保証型監査は大変でしょう。。。

　こんにちは、丸山満彦です。情報セキュリティ監査やシステム監査では、助言型監査に加え、保証型監査があるといわれています。監査といえば保証なのですが、保証ができないところがほとんどであろうということで助言もいれています。助言型監査は保証ができないので、検証手続を実施した範囲で見つけた不備（検出事項）を羅列するものです。その不備（検出事項）を改善するための方向性を提言する場合もあります。
　で、情報セキュリティ監査では、保証型監査の検討が進められているわけですが、、、

　
　J-SOX対応を見ていただければお分かりのとおり、保証型監査をうけるというのは大変なわけです。何が大変って監査をする側だけではなくて、監査を受ける側なんですよね。
　監査が受けれるように内部統制が十分にないといけませんよね。。。で、内部統制が十分にあることを会社側が立証できるようにしておく必要がありますよね。リスク・コントロール・マトリクスなどの3点セットをそろえたり。。。

　もちろん、準拠性監査（Compliance Audit）というのもありまして、これは、例えば内部統制の妥当性を評価せずに、規定に準拠しているかどうかだけを評価するものです。
　準拠性監査なら、もうちょっとリスク・コントロール・マトリックスが必要でないので、たぶん楽になると思います。規定に準拠しているかどうかだけです。。。

　ということで、保証型監査をうけるというのは、監査を受ける側の準備が大変・・・ということです。。。