内部監査の結果をまとめる
監査終了後には、監査報告書を作成します。監査報告書を作成するに当たり、監査項目と監査した結果を吟味し、判断をする必要があります。監査報告書ではこれらを取りまとめます。
Point① 監査結果を分析する
監査報告書を取りまとめる際に、監査の結果について検討を行います。業務の実態や集めた証拠、証拠の有効性を総合的に判断して、監査項目に対して適切な状態かを判断します。
- 関連書類の閲覧及び査閲、担当者へのヒアリング、現場への往査及び視察、システムテストへの立会、テストデータによる検証及び跡付け、脆弱性スキャン、システム侵入テストなどの方法を通じて入手された監査書類について、入手源泉及び入手時の状況等を勘案して、監査証拠として採用するか否か、それが有する信用性及び証明力の程度を慎重に判断
- 入手した監査証拠の必要性と十分性の判断に当たって、監査対象者(部門)から提出された資料、監査人自ら入手した資料、監査人自ら行ったテスト結果等を総合的に勘案して、相互に矛盾があるか否か、異常性を示す兆候があるか否かを評価
- 採用している対策・取り組みが適切であるか否かの判断は、リスクに応じたものでなければならないため、監査人が入手した監査証拠の評価に当たっては、リスクアセスメントの結果との関連づけを考慮
Point② 監査報告書の作成
監査報告書では、以下のような項目について取りまとめを行います。詳細な監査結果や補足資料等がある場合は、監査報告書の添付資料とする場合もあります。
| 項目 | 内容 |
|---|---|
| 監査実施者 | 監査を実施した責任者・担当者 |
| 監査目的 | 監査を行う目的 |
| 監査実施期間 | 監査の計画から報告までの期間 |
| 監査対象 | 監査の対象とした部門や業務 |
| 監査方法 | 監査で適用した監査技法 |
| 適用基準 | 監査で適用した基準等 |
| 監査項目 | 監査で確認した大項目 |
| 監査結果概要(総括) | 監査結果の総括 |
| 検出事項 | 監査で検出された事項(評価できる事項を含む) |
| 指摘事項 | 監査結果に基づき、問題点として指摘する事項 |
| 改善提言 | 指摘事項を踏まえて、改善すべき事項(緊急改善事項、一般的改善事項) |
| 特記事項 | その他記載すべき事項 |
指摘事項及び改善提言が多い場合には、別紙としてまとめます。指摘事項及び改善提言では、それぞれ重要性が高いものから記載し、指摘事項と改善提言の対応関係が明らかとなるよう工夫されることが望ましいです。また、改善提言を行う場合には、緊急性のある改善提言を要緊急改善提言とし、その他の改善提言と分けて記載することが有益です。
出典:一般財団法人 日本情報経済社会推進協会
「ISMSユーザズガイド(情報セキュリティマネジメントシステム)」をもとに作成
日本工業規格
「JIS Q 19011:2019 マネジメントシステム監査のための指針」をもとに作成