システム監査技術者の職業倫理は、経済産業省のシステム監査基準にて次のとおり定義されています。
2.2 精神上の独立性。
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
2.3 職業倫理と誠実性。
システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。
システム監査基準 抜粋
「偏向を排し」「誠実に」とあります。
私は、これらは表向きの話だと思います。あまり真に受けると、実務や試験で間違うと思います。
ということで、今回は私の実務経験や試験問題を踏まえて、これら職業倫理について考えたことをブログします。
あくまで、個人的な意見なので参考程度に読んで下さい。
そもそもシステム監査とは
システム監査は、経済産業省のシステム監査基準に次のとおり定義されています。
組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・ 運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体の IT ガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
システム監査基準 抜粋
リスク、コントロールおよびITガバナンスなど、難しい用語で書かれていますが、簡単にいうと、社員が不正や怠慢をしていないかを確認することです。
そして、その結果をシステム監査人が経営者などのトップマネジメントに報告することです。
被監査部署から見たシステム監査
システム監査の対象に自分の携わったプロジェクトが選ばれた時は、正直面倒です。マーフィーの法則ではありませんが、やばいプロジェクトほど選ばれます。
とはいえ、何度か受けて、システム監査を早く円満に終わらせる要領を知りました。
システム監査人へお土産を用意するということです。お土産とは、軽微な指摘事項と改善勧告です。
システム監査人の立場で考えると、手ぶらで帰るわけにはいかないからです。
そして、言い方が適切でないかもしれませんが、性格が悪そうなシステム監査人ほど、いやなところを指摘してきます。
こちらの態度から勘づくのかもしれませんが。ある意味、システム監査人としての適性があるといえます。
システム監査人の職業倫理で意識すべきこと
前項で性格が悪そうな監査人の話を書きました。
システム監査技術者試験では、システム監査人になりきる必要があります。
その時に次のことを意識するとよいかもしれません。
偏向を持つ
私はあえて偏向を持つのもありかと考えます。
どの企業でも、いい加減に仕事をしている部署や担当者が存在すると思います。
実務では、部署は執務室の状況を見ることで、担当者は態度や話振りでわかります。
午後1問題では、コントロールが本当に守られているかを確認する監査手続を解答する問題があります。
問題に出てくる部署や担当者が、いい加減だと偏向を持って読むと答えが見えてくるかもしれません。
弱味につけこむ
実務において、どうしても手を抜きがちな事があります。
例えば、テストの不具合に伴う設計書の修正などです。カットオーバーまでの期間がない場合など、プログラム修正のみとなりがちです。
当然、納品時に指摘されることもなく、保守フェーズで障害を引き起こします。
経験豊富なシステム監査人は、こういった実務における弱味を熟知しているといえます。
なぜなら、自分の経験から指摘されると困ることをよく知っているからです。
午後2問題では、指摘事項の背景として、この弱味を書くと監査手続の根拠や妥当性を採点者に納得してもらえるのではと思います。
多分、採点者はベテラン監査人なので。
多少、不誠実に対応する
監査はある意味、不備を見つける駆け引きだと思います。
駆け引きを馬鹿正直にやる人はいないです。知らない又は知ってるふりをする、抜き打ちで確認するなどで、相手を騙すことにより不備が発見されることがあるといえます。
前述のお土産などを発見した場合、何かやましいことがあると考え、相手に伝えずにさらに追加の監査手続を行う。
または、追加の監査手続を行うと相手に伝え、その際に抵抗する様子を見せた場合に、本当に確認するなどです。
ただし、試験問題ではここまで考える必要はないと思いますが・・・
あとがき
以前、ベテランのシステム監査人の方とお話をした際に、「システム監査人は偏屈な奴ほど適正がある」という話を聞きました。
システム監査の目的は「ITガバナンスの実現」であるため、この話を聞いたときはあまり意味を理解できなかったです。
とはいえ、自分がシステム監査を受けた実務の振り返りや、試験問題を解いてみて、たしかに「偏屈な奴ほど適正がある」という点が理解できるようになってきました。
凄腕の刑事や記者に、変わり者が多いということと同じかもしれません。