代替案のあるシステム監査
監査というとあれもダメ、これもダメ、というイメージですが代替案を出す事が重要だと思います。
先日オルタナティブブログのブロガーの皆さんとお話をする機会がありました。そんな中で「監査」の話になりました。何名かの方を中心に「監査のような後ろ向きな仕事にはおもしろみを感じない」ですとか、単刀直入に「嫌い」という意見が聞かれました。
監査と言っても大きく2つの分野があります。コントロールを作成することと、コントロールの遵守状況の確認です。前者は会社をコントロールするための規則を作る作業ですので、目に見える成果物をたくさん作っていくことになります。そして後者が普通に目にする監査の仕事になります。
私もまだ勉強中なのですが、法律に基づいて裁判が行われるのと同様に、監査とは社内に存在するコントロール(規約や手続)に基づいて業務が実施されているかどうかを見ることと言えます。何も監査人の好き勝手に気に入らないやり方に文句をつけているわけではありません。建前としては、誰が監査をしても監査の結果は同じになるはずです。
この後者の監査においては、コントロールを逸脱したところを指摘して修正していくことが主な仕事になります。コントロールを逸脱した事を証明するものとして監査証拠を集め、その証拠同志をつないでいくことで一連の業務がどのように行われたかを浮き彫りにします。
このようにして行われる指摘は、このような逸脱行為があるとどれくらいのリスクがあるのでこのように改めなさいという報告となるようです。この改善案が「このやり方をすぐにやめること」となるとどうしても後ろ向きの感がぬぐえません。どうにかして代替案を提供できないものでしょうか。
私の身近なところでシステム監査に限った話に例えてみますと、例えば本番データをテストに使用するな、という監査があったとします。監査人に「やるな」と言われると「これまでは普通にやってたのに」という不平が発生してしまいがちです。特にプロジェクトが独立採算の場合、テストデータの作成に費用がかかって利益が減少します。しかしながらこういった類の値上げ要求についてはお客様の了承をなかなかもらいづらいという傾向もあります。
となると大変後ろ向きな感じがします。こういった事例に関しては、(監査人は自ら提案を行わないとしても)監査人に帯同した社内の調整担当の部署が「では全社的に汎用テストデータ作成ツールを作成しましょう」というように提案できると被監査部門が受け入れやすい監査となるのではないでしょうか。
テストデータ以外にも、お客様へのメール送信を紙に印字して事前に内容承認をもらった上でファイリングするですとか、サーバ室への入室には必ず帯同者をつけるですとか、普段の業務遂行に差し障りのでるような指摘事項があがってくることがあります。(今私が勝手に考えた例です)
そういった事例についても、「メールアーカイブサーバを導入して、後からログによる追跡を実現する事で内容承認を省きましょう」ですとか「サーバ室への入室キーをIDタグに変えることでみだりに関係のない区画に立ち入った場合には監視室にアラートが入るようにして帯同をなくしましょう」といった代替案を出せるように思います。(これも一瞬の思い付きですので実現性は不明です)
被監査部門には「ダメ」だけを通達して「あとは現場の創意工夫で」というのは監査部門にとっては最も楽な方法となります。しかしながら情報共有の手立てを整えておかなければせっかく創意工夫がうまくいったとしてもそのノウハウが離散してしまって全社的な最適とならないかもしれません。また、創意工夫の部分を専門で引き受ける部署があってもよいと思います。
教科書を読んでみると「監査部門は監査結果を蓄積していくなかで『これはどうもコントロールがおかしい』ということになったら制度や手続の改善を経営者に申し出ましょう」というような記述もあるのですが、あまり頻繁に行われていることではないようです。代替案つきの監査の可能性について、世の中の動きを見ていきたいところです。