システム監査(16) 基準12 改善提案のフォローアップ
【システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない】
システム監査人の仕事は、監査報告書を提出して終わり、ではありません。監査報告書に指摘事項や改善提案を記載した場合は、それが適切に解決され、改善されているかを、事後的に確認するべきです。これがフォローアップです。
システム監査人自らが、改善実施することを求められているわけではありません。システム監査人の独立性の観点から、あくまでシステム責任者が改善施策を実施しているかを、確認するのがシステム監査人の立場です。
システム監査人は、改善施策の実施状況について、監査対象部門から一定期間以内に報告を求めるなどの方法で、モニタリングを実施します。改善施策を実施せず、リスクを受容することもあり得ます。フォローアップのために現場が疲弊しては本末転倒ですので、状況に応じて弾力的に実施することが望ましいです。
フォローアップの結果、さらなる改善が必要であれば、追加で改善提案を行うこともあります。また改善が実施されない場合、リスクが許容範囲を超えることもあります。リスクを明確にして、経営に報告することも必要かもしれません。
フォローアップの結果は、フォローアップ報告書を作成し、システム監査の依頼者である経営陣に報告し、写しを監査対象部門に回付します。