システム監査(5) 基準1 システム監査人の権限と責任等の明確化
【システム監査の実施に際しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、文書化された規程等または契約書等により明確に定められていなければならない。】
監査は、ややもすると面倒くさいもの、迷惑なものと思われがちで、現場の方からは敬遠されたりします。しかし、適切な監査を行うためには、現場の協力は不可避です。現状を正しく把握しなければ、リスクを評価することができないし、それに対するコントロールが適正であるかも判断することができません。
そのためには、システム監査人の要請に対して情報を提供し、逆に不必要な要請に対しては断ることができるよう、システム監査人の責任と権限を明確化する必要があります。さらには、そもそもシステム監査を何のために行うのか、何が対象になるのか、関係者が同じ認識をする必要があるのです。
そのためには、文書などで明確化することが肝要です。社内のシステム監査であれば規程になりますし、社外のシステム監査人に委託する場合は、契約書などを作成することになります。
基準1に記載されているのは、これらの事項の文書化が、監査業務のスタート地点となるからです。目的・範囲・権限などを文書化するのは、システム監査に限ったことではなく、システム開発・保守運用など、全てに共通する事項であり、今更強調するべきことではないのかもしれませんが、つい疎かにしがちです。基本的なことですので、確認したい事項です。