目指せシステム監査人!!(9)
目指せ!! システム監査人(9)
本業のシステム監査で忙しく、1カ月以上も空いてしましました。本日はシステム監査導入についてお話させていただきたく思います。
最近、企業の内部監査室の方がシステム監査を体系的に習得したいと、弊社システム監査研修・セミナーを受講される方が少しずつ増えています。
「わが社もシステム監査を導入したい」という取り組みです。
ここ2年ほど、複数の企業でシステム監査導入のお手伝いをした経験を踏まえ、まず、わたしは「わが社のシステム監査」を定義することをお勧めしています。
- 何のためにシステム監査を実施するのか
- システム監査を実施して会社としてどうなりたいのか
- なぜ、情報セキュリティ監査ではなく、システム監査なのか
といった具合です。
本気でシステム監査に取り組んでいただくために、組織として継続的にシステム監査を実施していくために「わが社のシステム監査」の理念を明確にしておく必要があるからです。
システム監査導入のポリシーとも言えるもので、問題が発生した時、立ち返る原点ともいえるものです。徹底的にデスカッションしてもらうのです。デスカッションの結果は「1行程度の文章」に昇華させ、凝縮表現します。
それは、監査チームが監査の必要性を他部署に説明する時にも有効です。
次のステップは「システム監査中期計画」を策定しますが、3年を見据えて何が必要かを検討します。
以下のようなポイントについて検討します。
- システム監査人育成
- 対象となる情報システムの洗い出し
- どのシステムから監査するかの優先順位付けとスケジュール化
- 被監査部門へのアナウンスと準備事項
- システム監査規程策定、他の監査との関係整理
- システム監査実施マニュアルの作成
中期計画には、先ほどの述べた「わが社のシステム監査」を先頭として
- システム監査チームとしての実施事項
- 被監査部門としての実施事項
を分けて記載します。
システム監査チームとしては、システム監査人育成も重要なテーマですし、何から着手するか、対象情報システムを何にするのか。も重要です。また、しっかりとした監査体制をつくりあげるためにもシステム監査規程の作成も重要です。
システム監査を組織的に継続的に実施していくために、システム監査中期計画は欠かせません。システム監査への一時の熱で済まされないように経営者の了解を取ることも重要です。
システム監査人としての活躍の場を築くために、こうした取り組みは必要ですし、大いに望みがもてます。
システム監査の導入、いかがでしょうか。