(新)目指せ、システム監査人!!(4)
今まで、システム監査人のよい面ばかりを話してきました。
システム監査人は、監査の名目でちょっと現場に来て指摘だけを残し、自分はうまい汁を吸っている……と思われているかもしれません。
そこで今回は、失敗談をお話ししたいと思います。
私自身は、システム監査を終えると身を削った感じがします。また、「仕事を終えた達成感と」ともに「ヘトヘト感」もありまます。
A社の監査を終えて帰社する途中、監査報告会に参加していなかったA社の社長から電話がありました。
「あなたの監査報告書には事実誤認がある。最新の資料でないため、正確な状況が反映されていない面がある」
といった内容でした。
私は頭が真っ白になると同時にカナヅチで殴られた感じでしたが、次のように返事をしました。
「まず、状況を把握させてください。できるだけ早くに伺います。ご都合はいかがでしょうか。事実誤認があるのであれば、やり直させていただければと思います」
結果としては、A社の資料開示が十分でなかったこともあり、全面的なやり直しにはなりませんでしたが、監査報告書を改訂して2回目の監査報告会を実施することとなりました。
また、情報システムを中心とする個人情報保護の監査を実施して監査報告会を終えたとき、該当組織の常務からお手紙を頂戴したことがありました。その手紙には、
「監査報告書に記載された指摘事項は、次のように修正してほしい。本報告書を審査員が見ると、プライバシーマークやセキュリティ認証が到底得られない状況となる」
として、赤ペンで添削された報告書が同封されておりました。
この指摘事項は、依頼者に請求書を送付する時点で正直どうしたものかと思いましたが、指摘事項の内容を変えることは監査人の職業倫理からできません。ですが、同じ内容について、表現を変えて報告することは可能なので、表現を柔らかくする一方、
「この監査報告でプライバシーマークを取得できないことはありません。もし、現在、指摘事項のような現状であっても、是正措置を講じて改善していくので大丈夫です。万が一、認証が得られない状況になったら私が審査員に話をします」
と回答しました。
結果は無事に審査員に納得してもらえ、プライバシーマークも取得できました。失敗談、ほんの一部ですが、よい話ばかりではない状況を理解いただけましたでしょうか。
こうした失敗談をシステム監査研修で聞きたいという方も多いです。
(新)目指せ、システム監査人!!(4)終わり。