システム監査の最終報告書である調書の書き方と種類

システム監査大全
この記事は約5分で読めます。

こんにちは、ペン太郎です。

大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきました。

システム監査はその重要性に反して中身がベールに包まれているため、理解が得られにくい業務です。

監査法人への就職・転職を志している方や監査部門に配置換えになった方、証跡の提出など何かしら業務上システム監査に携わる方に向けて、実際に監査を行ってきた知見からシステム監査について解説していきます。

調書とは何か

システム監査の監査結果は、調書として取り纏められます。調査結果を取り纏めた文書の意味ですね。

監査法人の提供する調書には、監査法人のパートナー(共同経営責任者)による捺印がされます。

それでは、調書には、何が記載されるのでしょうか。

システム監査の調書には、監査した結果である評価(整備状況評価、運用状況評価)が記載されます。

この評価を見て、自社の統制の改善に活かしていくことになります。

システム監査における調書の品質

調書は、監査元により品質が大きく変わってきます。

監査法人によるシステム監査の場合はレギュレーションに、セキュリティベンダーによるシステム監査の場合はセキュリティ統制に寄っています。

監査したいテーマに応じて、監査の依頼先を選定するのが良いでしょう。

筆者は、ユーザ企業であらゆる企業の作製した調書を見てきました。提供元に得意・不得意があるものの、筆者が良いと感じた調書には共通点がありますので、紹介します。

良い調書が具備している要件

  • 指摘事項/提案事項の数が少なすぎない
  • 指摘事項/提案事項に優先度がつけられている
  • 日本語がわかりやすい

調書に具備すべき要件:指摘事項/提案事項の数が少なすぎない

通常、ユーザ企業は改善事項を洗い出すためにシステム監査を依頼します。

監査法人や専門家の太鼓判を貰うことも目的の一つではありますが、法定監査の前では太鼓判があるからと言って、必ずしも多めに見てもらえるわけではありません。(但し、金融機関などの一部の業界では、定期的なシステム監査が義務づけられていることがあります。)

外部環境が進化する中、指摘事項/提案事項が0に近いほど少ないのは、監査技術が足りないか、手を抜いているかを疑った方が良いでしょう。

外部環境の動向を調査したり、細かくヒアリングしたりすることは、当然ながら、手間がかかります。指摘事項/提案事項が少ないのは、手間を惜しんでいることの裏返しでもあります。

指摘事項/提案事項が少ないと、自社の統制は満足出来るレベルにまで至ったと安心してしまいそうになりますが、まずは、監査品質を疑った方が良いでしょう。

調書に具備すべき要件:指摘事項/提案事項に優先度がつけられている

指摘事項/提案事項には、優先度はついているでしょうか。

予算をつけてでも速やかに対処すべき内容がある一方、余力がある際に対処した方が良い内容もあるでしょう。

限りある企業の経営資源の投下するにあたり、オールマイティに対応することはほぼ不可能です。

指摘事項/提案事項に優先度がついていれば、余裕を持ってプロセスの改善に取り組むことが出来ます。

調書に具備すべき要件:日本語がわかりやすい

日本語のわかりやすさは当然ながら、インデントが揃っているか、用語の平仄が揃っているか、細かい内容まで確認した方が良いでしょう。

フォーマットが揃っていない資料はレビューされていない可能性が高いため、内容が伴っていないことが往々にしてあります。

監査業は文筆業でもあるため、日本語のわかりやすさも一つの指標とすると良いでしょう。

システム監査における調書の書き方

調書の読み方を紹介しましたが、この章では書き方について紹介します。

調書には、調査概要と共に、調査結果を発見事項、指摘事項、提案事項に分けて記載します。

  • 発見事項・・・整備状況・運用状況の評価の結果やNGだった事項を記載します
  • 指摘事項・・・対処が必ず必要な事項を記載します
  • 提案事項・・・必ずしも対処は必要ではありませんが、対処した方が良い事項を記載します

なお、発見事項の書く際には、出来ていることと出来ていないことをセットで記載する様にしましょう。

この様に記載することで、ユーザ企業が自身の立ち位置や現状を確認することが可能になります。立ち位置がわかることで、どの程度の対処が必要なのか、検討する材料となります。

整備状況評価と運用状況評価の関係

発見事項には、3つの種類が存在します。

  • 整備状況評価のみがNGの場合
  • 運用状況評価のみがNGの場合
  • 整備状況評価も運用状況評価もNGの場合

整備状況NGのケース

整備状況がNGの場合は、該当する規程を修正しましょう。

対応する運用もないことから、規程修正と共に、運用が開始することとなります。

その為、体制の確認も怠らない様にしましょう。

運用状況NGのケース

運用状況がNGの場合は、運用を改善しましょう。

実務上、運用の継続が難しい場合は、規程の改定も視野に入れましょう。

その際、規程の改定により統制が甘くならない様に気を付けましょう。

整備状況評価も運用状況評価もNGの場合

このケースは救いようがないケースとなります(笑)

整備状況を改善した後、改善後のプロセスに沿った運用を開始しましょう。

指摘事項/提案事項に対する対処方法について

調書には、基本的に指摘事項、提案事項に対する対処方法までは記載されません。

企業によって、資金力や社会から求められる統制の強度が異なるため、対処方法も変わるためです。

但し、調書を作成した企業は解決策を持ち合わせていることが多いです。指摘事項/改善事項への対処方法がわからなくて困っている際には、担当者に質問するのも良いでしょう。

本日は、調書の読み方、書き方について紹介しました。

システム監査は一度やっておしまいにするのは勿体無いです。調書のレベルを見て、次年度も継続して依頼をするか、検討の材料としましょう。

関連記事

【第5回】リスク管理態勢の構築

システム監査が終わったら、リスク管理態勢を構築しよう
リスク管理態勢の高度化もシステム監査の目的の一つに挙げられます。外部リソースの活用も高度化の一つの手段でもあります。本記事では、大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきた知見から、リスク管理態勢の構築方法について紹介します。

コメント

タイトルとURLをコピーしました