株式会社A&Aゲートウェイ > 企業価値向上のヒント

シリーズ システム監査(3):プロセスアプローチ手法によるシステム監査

監査の手法

 組織の活動は、ルールだけで廻っている訳ではありません。文化や組織風土といったルールでは語れない様々な力によって、優れた商品やサービスが提供されています。逆も然りで、プロセスに何らかの瑕疵があるとアウトプットで問題が発生します。
 今回は、アウトプットにおける問題を最小化する手法としてのプロセスアプローチ監査についてご説明します。

プロセスアプローチ監査とは

 監査には、チェックリストに基づき点検する一般的な型の他に、プロセスアプローチ等の手法があります。
表 プロセスアプローチ監査の特徴
一般的な監査
プロセスアプローチ監査
目的 規程等(ルール)との適合性維持 問題発生の最小化
有効性向上
重点 ルール違反の検出 リスク要因の検出
監査のアプローチ 項目別アプローチ プロセスアプローチ
 プロセスは、「インプットを用いて意図した結果(アウトプット)を生み出すための相互に関連する活動」(ISO9000より)のことです。目的のアウトプットを得るためには様々な要因が関係してきます。また、アウトプットは次のプロセスのインプットになることがあります。次の図はプロセスとアウトプットに影響を与える要因との関係を図式化しています。


図 アウトプットに影響を与える要因

 システム監査は、プロセスに含まれているリスク要因を特定し、問題の発生を最小化する活動だということもできます。このプロセスに着目して行う監査のことをプロセスアプローチ型の監査といいます。

リスク要因の洗い出しについて

 リスク要因の検出方法には、業務の流れに沿ってリスクを検出する方法と、アウトプットで想定される問題からリスクがどこにあるのかを検出する方法の二通りのやり方があります。
 次図の「リスク要因洗い出しシート」は、リスクをイメージしやすくするためのお助けツールです。



 システム概要図や業務フロー等を参考に、これまでの経験を基に、思いつく限りのリスクをリストアップしてみましょう。過去のインシデント報告書やヒヤリハット事例(自社、他社を問いません)等が用意できると、よりイメージしやすくなります。
 経験の異なるメンバーが集まって、白板を使ってワイガヤ方式で書き込んでいくことも有効です。ファシリテーターが、「責任・権限の観点からみて、何か思いつくことはないか?」と問いかけてみたり、次のようなヒントを提供することで、新たなリスク要因に気付くことがあるかもしれません。
  ・経営方針および戦略目標の実現に貢献しているか?
  ・安全性、有効性、効率性に係る組織の目的は実現しているか?
  ・報告する情報の信頼性を保つことは確保されているか?
  ・関連法令、契約または内部規程等には確実に準拠しているか?

実地監査(本調査)

 リスクの洗い出し完了後は、影響度と発生の可能性から重要リスクを絞り込みます。この作業をリスクアセスメントといいます。必ずしも定量化する必要はありません。
 絞り込んだリスクは、実地監査(本調査)でドキュメントレビュー、現地での観察、対象部門へのインタビュー等を通じて適切な対策が講じられているか確認をします。
 改善を要する重要事項が見つかれば報告書にまとめます。

 以上、プロセスアプローチ監査の概要についてご紹介しました。はじめてシステム監査を行う場合は、前回ご紹介したチェックリストを併用しながら実施するとよいでしょう。

コラム 企業文化に対する監査
 内部監査の高度化の一環として、企業文化に対する監査の重要性が高まっていると言われています。企業文化に起因するシステム障害は、ルールの遵守状況を点検するだけで検出することは難しいかもしれません。
 ユーザーファーストを経営の一丁目一番地に掲げながら、コンタクトセンターやサービスデスクに入ってくる顧客からの重要情報が担当部署への連絡だけにとどまり、経営陣に適時・適切に上がっていないのではと思うことがよくあります。
 最近明らかになったキャッシュレス決済サービスへの不正送金事件では、ゆうちょ銀行の社長が「会社全体のリスク感度が低かった」と反省の弁を述べていました。具体的にリスク感度が何に対してのものかは定かでありませんが、対応が遅いと各方面から指摘されていることを考えると、根本原因に企業文化が関連しているであろうことは想像に難くありません。
 今回の事件を他山の石として、あらためて企業文化や組織風土からみたリスクへの対応状況を点検することが重要だと感じます。

次のステップに向けて

 システム管理のレベルが上がれば、それに合わせてシステム監査の品質も上げていく必要があります。
 監査の品質を上げるには、業務知識やIT知識の他に、さまざまなフレームワークやガイドラインへの理解をも深め、監査の力量を向上させる必要があります。監査人のネットワークを広げることも有効です。監査の力量が向上すれば、経営に貢献できる範囲も広がります。

 ここまで、初めてシステム監査に取り組む企業を対象に記事を書いてきました。シリーズ4では2年目、3年目にどのような観点で監査をステップアップしていけばよいのか、もう少し考えを整理して続きを書きたいと考えています。


2020-10-26