3-2 改善提案の記載
概要
監査報告書には,指摘事項を改善するために必要な事項を改善提案として記載する。改善提案は,改善の重要性及び緊急性を判断して,緊急改善と通常改善に分けて記述する。システムに重大な欠陥が生じており,そのまま放置できないと判断される事項を緊急改善として記述する。重大な欠陥ではないがシステムの改善が図れると判断される事項を通常改善として記述する。改善提案には,改善内容,改善実施部門,他の改善提案との整合性などを盛り込む。なお,一つの指摘事項に対して複数の改善事項がある場合は,経営課題の優先順位に応じて記載する。また,改善内容は,可能な限り具体的,詳細なものとするよう努める。さらに,改善実施部門との意見交換を行い,改善策の実現可能性についても確認する。改善提案は,技術レベルの問題だけではなく,トップマネジメント,情報システムのガバナンス,マネジメント及びコントロール,並びにビジネスプロセスの視点から判断して行うようにする。
- 引用元
- 情報処理推進機構 「システム監査技術者試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.6.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014b0-att/syllabus_au_ver6_1.pdf
【システム監査における改善提案の記載について】
システム監査では、指摘事項に対して単に問題を指摘するだけでなく、「どう改善すればよいか」を示すために、改善提案を監査報告書に記載します。
改善提案は、現場が実際に改善行動へと移せるよう、具体的かつ実現可能な内容で記載することが求められます。
1. 【改善提案の分類:緊急改善と通常改善】
改善提案は、重要性と緊急性に応じて、次の2種類に分けて記載します。
| 分類 | 内容 |
|---|---|
| 緊急改善 | システムに重大な欠陥があり、放置すると重大な障害・損害が生じるリスクが高いもの。直ちに改善が必要。 |
| 通常改善 | 重大な欠陥ではないが、システムの運用・管理をより良くするために行う改善。 |
※ 緊急改善は、トップマネジメントにも強く訴え、早期の意思決定と着手を促すべき対象です。
2. 【改善提案に記載すべき内容】
改善提案には、次のポイントを具体的に記載します。
| 要素 | 内容 |
|---|---|
| 改善内容 | どのような改善を実施すべきか(例:アクセス権管理の再設定、バックアップ体制の強化など) |
| 改善実施部門 | どの部門が改善作業を担当するか(例:情報システム部、内部監査部、業務部門など) |
| 他の改善提案との整合性 | 他の改善提案と矛盾がないか、または補完関係にあるか |
3. 【改善提案記載時の留意点】
-
指摘事項ごとに複数の改善案が出る場合は、経営課題の優先順位を考慮して記載する
- 重要な課題に直結する改善提案を優先的に記載し、必要に応じて選択肢として複数案を提示します。
-
改善内容はできるだけ具体的・詳細に記載する
- 「システムのセキュリティを強化する」だけでは不十分で、「認証方式を二要素認証に変更する」など、具体策を記載します。
-
改善実施部門との意見交換を行い、実現可能性を確認する
- 机上の空論ではなく、実際に実施できる改善策とするため、事前に対象部門と意見交換を行います。
-
技術面だけでなく、ガバナンス・マネジメント・業務プロセスの観点からも判断する
- 単なる技術的な修正にとどまらず、組織運営や業務手順全体を見渡して提案を行います。
【まとめ】
- 改善提案は、重要性・緊急性に応じて「緊急改善」と「通常改善」に分類して記載する。
- 改善内容、改善実施部門、他の改善提案との整合性を明確に記載する。
- 具体的・詳細な内容とし、関係部門との調整を行い実現可能性を担保する。
- 技術だけでなく、組織・ガバナンス・業務プロセスも考慮する。
