今回のi(スモールアイ)社から、IT全般統制が有効であるかどうかを監査してくれと依頼がありました。この監査依頼に対して、保証型システム監査を実施して受託することにしました。(保証型システム監査と助言型システム監査という用語は適切ではありません。堀江正之教授が仰るように、保証意見と助言意見と言うべきでしょう。このことは4本目の主題でまた述べます)「保証型システム監査」は、ほとんどその実施例はないと思います。システム監査基準で取り上げられていますが、システム監査と称して実施されているほとんどは「助言型システム監査」?です。
協会で行っている「システム監査サービス」は、システム監査の普及と教育を目指した事業ですので、実務の世界では実施が稀な「保証型システム監査」を実施することを目標に掲げたのです。i社は上場会社ではありますが中規模の企業でありIT全般統制が高度に整備運用されているとは思えない(日本の中会社は皆そうでしょう)中で、「保証型システム監査」をすることは無謀だとの意見はありました。常識的にはその通りでもあります。しかし、敢えて実績のない道を選ぶことにしました。「システム監査サービス」でないと出来ないテーマだと考えたからです。
IT全般統制が有効であるかどうかを何によって判断するかがまず問題となります。ひとつは、「経営者の言明」が必要です。情報システムの有効性を監査目的にする場合に、経営者の判断規準(のり規準)がなければなりません。もうひとつは、システム監査人の総合的な判断規準だと考えました。システム監査管理基準のみを判断規準にしてしまうと、いかなる企業も、IT全般統制が有効であると判断することはあり得なくなります。そこで、システム監査人の総合的な判断規準というものを考えてみました。このことは、システム監査人がオールマイティ――すなわち「神」――になってしまう危険性を孕みますので注意が必要です。
「経営者の言明」がある会社は稀です。i社も「経営者の言明」を持っていませんでした。そこでどうするか?システム監査の教科書では、「経営者の言明」がなくてもシステム監査が進められるのが一般的なようです(というか言及がないことが多いようです)。我々は、「経営者の言明」を、経営者のインタビューから該当箇所を抽出して編集し、経営者にこれを「経営者の言明」として使ってもいいかを確認するという方法を工夫しました。この工夫は、現実的で有用な工夫だったと思いました。
システム監査の教科書で、わかりにくいテーマに、「予備調査」があります。i社のシステム監査サービスでは、予備調査を監査計画を立案するための監査手続であることを明確にして実施しました。予備調査とは、「監査対象の実態を明確に把握するために行う調査」であるといった説明をされることがあり、監査範囲を絞り込む監査計画と「明確に」関連づけて説明されていないことが多いようです。そのことを明確に出来た点に今回のシステム監査の意義があったと思います。
監査計画は一度立てられたら、監査報告まで変更がないものではありません。監査手続を実施するに従って明らかになる事実に基づき随時変更されていくのが監査計画です。今回のシステム監査では、その点も留意して、監査を実施していきました。始めに
十余人の社員の人達に質問票を配付した際には、網羅性は心がけましたが詳細には立ち入らないようにしました。次に、各人にインタビューをした際には、追加で質問すべき部門と人とを選択し、監査範囲を絞り込んでいきました。
また、今回のシステム監査サービスでは、「監査手続書(プログラム)」は作るが、「チェックリスト」は作らないという方針を貫きました。システム監査だけでなく「監査」一般に対する誤解――特に監査を知らない人からの誤解――として、完璧なチェックリストがあれば質の高い監査が出来るというものがあります。見当違いも甚だしい誤解です。いくら詳細なチェックリストを使ったからといって質の高い監査は出来ないのです。完璧なチェックリストとロボットがいれば監査が出来るとでもいうのでしょうか?そんなことが出来るなら、なにも専門的な知識と経験を有した専門家としての監査人は要らないわけです。
システム監査人の中には、結構、完璧なチェックリストを作らねばならないと思い込んでいる人が多いので、チェックリストだけに頼らない監査の実施を心がけました。
インタビューをしている間に、監査要点がガラッと変わることはあります。問題点が陰画から陽画に変わる時があります。そんなときに、完璧なチェックリスト通りに質問を続けていては、せっかく見えてきた問題点がまた陰に隠れてしまいます。インタビューの中でふと現れた疑問点を追求することで大きな問題点を捕まえることが出来るのです。重要な問題点を引き出すというのは、監査人の大切な能力なんです。些末な事象に囚われないことも重要な監査人の能力です。チェックリストに拘ると、この本来の監査が出来なくなります。
保証意見を表明するシステム監査報告書のフォームは、あるようでありません。今回のシステム監査では、保証意見を表明するシステム監査報告書のフォームを提示できたと思っています。
4つの段落で構成しました。
(1) システム監査の概要
(2) 監査判断規準
(3) 監査手続の概要
(4) 保証意見と指摘事項
(1)では、監査目標と監査対象、監査実施の規範になった監査基準、を記述しています。(2)では監査意見を形成するための判断規準を記述しています。(4)で保証意見を表明するにもかかわらず、指摘事項をにも言及することがいいのかどうか迷いました。が、最終的には、「下記の指摘事項を除き有効であると認めます。」という表現で指摘事項を別頁ながら併記しました。
有効であるという保証意見は、i社の位置するIT成熟度の会社においては、システム管理基準等や経営者の言明を判断規準として、参加したシステム監査人の様々な経験や知識により判断した結果表明されたものです。i社の場合、IT成熟度はレベル1だと想定したのですが、多数の判定要素の内でレベル0のものもレベル2のものもありました。i社と同等レベルの会社から見れば、i社のIT全般統制は有効でないとは言えず、有効であると意見表明できるのですが、i社にとっては、保証意見をもらうだけでは将来に向かってあまり意味がないわけです。IT全般統制は総合的に有効であるにしても、不足しているところはどこでどう改善すればいいのかを伝えた方が有意義であることは間違いのないことです。そこで、指摘事項を併記することにしました。
指摘事項は、どの監査要点に関するものか、事実関係はどうであってどこに問題点があったのか、どう改善すればいいのかを記載しました。ただ、助言意見ではないので、改善案の優先順位までは記述していません。
[up net on 10/01/02]