内部監査について学んでいる。あまりに土地勘がないので手始めに2010年出版の本書を手にとった。
内部監査は、このPDCAサイクルの確立と運用を確認(監査)する
p. 18
内部監査自体は非常に広範な考え方であるが、私の場合は共通フレーム2013における
- 4.6 監査プロセス
- 6.8 「システム監査」プロセス
と対応付けて理解するのが良いように思われる。
監査はソフトウェアエンジニアリングにおけるレビュー(インスペクション)の一種であると考えられる。他に、監査はSRE戦略におけるMonitoring & Alertingの一種であるとも考えられる。
共通フレーム2013は「システム監査基準」「システム管理基準」を参考にしている。なお、これらは2019年に改定されている。
「システム監査基準」及び「システム管理基準」の改訂について(METI/経済産業省)
本番環境の作業ログみたいな話は「システム管理基準」が参考になる。
従来型の内部監査は、企業の方針やルールどおりに業務が行われているかを書類などに基づき確認する作業(準拠性テスト)が中心に行われていました。
p. 20
なるほど。この意味において監査はソフトウェアエンジニアリングにおけるテスト(Validation)の一種であったと考えられる。2010年当時における「これからの内部監査」は、テスト(Verification)を拡大していくことだった。
内部監査人は監査のために社内の規定を熟知している必要がある!
内部監査は経営陣のために行われます。至極当然のことなのですが、非常に重要なことです。
p. 32
なるほど。経営管理の最適化のために、経営陣の期待するMonitoring & Alertingをすると考えておこう。
内部監査は、経営陣直属の部門になりますので、聖域はありません。
p. 34
あー、なるほど。
内部監査には、保証機能と助言機能の2つがある
p 38
なるほど。矛盾するようだが、独立性が高いほど助言は難しいだろうな。
情報システムの内部監査の重要性
この本では何度も、内部監査は経営者の能力の限界を補うことを通じて、経営管理の最適化に役立っているという話をしてきました。とすると、この分野は、内部監査の機能を発揮すべき大事な分野の1つになります。
p. 134
だいぶ全体像が見えてきた感じがする。つまり、内部監査のなかでも情報システムの内部監査は一般に重要であるということだ。
次は「システム管理基準」を読んでみる。