システム監査(17) 最後に
これまで述べた通り、システム監査は、監査計画を立て、監査手続きに基づき監査証拠を集めて監査調書を作成し、それを分析して問題があれば改善提案を作成し、監査報告書を提出します。
実はこのプロセスは、会社のシステムを把握・分析するための、一般的な手順なのです。
例えば、ある会社からシステムアセスメントを求められた場合は、分析計画を作成し、システム構成図や業務プロセス図、ドキュメンツなどを収集し、課題などの目星をつけた後、関係者への聞き取り調査を行います。
企業買収などの際に、対象会社のシステムが稼働しないと大きな損害を被りかねないので、事前調査(IT Due Diligence)を行いますが、その際も同様です。もちろんこの場合は改善提案などを行わないわけですが、問題が大きい場合は買収後にシステムリプレースなどの改善対応が必要かもしれません。
IT Due Diligenceの際に使用するチェックリスト(質問票)、リスク評価シートなどは、システム監査で使用するものとほぼ同様です。
思い込みや感情的な判断ではなく、具体的な証拠を元に客観的な判断を行うという姿勢は、システム監査を行うことで養われるスキルだと思います。