発行日 :平成23年 1月
発行NO:No26
発行    :溝上法律特許事務所
            弁護士・弁理士 溝上哲也
→事務所報 No26 INDEXへ戻る

   【4】論説〜システム監査とコーポレートガバナンス〜
  「システム監査」と聞いても耳慣れない方が多いと思います。今回、同じ「監査」である株式会社の監査役が行う監査と比較し、システム監査の意義等について述べます。

1 そもそも「監査」とは
  監査と名の付く制度は数多く存在し、監査の定義自体も様々なものがありうるところですが、広いところでは、「監査人が被監査人の行為等を調査し、その結果に基づく監査意見を表明すること」といえます。

2 監査役監査
  最も代表的な監査人といえる株式会社の監査役は、会社法に根拠を有し、会社法に基づく監査を行います。すなわち、監査役は「取締役の職務の執行を監査」し、「監査報告を作成しなければならない」と規定されています(会社法381条1項)。

(1) 監査の対象  取締役の職務の執行であり、取締役の職務の範囲は会社の業務全般であるため、監査の対象も会計監査を含む会社の業務全般に及びます。一般には業務監査と会計監査に分けられています。

  業務監査とは、取締役の職務執行が法令・定款に適合しているかどうかを監査するものです。なお、職務執行の適法性を超えて、職務執行の妥当性についてまでは監査権限が及ばないと解されています。
  会計監査とは、取締役等が作成した計算書類ならびに附属明細書が会社の財産及び損益状況を適正に表示しているか等を監査するものです(会社法436条1項2項、会社計算規則150条、154条等)。この会計監査は、会計監査人がある場合は(大会社の場合は必須(会社法328条))、第一次的には会計監査人が行い、監査役は、会計監査人の監査計画や監査基準等が適切かをチェックし、会計監査人の監査報告が相当でない場合は自らが監査するということになります。計算書類等は監査役(会計監査人)の監査を受けた後、取締役会の承認を得ます(会社法436条3項)。

(2) 監査報告の内容
  監査報告の内容は各種規則に法定されています(会社法施行規則129条、会社計算規則150条、154条等)。作成された監査報告は、株主総会の招集通知に添付されます(会社法437条、会社法施行規則133条1項2号)。

(3) 監査役の権限
  監査役は、その職務を執行するために、各種調査権(会社法381条2項3項)、取締役会招集請求権及び請求権(会社法383条2項3項)、報酬・費用等請求権(会社法387条、388条)、取締役の違法行為の差止め請求権(会社法385条1項)、会社と取締役との訴訟における会社代表権(会社法386条)等を有し、また、監査役の地位の独立性を確保するために、監査役の選任に関する議案についての監査役の同意権(会社法343条1項)、監査役の報酬に関する株主総会での意見陳述権(会社法383条3項)等、各種権限を有しています。

(4) 監査役の義務・責任
  一方、監査役は、取締役の不正行為等の取締役・取締役会への報告義務(会社法382条)、取締役会への出席・意見陳述義務(会社法383条1項)、取締役が株主総会へ提出しようとする議案、書類、電磁的記録その他資料の調査義務及び調査結果の株主総会への報告義務(会社法384条)、任務を怠った場合の会社に対する損害賠償責任(会社法423条1項)、監査報告の虚偽記載等の場合の第三者に対する損害賠償責任(会社法429条2項3号)等、各種義務・責任を負っています。

(5) 監査役の資格等
  監査役の資格については、成年被後見人や被保佐人でないことや取締役等との兼任禁止等が定められています(会社法335条、331条1項2項)。なお、会計監査人については、公認会計士又は監査法人でなければなりません(会社法337条)。

  監査役は株主総会決議をもって選任され(会社法329条1項)、任期は原則4年であり(会社法336条1項)、任期満了のほか、株主総会の特別決議により解任されます(会社法339条1項、309条2項7号、343条4項)。

(6) 会社と監査役との関係
  委任関係にあります(会社法330条)。

3 システム監査
  システム監査とは、法令に基づかない任意監査の1つです。法令上の定義はなく、経済産業省が策定している「システム監査基準」(H16.10.8改訂版)にもシステム監査自体の定義はありませんが、システム監査の目的は「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」と定義されています。これを要約すると、システム監査とは、「情報システムの内部統制が適切に整備・運用されているかを独立かつ専門的な立場のシステム監査人が検証又は評価して、保証あるいは助言を行うこと」と定義することができます。積極的に「保証あるいは助言を行う」という点が明示されているのはシステム監査の特徴です。

(1) 監査の対象
  監査の対象は情報システムですが、情報システムといっても、その種類・内容は様々である上に、設定する監査テーマも、安全性(セキュリティ)、信頼性、有効性、効率性等多岐に渡り、また、企画(システム計画)、開発(プロジェクト管理)、運用等様々な段階が対象となり得ます。任意監査ですから、その対象も、内部監査であれば内規等に、外部監査であれば監査契約によります。そもそも情報システムが対象ではありますが、現在では企業のあらゆる業務が情報システム化されているため、その対象は非常に広いといえます。そして、企業の根幹である財務会計処理は最もコンピュータ化が進んでおり、会計監査の一環としてシステム監査が実施されることは当然ありえますし、広く業務監査の一環としてシステム監査が実施されることも当然あり得るわけです。

(2) 監査報告の内容
  任意監査であり、監査基準も、報告内容も法定されておらず、提出先も内部監査であれば通常組織体の長であり、外部監査であれば監査契約によります。もっとも、「システム監査基準」には、システム監査の実施基準、報告基準が記載されています。
  すなわち、実施基準には、システム監査の実施は、監査計画の立案、予備調査、本調査、評価・結論、監査報告、改善指導という手順で行うことや、監査報告の根拠となる監査証拠の入手・評価、監査調書の作成・保存義務が明記されています。証拠収集と調書の作成あたりは、刑事手続における捜査を思わせます。
  報告基準には、監査報告の記載事項につき、「実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。」と明記されています。

  ところで、システム監査は一定の基準に従って行うものですが、上記実施基準は、監査上の判断尺度ではありません。「システム監査基準」にも、「システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。」と記載されています。すなわち、監査上の判断の尺度としては、経済産業省が策定した「システム管理基準」(H16.10.8策定)が存在しており、その他、監査の目的・形態に応じて様々な基準が用いられることが前提とされています。「システム監査基準」における実施基準においても、「情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。」と記載されており、経済産業省が策定した詳細な「情報セキュリティ管理基準」(H21.2.1改正版策定)が存在しています。さらに、地方自治体向けには総務省が策定した詳細な「地方公共団体における情報セキュリティ監査に関するガイドライン」(H22.11.9改訂)、(財)金融情報システムセンターが策定した「金融機関等のシステム監査指針」(H19.3改訂)等、業界ごとの監査指針が存在し、もとより、個人情報保護法、コンピュータ不正アクセス対策基準(経産省)等の各種法令・ガイドラインをはじめ、社内規則、事業計画等も監査基準となります。これら監査基準は、監査計画書に盛り込まれ、監査の委託者が承認する形で設定されます。

(3) システム監査人の権限
  内部監査であれば内規等に、外部監査であれば監査契約に基づくことになりますが、監査証拠の入手、調査のために必要な権限については監査契約に盛り込んでおく必要があります。外部監査人の監査報酬についても監査契約によって定まります。

(4) システム監査人の義務・責任
  任意監査であり、監査人の義務や責任についても内規や監査契約に基づくことになりますが、外部監査人の監査報告に問題がある場合は、契約上の債務不履行責任及び損害賠償責任が生じる可能性があります。よって、委託者、監査人のいずれの立場においても、監査契約における損害賠償責任についての条項はチェックしておくべきであり、監査報告書提出前には、監査人と受審者との間で報告内容の前提となる事実誤認がないか確認しておくことが重要になります。
  もっとも、システム監査が何らかの保証を伴う場合であっても、その対象は、情報システムの内部統制が適切に整備・運用されていることであり、例えば不正アクセス、システムトラブル、情報漏洩等が起きないこと自体を保証するものではないことに注意する必要があります。

(5) システム監査人の資格等
  システム監査は特定の資格がなければ実施できないということはなく、知識・技能があれば誰でもシステム監査人になれます。任期についても内規や契約等の合意によります。なお、経済産業省が、システム監査の計画、実施、報告、システム監査業務の管理を担当する人材の能力認定試験として、システム監査技術者試験を実施しており、また、特定非営利活動法人日本システム監査人協会が一定の実務経験や教育の受講を前提に認定する公認システム監査人という制度が存在しています。

(6) 会社等とシステム監査人との関係
  一般に、内部監査人であれば雇用関係、外部監査人であれば委任関係にあるといえます。

4 監査役監査とシステム監査の関係
  前記のとおり、システム監査の目的は、「ITガバナンスの実現に寄与すること」にあり、「システム監査基準」の前文には、「システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。」と記載されています。
  一方、会社法におけるコーポレートガバナンスの視点として、内部統制システムの構築と情報開示による説明責任の向上があげられます。会社法は、「取締役の職務の執行が法令及び定款に適合することを確保するための体制」(会社法362条4項6号、348条3項4号)、すなわち、内部統制システムの整備を要求しており、監査役は、取締役の職務の執行に関する監査の一環として内部統制システムの監査を実施することになります。内部統制システムと情報システムは異なるものですが、内部統制システムの評価項目としては、IT統制の設計・導入、リスク考慮等が当然含まれてきます。

  会計監査や業務監査の一環としてシステム監査が実施されることがあることは前記のとおりであり、システム監査と監査役監査は重なり合っているといえます。そして、システム監査の目的であるITガバナンスの実現は、まさに会社法の目指すコーポレートガバナンスに資するものであり、利害関係者に対する説明責任を果たすものとして、システム監査が積極的に活用されるべきであると考えます。

(H23.1作成: 弁護士・弁理士 江村 一宏)

→【1】論説〜知財関連訴訟における弁護士・弁理士の役割〜
→【2】論説〜法律業務の改善をしました【Emacs・org-modeの利用】〜
→【3】論説〜クレームの補正が新規事項の追加にあたらないとして、審決を取り消した事例〜
→【5】論説〜ご家庭での、自慢のメニュー、定番メニュー、オリジナル料理等の、アンケート収集〜
→【6】論説〜事務所の近況〜
→事務所報 No26 INDEXへ戻る



溝上法律特許事務所へのお問い合わせはこちらから


HOME | ごあいさつ | 事務所案内 | 取扱業務と報酬 | 法律相談のご案内 | 顧問契約のご案内 | 法律関連情報 | 特許関連情報 | 商標関連情報 |
商標登録・調査サポートサービス | 事務所報 | 人材募集 | リンク集 | 個人情報保護方針 | サイトマップ | English site
1997.8.10 COPYRIGHT Mizogami & Co.

〒550-0004 大阪市西区靱本町1-10-4 本町井出ビル2F
TEL:06-6441-0391 FAX:06-6443-0386
お問い合わせはこちらからどうぞ