筆者は監査人の経験が長いのですが、時々監査を受ける立場になることもあります。そんな時、「監査ってプレッシャーがかかるし不安だな」と感じます。逆の立場になって考えると、「安心感を与えられる監査人になりたい」ですね。 ということで今回は、監査人が被監査部門に「安心感」を与えるにはどうすればよいか考えていました。 1.現状(ステータス)を伝える 被監査部門の方は、追加の質問が受けた際、「現時点で監査はどこまで進んでいるのか?」、「まだ追加の質問があるのか?」、「質問の無い項目は
先日、「新規取引先登録申請書」が各営業所で適切に提出されているかの確認を行いました。それぞれの申請書の記載内容は適切でしたし、管理職の承認も適切に行われており、問題は無いように思えました。 しかし、よく見ると営業所ごとにバージョンのバラツキがありました。ある営業所はVer.1.1、他の営業所はVer1.3…等でした。 この、「フォーマットのバージョンの違い」ですが、意外と監査では見つかることがあります「よくそんなところまで気づきましたね」、「そんな細かい指摘までしなくても」と
監査をしていますと、「ルールが部内に浸透してなかった。そのため、ルール通りに業務が行われなかった」ということはありがちな話です。 指摘しますと、改善案に「ルールを周知徹底」します。という改善案をよく見ます。 一見良さそうな改善案に見えますが、私はこの改善案が出た場合は再考していただくようお願いしています。 この改善案の場合、フォローアップ監査の時に、「周知徹底しました」という回答になることが殆どで、検証のしようがありません。 ですので、「いつ、どのように」周知徹底するのかを
ある会社で、「担当者が商品価格マスタ登録プルーフリストを出力・確認の上押印し、上長(課長)が承認する」という業務がありました。監査で確認したところ、本来1ページであるプルーフリストが2枚提出されました。1枚目のプルーフリストは課長承認印がありましたが2枚目には課長承認印がありませんでした。 担当者に聞いたところ、「押印をもらった後に自分の登録ミスに気付いた。何度も承認印をもらうのは申し訳ないため省略した。」との回答でした。 担当者がちゃんとプルーフリストを再出力してチェックし
監査では、「〇〇による承認がある」ことを確認することがあると思います。監査人としては単に「承認印がある」ことのみ確認するのではなく、なぜ承認印を押印しているかを聞いてみるのがいいかと思います。今まで私が聞いてみて得られた回答はいかのようなものがありました。 ・ルールで押印するように決められているから。 ・よくわからないけど「押印欄」があるから。 ・よくわからないけど「前任者から押印しておくよう」引継ぎがあったから。 ・(部長の私は)課長が押印しているかをチェックしている。 ・
筆者は何度か転職していますが、転職先で部下の作成した監査調書をレビューしてると、「例年通り出来ていることを確認した。」との記述がありました。監査調書は、誰が見てもわかるように書く必要がありますね。その部下曰く「会社に居ればわかる」と… J-SOXなら監査法人に見せますし、監査部門の品質評価で外部のコンサルタントに見せることもありますから、「例年通り」でもきっちりと書く必要があります。 さて、この「例年通り」という表現、監査以外でもよく見かけます。転職者泣かせですね。 「避難訓
システム開発・変更時にテストデータとして、本番環境のデータを用いている会社を見ることがあります。経産省の情報セキュリティ管理基準でも 「14.3.1.1 PII 又はその他の秘密情報を含んだ運用データは、試験目的に用いない。」 とありますので、運用データ(本番環境のデータ)をテスト環境で利用するのは好ましくありません。 社外ベンダー(協力会社)にシステム開発・変更を依頼しており、本番環境データを渡している事例をみたこともあります。 システム担当者に聞くと、 ・会計関連デー
筆者は総務担当をしていた時期があります。会議室の長机を購入することになったのですが、必要台数を購入するには予算がちょっと足りませんでした。そこで、「棚無し」の長机を購入することにしました。これで台数確保です。 導入当初は、「ちょっと不便だなー」という声もありましたけど、無いなら無いで、皆さんすぐになれたようです。 「棚があったら、チョイ置きするでしょう?チョイ置き防止で忘れ物も減り、情報セキュリティ事故防止しているんですよ。」と説明したら、「なるほど」と納得いただけましたし、
ある会社での出来事です。 情報セキュリティ推進のため「クリアデスク」を徹底したところ、帰宅時に「机の上の書類を全て椅子の上に置いて」帰宅する従業員が多数いました。情報セキュリティ担当としては頭の痛いことです。 理由は2つありました。1つ目は、「情報セキュリティ対策なんて面倒。入り口のドアにもセキュリティロックが掛かっている。なんで面倒なことをさせるのだ。机の上をきれいにすればいいのだろ?だったら椅子の上に置いても文句はないだろ?」と、情報セキュリティ推進部門への「反発」や「挑
ISMSを構築する場合、情報資産台帳作成に苦労される会社が多いと思います。まず、勘違いしてはならないのは、情報資産台帳作成が「目的ではない」ということです。要求事項を見てみますと、 A.8.1.1 資産目録 管理策 情報、情報に関連するその他の資産及び情報処理施設を特定しなければならない。また、これらの資産の目録を、作成し、維持しなければならない。 あくまで、情報資産の特定が目的で、「情報資産台帳を作成しなければならない。」と書いているわけではありません。現実的には、情報
コロナ禍の状況で、監査もリモートでの実施が当たり前になってきました。「証跡の信頼性」や「実地調査(往査)ができない」という課題は識者の方々が議論されていると思いますので、ここでは私の困っていることベスト2をお話しします。 ① スキャンし、PDFで送付していただいた証跡の「押印が薄くて名前が読み取れない」 ② 「そちらでスキャンしてください」と大量に送付される証跡がステイプラで留められている。 まず、①についてですが、確かに押印はあるというのはわかるのですが、スキャンすると読
会社の情報セキュリティルールに「文書に『極秘』・『秘密』・『社外秘』」を適切に表示しましょう。というルールを制定している会社は多いと思います。 特にISMSを構築(ISO27001認証取得)している会社は以下の管理策がありますので、必ず実施していると思います。 A.8.2.2 情報のラベル付け 管理策 情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施しなければならない。 ここで、ある会社でのセキュリティ事例を紹介します(ISMS認
被監査部門に監査サンプリングの法則性を知られてはいけないということは、監査の知識が無い方でもご理解いただけると思います。例えば、「今年は2020年。なので、末尾が0となる伝票番号を中心にサンプリングしよう」となると、来年度は末尾「1」、再来年度は末尾「2」…と法則性が見えてしまいます。そうなると、サンプリングにあたりそうな伝票だけはきっちりと体裁を整えておこうということになります。 これと近い話がありました。 ある会社(J-SOX評価対象の会社)に監査で訪問した際、内部監査人
監査実施時に、システム内でのデータの流れを理解したい際に任意の1件の取引を追跡して確認することがあります。基本的には完了した取引データを用いますが、完了済の取引の場合、必要な画面コピー等の監査証跡を取得できない場合があります。可能な場合は事前に各部門に依頼し、予め必要な監査証跡を取得いただくように依頼すべきです。 時々、「テストデータを入れますね。すぐにデータを削除しますので。」としていただくシステム部門の方もいらっしゃいますが、本番環境にテストデータを入力し削除するのはトラ
システムの権限外利用があった場合の、ログを取っているか大丈夫という方がいらっしゃいます。 また、「予防だけでは防げない。事後検出のソリューションも大事」というのも事実ですが、事後検出のソリューションがあるから大丈夫という考えを持った人も一部いらっしゃいます。 例えば、「簡単なパスワードを初回に付与し、初回ログイン時の強制変更をしていない。」という事案に対し、「初期パスワードに推測困難なパスワードを付与し、初回ログイン時に強制変更させるべき」という指摘をした際、「ログを追えばわ
朝一番に事務所に入室しているのが清掃業者の方という会社を時々見かけます。居室入口のカードキーを貸与しているようですが、「実は清掃業者の方のアクセス権限が最も強力でした。」という話もよく聞きます。 秘密保持誓約書を入手しているから大丈夫とよく聞きますが、それでも整理整頓と重要情報の施錠管理は必要です。やはり部外者の方ですので、秘密情報が目に見えないようにすることは非常に重要です。 私はある会社で勤務していた際、清掃業者の方が、「床に落ちていたのですが、ゴミではないという気がし
