今回は先日以下の勉強会で発表した内容について記事にしてきます。

第24回ゼロから始めるセキュリティ入門勉強会に参加してきました

なお、内容についてはかなり個人的見解を含んでいますので、私の所属や特定の団体等は全く関係ありませんのであらかじめご了承ください。

仕事の流れ

まずは何しているか全くわからない人も多いと思いますので仕事例（私が知っている範囲での）についてです。

記事に登場する絵は私が作成し、実際に勉強会で使用したものを流用します。

まずは監査時の関係についてです。登場人物？は三人です。

①監査人

②事務局

③悲観差分門

関係性は以下に図で示しています。

なお、もちろん監査人を内部で準備する場合ももちろんあります。（内部監査等）

ただ、外部にその資料を公開する場合などは外部の独立した会社に頼むのが一般的になるかと考えています。（独立性や客観的な指摘などを考慮して）

今回は外部監査会社に依頼するケースを例にしています。

まずは事務局から監査会社に依頼がきます。

監査会社は事務局の指示通りに被監査部門に対して監査を行います。

本格的な監査に入る前に顔合わせだったり、必要資料（マニュアルや他社との契約内容がわかるもの、出せる範囲で）の提示を求めるのが一般的かと思います。

この時点で、かなり非協力的な場合もあります。

もちろん気持ちはわかります。ただでさえ忙しいのに監査の対応もしなければいけなく、提示するマニュアル等の準備や提示できるものの判別等を行わなければいけません・・・

そして、マニュアルの提示だけではなく、実際に時間をかなり用意してヒアリングや現場を監査人に案内したりもします。（もちろん通常の業務も怠ってはいけません）

その結果を基に監査人は監査結果報告書を作成します。（大体報告会が開催されます。）

実際に監査を行うと、現実での業務のやり方とマニュアルに相違がある場合があります。

その際は指摘事項として提示される可能性もあります。忙しい中協力していた側としてはかなりきつい可能性も非常にわかりますね。

その結果、組織に対して不信感が湧いてしまい、意欲の低下や退職、最悪の場合は不正行為等に手を出してしまう可能性もあるかもしれません。（少し過剰に表現しています）

じゃあ監査ってどうすればいいの？

私自身もそこまで多くの監査実績があるわけではないので、偉そうなことは言うことができませんが、経済産業省から2018年4月に出た、システム監査基準を基に考えていきます。

まずは例に出した監査の場合、独立性に若干の問題が発生するのでは？と考えています。

基本的に監査人、事務局、被監査部門はそれぞれであり、正三角形のような関係性である事が求められるのではないかと考えています。

監査側については仕組みとしては理解していても、依頼を受けることもあり、事務局側に偏っている傾向があるのではないでしょうか。

また、監査会社が行う指摘としては被監査部門に関しての指摘が一般的かと思いますが、事務局側の対応や組織全体の仕組み自体に問題がある可能性もあると思います。

その場合、指摘は被監査部門だけに留まらず、組織全体への問題として提示される必要があるのではないでしょうか。

そして、事務局側についても、監査の意義を理解する必要があります。

よく話を聞くのはISMSの維持や取得のためだけに監査を受けている等の場合です。

そういった話を聞くと本来の監査の意味から大きく逸脱しているなぁ～と感じます。

以下にシステム監査基準に記載の目的と意義を紹介します。

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。
また、システム監査は、情報システムにまつわるリスク（以下「情報システムリスク」という。）に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
参考：システム監査基準 [1]システム監査の意義と目的より