3-1 指摘事項の記載
概要
システム監査を実施した結果は,監査報告書にまとめて,トップマネジメントに報告する。システム監査の結果,判明した問題点を指摘事項として記載する。指摘事項は,発見事項(現象)の内容,それを問題とするに至った根拠,問題を生じさせている根本原因,それが及ぼしている影響,他の指摘事項との関連性について記載する。なお,指摘事項が複数ある場合は,経営課題,監査目的との適合性,改善の緊急性,潜在的な問題の顕在化の可能性などの観点から,重要度を判断して,重要度の高いものから記述する。
- 引用元
- 情報処理推進機構 「システム監査技術者試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.6.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014b0-att/syllabus_au_ver6_1.pdf
【システム監査における指摘事項の記載について】
システム監査を実施した結果判明した問題点は、「指摘事項」として監査報告書にまとめ、トップマネジメントに報告します。
指摘事項は単なる問題の列挙ではなく、問題の本質や影響を正確に伝えるために、一定の構成に沿って詳細に記載することが求められます。
1. 【指摘事項に記載すべき内容】
| 要素 | 内容 |
|---|---|
| 発見事項(現象)の内容 | 監査により具体的に発見された事実(何が、どのように起こっているか) |
| 問題とするに至った根拠 | なぜそれが問題と判断されたのか(規程違反、リスク増大、ガイドライン未遵守などの理由) |
| 根本原因 | なぜその問題が起きたのか(運用ルールの欠落、教育不足、技術的制約など) |
| 及ぼしている影響 | 問題が現在もしくは将来にわたって引き起こす可能性のある影響(業務停止リスク、法令違反リスク、コスト増加など) |
| 他の指摘事項との関連性 | 他の指摘事項と関係している場合は、その関連性(共通する原因、連鎖的影響など) |
2. 【指摘事項の優先順位付け】
指摘事項が複数ある場合は、次の観点で重要度を判断し、重要なものから記載します。
- 経営課題との関連性
- 企業の経営戦略や重大なリスクに直接関わるかどうか。
- 監査目的との適合性
- 今回の監査で特に重視した目的(例:情報セキュリティ確保、業務効率向上など)に関連するかどうか。
- 改善の緊急性
- すぐに対応しなければならない問題か、あるいは中長期で対応可能な問題か。
- 潜在的な問題の顕在化の可能性
- 今は問題が顕在化していないが、放置すると重大なリスクに発展する可能性が高いか。
これらを考慮し、重大かつ緊急性の高い指摘事項から順に記載することで、トップマネジメントが適切な優先順位で対応を判断できるようにします。
3. 【指摘事項記載時のポイント】
-
客観的な事実に基づいて記載する
→ 主観的な表現や憶測は避け、事実に基づいた記述を心がける。 -
明確・簡潔に記載する
→ 何が問題なのかを一読して理解できるように、簡潔に整理する。 -
改善提案に直結できるような記述にする
→ 問題の本質を的確に捉え、後続の改善提案とスムーズに繋がるように記載する。
【まとめ】
- システム監査で判明した問題点は、発見事項・根拠・根本原因・影響・関連性を明確に整理して「指摘事項」として記載する。
- 指摘事項は重要度に基づき、重大なものから順に記載する。
- 客観性・簡潔性・改善への繋がりを意識して記載する。
