見出し画像

監査には必ず引っかかれ!〜情シス目線のプロジェクトマネージメントTips#59

keita

世の中にプロジェクトマネジメントに関するコンテンツは非常にたくさんあるのですが、よく見てみるとどうしてもSIer目線のものが多いように思えます。SIer目線の場合だと、どうしても利害が一致しないせいか事業会社というか情報システム部門目線から見るとピンとこないものも多く、ちょっと腹落ちしないことが多くあります。
というわけで無いなら作ろうということで「情シス目線のプロジェクトマネジメント」なるものを書いてみようかと思い不定期だとは思いますがシリーズ的に書いていこうと思います。

今回はプロジェクト中というよりもその後に必ずと行っていいほど遭遇することになる監査に関する話です。

情報システムには監査がつきもの

情報システムには監査はつきものです。プロジェクト終盤にやってくるセキュリティ監査なんかもありますが、システムが稼働したあとにもISMSの監査やJSOXや個人情報の監査、そして会計に係る監査であれば会計監査や社内の監査役による監査など、情報システムとそれを管理する情シスは監査から逃れることはできません。

もちろん、こういった監査の数々はそれぞれ必要なものでありますし、仕方がないイベントと言うよりも、第三者による網羅的な指摘を受け止め、今後のより適切で安全なシステム運用、業務運用につなげていくもの、そして信頼を勝ち取るためのものなのです。

監査対策を完璧にしたがる組織の風土

その監査対策というと、かなり大変な思いをしている上司雨も多いと思います。ものすごい手間と時間をかけて手順書などのシステムに関するドキュメントやEXCELにある記録類、システムデータをチェックし、事前にヌケモレをゼロにしようと残業までして対応しているという話はよく聞くことがあります。特に承認の記録とデータの更新履歴なんかを突き合わせるという地獄の作業に時間を費やしたりしている諸兄も多いでしょう。

その背景は「監査で指摘されるのは部門の恥」という考え方・・・というか強迫観念です。指摘ゼロを組織の目標なんかにしちゃっている場合もあるくらい監査での指摘を恐れているのです。

しかし、本当に監査指摘はゼロのほうがいいのでしょうか?

監査なんだから、逆にバンバン指摘してもらったほうがいいんじゃないかと考えてみたらどうでしょう。

ココから監査対策をバッチリ行うことの弊害を3つ挙げてみます。

弊害その1:何も生産しない工数

弊害その1はこれらの作業が時間もかかり、神経をすり減らす割には企業の利益になにも寄与していないことです。

少なくともお客様になにか価値を与えたり、顧客体験を向上させたりすることもないし、コスト削減や利益拡大、ビジネス拡大に直接寄与することは全くありません。

つまりは監査対策に関わる一連の作業は「無価値」な作業ということです。

もちろんドキュメント作成や更新、承認をしっかり行うことには意味のあることであると思いますが、あとから確認する行為はまったく価値を生み出してはいないのです。

弊害その2:怒られないことのマイナス

もう一つは「怒られないこと」によるマイナスです。監査直前にドキュメントやデータをチェックして治すという行為は、いわば、子どもの夏休みの宿題を親がやってあげるようなものです。それが子どものために全くならないというのは常識のある大人なら誰もが理解できることです。それなのに監査対策となるとやってしまうのが「直してあげちゃうこと」なのです。

日常やるべきことをやっていないのですから、監査員に「やっていませんね」と注意されて反省するべきなのです。それを監査前になんとかしてあげちゃうからいつまで経っても、悪い癖が治らないのです。

弊害その3:やりすぎる事の損失

そして弊害の3つめは最も深刻な問題「やりすぎる事」です。会計処理もセキュリティもビジネス的なバランスのうえに決まるものです。必要以上に対策を実施する事はそれぞれの観点では好ましいものなのかも知れませんが、ビジネス的な観点・・・・つまりは投資対効果の視点で考えるとずいぶんもったいないことなのです。

下の図は監査対象の実施レベルと要求レベルの関係を表したイメージです。監査とは要求レベルに対し実施レベルが達していないところを指摘するものです。実施レベルが要求レベルを上回っている部分は場合によっては「やりすぎ」となってしまいます。

実施レベルと要求レベル

これを監査で指摘されないようにするということは、全般において実施レベルを上げるしかありません。
監査というものはたいてい「〇〇は△△以上でなければならない」みたいに加減が明確になっているものはありません。「きっとこれくらいは必要」と・・・いわゆる「忖度」をして実施レベルを上げるしかなくなります。

赤線の上の「やりすぎ」のボリュームが一気に増えます。

監査対策をしたときの実施レベル

この「やりすぎ」のたちが悪いのは、この害は弊害1の無駄な工数と違って、このあとずっと続くことになるということです。過剰なルールをいったんきめてしまうと、そのあとずっと過剰な運用を継続しなくてはならなくなるという事です。

そしてこの工数負担をするのは弊害1に関わる管理職やバックヤードのメンバーと違って現場のメンバーなのです。
管理職やバックヤードの自己満足のために現場に負担がかかり、ひいては利用者のサービスや、ひいては顧客満足度を下げてしまうのです。

監査対応はちょっと怒られるくらいがちょうどいい

本来監査というものは「指摘されてなんぼ」というものです。ちゃんとやっていないのであれば無理やり補正するのではなく、素直にやっていないことを指摘されるべきなのです。そもそも補正するのは不正でしかありません。

指摘され、監査員としっかりと話をすることでビジネス的なバランスがとれる実施レベルを導き出すこともできます。現場負担がかかりすぎることなく、必要とされる要求レベルを満たすというのが本来目指すべきことなのです。

怒られるのは嫌ですが、監査はスパーリングだと割り切ってちょっと割り切ることが必要なのかも知れません。


いいなと思ったら応援しよう!

keita
チップもらったらきっとMidjourneyに課金すると思います