監査の前に、日常の管理

　こんにちは、丸山満彦です。先日ある会合で監査の話になりました。多くの人が監査に注目してくれるのはよいのですが、あまり期待されすぎても困ります。

　
　13年ほど前に会計監査を始めたころは、監査がこれほど世間から注目されるとは思っていませんでした。
　ところや今や、会計監査だけではなく、内部監査、環境監査、システム監査、情報セキュリティ監査・・・。JIS9001、JIS14001、ISMSといったマネジメントシステム認証もおおはやりで、内部監査、審査機関の監査が行われています。
　住基ネットでもセキュリティ監査が話題となりましたね。
　不祥事をおこした企業が再発防止策としてあげる項目でも、「内部監査部門の強化」というのはよく聞く話です。
　世の中、監査、監査・・・ですね。
　
　歴史を紐解いていないので軽々しくは言えませんが、欧米と比べて日本では、社会全体として監査というものに昔からなじみが無かったのかもしれません。内部監査制度がきっちり整備され、機能している日本企業は欧米企業に比べると少ないように思います。
　説明責任を果たす制度として、監査は良い制度なのですが、どのような制度にも当然限界がありますね。

　今は、「監査って何？」という監査に対する理解が社会的に進んいる状況であろうと思うので、否定的な話をして、腰を折りたくはないのですが、期待が高すぎると、その実態を知った時（正確にいうと、限界を理解した時）に陥るギャップが大きくなり失望が広がりそうなので、あらかじめ言っておこうと思います。

監査に期待されすぎても困ります。

①監査人を増やしてもすべての行為をチェックできない
②監査人の専門能力にも限界がある
③監査は過去のことしかチェックしない

まぁ、こんな限界が監査にあるわけで、
・内部監査を強化したからといって、不正が大幅に無くなるわけでもなく、
・外部監査人が監査をしたからといって、セキュリティが大丈夫と言い切ることもできず、・・・

　監査を強化したら、導入しても、魔法のように解決できるものではありません。

普段から私が気になっている点を最後に指摘しておきます。

＝＝＝＝
監査の前に、日常の管理
＝＝＝＝

●不祥事をおこした企業については、監査部門を強化する前に、日常業務の管理を強化することが重要です。

●外部監査をうけてお墨付が欲しければ、まず自分で90点とれる自信がついてから、監査を受けましょう。

---

このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

Comments

丸山　様

夏井です。

こんにちは。

セキュリティマネジメントの世界では，よくPDCAのサイクルの重要性が強調されますね。監査は，比較的長いスパンでのCに該当しますね。

これは，情報セキュリティの実務ではしばしばDの部分だけが重視され，より適切なマネジメントを実現するための見直しのような部分が軽視される（または軽視せざるを得ない）状況にあったことへの反省から産まれたことではないかと思われます。

しかし，よく考えてみると，Dが存在しなければ，P，C，Aがあっても無力ですね。Dは情報セキュリティ実務におけるエンジンそのものであり，これなしには何も考えられないわけです。それ以外の要素は，より適切なDを実現するための手法だと言っても過言ではないかもしれません。

また，現実問題として，１分単位または１日単位程度の短いスパンでのPCDAは常にDの担当者が実現しているわけで，そうでなければ実務が成立しません。ただ，事業者の情報資産全体に対する情報セキュリティという大きな視点から計画を樹立したり，資源を配分したり，実務の見直しをしたりするためにはDだけではどうにもならないことからPCDAの連関の重要性が指摘されているのだと思います。

これを「監査」や「第三者評価」の流行という妙な現実に照らして考えてみると，どうも一番肝心なDのところを見落として観念論や自己満足だけに陥ってることがありゃしないかということが心配になることがあります。

会計監査でも，決算書類というものは，事実に基づいて適正・適法に作成されるものではあるけれども，それはあとから過去を振り返って評価しながら生成されるものであり，リアルタイムの経理処理そのものではないですよね。

でも，経理処理にしても情報セキュリティにしても，いまそこにある脅威に対して誰かが適切に対処しなければならないわけですよ。

監査結果というものは，自己満足ではなく，実務をより適切にするための参考意見としてとらえるべきものであり，それ以上でもそれ以下でもないように思います。
なにしろ，監査の担当者は，現実に処理しなければならない現実のイベント処理に対して直接の責任を負っているわけじゃないんですから。

その意味で，丸山様のご意見には基本的に大賛成です。

Posted by: 夏井高人 | 2005.04.07 17:09

夏井先生、コメントありがとうございます。

監査って、過去の結果、しかも、多くの場合1年に一度程度しかできないし、すべてのプロセスを1年内にチェックするわけでもないんですよね。現場の上司が部下をきちんと管理すれば一番よいはずなんです。間違っていたらすぐにその場で指摘、指導できますから・・・。
　不正をなくすために監査を強化するよりも、管理者教育をきっちりするほうが先です。

　不正は現場でおこっているわけですから・・・。

Posted by: 丸山満彦 | 2005.04.08 12:33