経営層の皆様は皆様の組織で実施された監査報告書の内容をしっかりと確認されていますか?
約10年ほど前から、特に重要視されているのが表明された「改善提言」の内容と言われており、改善提言が経営層同様の「視点」に基づいて記述されていることが求められるようになっています。
実際には「監査報告書には問題点が指摘されているだけ。」「改善提言は記述されているものの、その視点が担当者レベルである。」といった報告書が散見されるようです。
皆様の組織の監査報告書はいかがでしょう?
改善提言が経営層同様の「視点」に基づいて記述されていますか?
もしも適切な改善提言がされていない場合、その原因が何か把握されていますか?
意外な例としては、監査員のスキルレベルそのものに問題がある場合、監査責任者や監査リーダー・メンバーが監査報告書に求められるレベルを把握・理解できていない場合もあるようですので、今一度、原因を把握されてはいかがでしょう?
参考として平成 17 年 3 月に特定非営利活動法人 日本セキュリティ監査協会が取りまとめた「情報セキュリティ監査制度利用促進等事業 実施報告書 第1編 技術部会」の18ページに「助言型監査」が定義されていますので引用しておきます。
助言型監査とは、対象事象についての客観的な規準が存在することを前提として、入手した十分かつ適切な証拠に基づきその基準への準拠性について対象事象を評価又は測定し、対象事象と規準とのギャップを検出し、独立の第三者として検出事項及び参考意見として改善提言を行うことをいう。
情報セキュリティ監査における助言型監査とは、情報セキュリティのマネジメント又はコントロールの改善を目的として、監査対象の情報セキュリティ対策上の欠陥及び懸念事項等の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を監査意見として表明する形態の監査をいう。