« 大震災から15年 | Main | ASP・SaaS安全・信頼性に係る情報開示認定制度 (マルチメディア振興センター) »

2010.01.18

保証型システム監査 (藤野先生)

 こんにちは、丸山満彦です。ISACA大阪支部で古くから活躍されている公認会計士の藤野先生が保証型のシステム監査をされたようです。
=====
保証意見を表明するシステム監査が可能なのかどうかを実験することができました。幾人もの優れたシステム監査人と一緒に模索してみた結果、本来の監査と呼べるシステム監査を実施するためのモデルを作ることが出来たように思います。
=====
 ということのようです。。。どのような結果となったのか非常に興味があるところです。。。藤野先生、今度よろしくお願いします。

 
藤野先生のウェブページ
システム監査
・2010.01.02 i社システム監査サービス

=====
 ・経営者の言明がない場合の監査の組み方
 ・監査計画立案のための予備調査という位置づけ
 ・チェックリストによらない監査の実施
 ・保証意見と指摘事項の関係
などを明らかにすることが出来たと確信しています。
=====
 なるほど、なるほど。。。

・クライテリアとして何をつかったのか?
・報告書の文言
とかとか気になるところですね。。。

さて、

●××型監査ということについて
=====
保証型システム監査と助言型システム監査という用語は適切ではありません。堀江正之教授が仰るように、保証意見と助言意見と言うべきでしょう。
=====
 これはその通りです。といいますか、監査にはいわゆる助言型監査というのはありませんね。。。監査というのは保証意見をいうものですよ。。。これは、監査に対する理解が社会的に高まってきたときにもう一度議論をして修正していくほうがよいですね。。。たぶん。。。

「予備調査」という用語について
=====
 システム監査の教科書で、わかりにくいテーマに、「予備調査」があります。i社のシステム監査サービスでは、予備調査を監査計画を立案するための監査手続であることを明確にして実施しました。
=====
 「予備調査」という言葉を使うことが問題です。システム監査基準では、「予備調査」という用語は使っていませんよね。。。監査計画はあるけど。。。昔からシステム監査をしている人はかなり「予備調査」という用語に思い入れがあるようにも思います。
 予備調査という用語は消し去りたいです。そのプロセスの目的をラベルにしたほうがよいです。。。「予備調査」というのでは、何の予備か不明確であるので、ラベルに使うのは良くないです。。。

●監査にチェックリストはいるか
=====
システム監査だけでなく「監査」一般に対する誤解――特に監査を知らない人からの誤解――として、完璧なチェックリストがあれば質の高い監査が出来るというものがあります。見当違いも甚だしい誤解です。いくら詳細なチェックリストを使ったからといって質の高い監査は出来ないのです。完璧なチェックリストとロボットがいれば監査が出来るとでもいうのでしょうか?そんなことが出来るなら、なにも専門的な知識と経験を有した専門家としての監査人は要らないわけです。
=====
 システム監査やセキュリティ監査の団体で議論していると、(自分ができないから?)誰でもできるチェックリストをみんなでつくろうというプロジェクトができます。で、詳細なチェックリストを作ろうと。。。でなければ、誰も監査ができないので、監査が普及しないと。。。
 間違った監査が普及してもね。。。

 なかなか興味深いです。。。
 

|

« 大震災から15年 | Main | ASP・SaaS安全・信頼性に係る情報開示認定制度 (マルチメディア振興センター) »

Comments

保証型、助言型という言い方は私もしたくはない。
ジレンマを感じています。どっかで一度棚卸が必要でしょうね。

Posted by: はなだ | 2010.01.18 12:59

システム監査勉強中の者です。

「システム監査基準では、「予備調査」という用語は使っていませんよね。。。」と書かれていますが、
システム監査基準には以下の表記があります。

----
2.監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。
----

これは、どのように理解すればよろしいのでしょうか。

Posted by: ごま豆腐 | 2010.01.18 17:55

はなだ先生、コメントありがとうございます。
 
 助言型監査という概念を監査にいれるのは苦労したんですよ。。。
助言型監査というのは、要は意見不表明ですよね。。。


=====
ごま豆腐 さん、コメントありがとうございます。

 ありましたね。。。

■システム監査基準
=====
Ⅳ.実施基準
1.監査計画の立案
システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。
2.監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。
=====

■情報セキュリティ監査基準
=====
1.監査計画の立案
情報セキュリティ監査人は、実施する情報セキュリティ監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。
=====

この違いは混乱を招くだけどすなぁ。。。そこまで予備調査や本調査にこだわる理由がわからない。。。
 予備調査や本調査という用語は少なくとも監査基準で使うのはやめなければならないと私は思っています。。。
 

Posted by: 丸山満彦 | 2010.01.18 20:13

丸山満彦様、よく私の記事を見つけられましたね。ここ1年ほどホームページの更新がほとんど出来ていないので、チェックしてもらっているとは思いもよりませんでした。ただ、丸山さんには個別に報告させてもらってご意見をお聞きしたかったので、ここでご意見が聞けてうれしく思っています。

まず、お断りしておかなければいけないのは、このシステム監査は、藤野個人がしたものではありません。日本システム監査人協会の近畿支部でシステム監査サービスのチームが実施したものです。協会が行うシステム監査の啓蒙研修活動として行いましたので、ビジネスとして有償で実施されているシステム監査ではやりにくい保証意見を表明するシステム監査というものを純粋に追求してみました。個人的には、そんなシステム監査が出来そうだという感触を得ました。
どのような監査手続を実施しどのように意見表明につなげていったのかについては、(多分)3月19日の協会近畿支部の定例研究会で監査チームのメンバーから報告出来ると思います。

実は、昨日、法政大学経営大学院の石島教授の講座で、このシステム監査サービスを受けたi社の雑賀さんと、それを実施した監査チームの一員である私で、そのシステム監査の内容や成果や反省点について報告をしてきました。システム監査を研究している院生の皆さんに格好の研究材料を提供できたのではないかと思っています。

「助言型監査なんてない」「予備調査や本調査という用語にこだわる理由がわからない」なんていう丸山節を聞くと、喉につかえていたものがコロッと取れて爽快な気分になります。つまらないことをごりごり議論している恥ずかしさを感じます。ありがとうございました。

Posted by: 藤野正純 | 2010.01.20 00:58

藤野先生、コメントありがとうございます。
「(多分)3月19日の協会近畿支部の定例研究会で監査チームのメンバーから報告出来ると思います。」金曜日ですよね。。。うーん。3月19日は予定がはいっているなぁ。。。残念。。。

 あと、システム監査は
・若者を増やす
・女性を増やす
 というのが重要だと思います!!!

 要は「多様性」が重要かと。。。


 

Posted by: 丸山満彦 | 2010.01.20 09:48

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 保証型システム監査 (藤野先生):

« 大震災から15年 | Main | ASP・SaaS安全・信頼性に係る情報開示認定制度 (マルチメディア振興センター) »