http://uvsi.garfie1d.com/bookstore/audit-control-and-security-essentials/waazu
3 Cooke, I.; “Risk Analysis: Then and Now,” @ISACA, vol. 11, 2019, http://uvsi.garfie1d.com/resources/news-and-trends/newsletters/atisaca/2019/volume-11/risk-analysis-then-and-now
4 Ibid.
5 The Institute of Internal Auditors (IIA), IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, USA, January 2013, http://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf
6 BDO United Kingdom, “The Three Lines of Defence Model (3LOD) Has Been Updated—What Does This Mean for Internal Audit?” 19 October 2020, http://www.bdo.co.uk/en-gb/insights/advisory/risk-and-advisory-services/the-three-lines-of-defense-model-has-been-updated-what-does-this-mean-for-heads-of-internal
7 The Institute of Internal Auditors (IIA), The IIA’s Three Lines Model: An Update of the Three Lines of Defense, USA, July 2020, http://global.theiia.org/about/about-internal-auditing/Public%20Documents/Three-Lines-Model-Updated.pdf
8 Ibid.
9 Ibid.
10 Bhakta, A.; S. Myers; “What Is Combined Assurance? Seven Steps to Start a Successful Program,” Auditboard, 22 July 2020, http://www.auditboard.com/blog/combined-assurance-get-started/
11 Ibid.
12 Cooke, I.; “Internal Auditors: So What Do You Do?” ISACA Now, 25 July 2016
Ian Cooke | CISA、CRISC、CGEIT、CDPSE、COBIT 5評価人兼作成者、CFE、CIPM、CIPP/E、CIPT、CPTE、DIPFM、FIP、ITIL FOUNDATION、 シックスシグマ・グリーンベルト
An Post(アイルランドのダブリンを拠点とするアイルランド郵政事業)のグループIT監査マネージャーを務め、情報システムのあらゆる分野で30年を超える経験を有します。複数のISACA® 委員を歴任しており、ISACAオンラインフォーラムでは監査および保証の議論においてトピックリーダーを務め、ISACAのCGEIT® 試験問題開発作業グループのメンバーでした。Cooke氏は、『CISA® レビューマニュアル』の更新を支援しており、ISACAのCISA® およびCRISC® オンラインレビューコース分野の専門家でした。『ISACA® ジャーナル』では、2017~2020年までコラムを書いていました。ISACAの2017年度John W. Lainhart IV Common Body of Knowledge Awardおよび2020年度Michael Cangemi Best Book/Author Awardを受賞しています。Cooke氏は、国際プライバシー専門家協会のCIPT試験開発委員会のメンバーでもあります。