6月 29日
今週、あるシステムの内部監査でした。
会社で運用しているシステム(しくみ)がいくつか
あるんですが、その中の一つの内部監査でした。
情報管理に関するシステムなんですよね。
PDCAでうまくまわっているか? を監査でした。
今回はアタイが監査リーダー(そんなにカッコイイ
わけではないんです。メンバーの中で順番にリーダー
となります)でした。
事前に書類を点検して、監査時に「セキュリティに
ついてこれこれこういうことをするように規定されて
いますが、それは実際にはどのように運用されていま
すか?」「では、それが運用されている証跡はどう
なっていますか?」
てなことを被監査側(監査される側)に質問して
いきます。
これがまたイヤらしいんですよね。まともな質問は
しませんからね。
直接的な表現は使わないんですよ。「これこれを
やっていますか。」とか「これらの実施記録はありま
すか。」
なんていう聞き方をしてはいけません。
「これこれについてはどんなことをしていますか。」
「これはどうやってやることになっていますか。」
とにかくYES NO で答えられる聞き方をしては
いけないんですよ。
内部なので、それなりに緩く監査するんですが、それ
でも不備を見つけたら見逃してはいけません。
今回、3チームで3ヶ所の監査でした。
その3チームが監査した内容を最終的に取りまとめ
たり、監査した結果に指摘事項があったときには
是正を求める書類を作ったりするのがリーダーの役割
です。
んで、一番軽い指摘が2件という結果でした。
指摘が無いのが一番なんですが、毎回何度も監査して、
1件も無い。ヨカッタよかった。っていうのは日本人の考え。
こういうシステムは欧米で作られているので、監査も
欧米式ですよ。
それはね。指摘や不具合は発見し、それを改善して
いく。それがシステム全体を良くしていくことになる。
ってね。”ミスはするもの、誤りはあるもの。”だよね。
ってことで、2件。それも軽い指摘でしたから、まぁ
まぁの結果でした。
つうことで、指摘されたことに対する措置(対策)を
検討・実施しなければなりません。
まもなく外部監査もありますからね。(これは厳しい
ですよ。監査機関が2日間にわたって監査ですよ)
今週、あるシステムの内部監査でした。
会社で運用しているシステム(しくみ)がいくつか
あるんですが、その中の一つの内部監査でした。
情報管理に関するシステムなんですよね。
PDCAでうまくまわっているか? を監査でした。
今回はアタイが監査リーダー(そんなにカッコイイ
わけではないんです。メンバーの中で順番にリーダー
となります)でした。
事前に書類を点検して、監査時に「セキュリティに
ついてこれこれこういうことをするように規定されて
いますが、それは実際にはどのように運用されていま
すか?」「では、それが運用されている証跡はどう
なっていますか?」
てなことを被監査側(監査される側)に質問して
いきます。
これがまたイヤらしいんですよね。まともな質問は
しませんからね。
直接的な表現は使わないんですよ。「これこれを
やっていますか。」とか「これらの実施記録はありま
すか。」
なんていう聞き方をしてはいけません。
「これこれについてはどんなことをしていますか。」
「これはどうやってやることになっていますか。」
とにかくYES NO で答えられる聞き方をしては
いけないんですよ。
内部なので、それなりに緩く監査するんですが、それ
でも不備を見つけたら見逃してはいけません。
今回、3チームで3ヶ所の監査でした。
その3チームが監査した内容を最終的に取りまとめ
たり、監査した結果に指摘事項があったときには
是正を求める書類を作ったりするのがリーダーの役割
です。
んで、一番軽い指摘が2件という結果でした。
指摘が無いのが一番なんですが、毎回何度も監査して、
1件も無い。ヨカッタよかった。っていうのは日本人の考え。
こういうシステムは欧米で作られているので、監査も
欧米式ですよ。
それはね。指摘や不具合は発見し、それを改善して
いく。それがシステム全体を良くしていくことになる。
ってね。”ミスはするもの、誤りはあるもの。”だよね。
ってことで、2件。それも軽い指摘でしたから、まぁ
まぁの結果でした。
つうことで、指摘されたことに対する措置(対策)を
検討・実施しなければなりません。
まもなく外部監査もありますからね。(これは厳しい
ですよ。監査機関が2日間にわたって監査ですよ)
