「信じるに足る、期待する水準にある、結果を報告する」――ベストな監査結果はどれ?:経営視点のセキュリティ管理(2/3 ページ)
これまで保証型情報セキュリティ監査はあまり普及していなかった。保証型情報セキュリティ監査の普及を妨げていた原因は、監査の厳格さとコストの高さにあったと考えられる。
(3)社会的合意方式――多数の(報告書の)利用者の期待に応える監査
社会的合意方式は、利用者合意方式における監査報告書の利用者を委託元からさらに拡大した方式である。つまり、利用者合意方式では、利用者のセキュリティの期待に応えることを監査目的としていたが、社会的合意方式では、社会一般が求めるセキュリティの水準に応えることを監査目的として監査を実施することになる。
ここで、社会一般が求めるセキュリティの水準とは、情報セキュリティ管理基準の要求を満たすことを指している。
社会的合意方式では、監査目的が社会一般の期待する水準であり、また監査手続も社会的に合意されている水準であるから、この報告書は、社会一般に公表することを想定して作成されるものである。
3類型の比較
被監査主体合意方式、利用者合意方式、社会的合意方式の特徴を表にすると次のようになる。重要なポイントは、「監査手続の十分性」と「監査の対象範囲」である。その違いにより、監査報告書に記載する表現が異なり、また監査報告書の利用方法がそれぞれ変わってくることになる。
つまり、この違いを明確にするために、被監査主体合意方式では「結果を報告する」、利用者合意方式では「期待する水準にある」、社会的合意方式では「信じるに足る」という表現を用いることになっている。
| 被監査主体合意方式 | 利用者合意方式 | 社会的合意方式 | |
|---|---|---|---|
| 監査手続の十分性の担保 | 監査目的に応じた手続きとして監査主体と被監査主体が合意し1次利用者の確認がある | 監査目的に照らした監査手続きの十分性について利用者の合意が存在 | 社会的に合意された基準に照らして十分な監査手続きであるとの監査人の判断 |
| 実施する監査手続き | 被監査主体と合意し利用者の確認を得た監査手続き | 1次利用者と合意した、期待にこたえられる監査手続き | 監査人が必要と考える手続き |
| 保証の内容 | 実装監査 | 設計監査または実装監査 | 設計監査または実装監査 |
| 保証の方法 | 結果報告方式 | 意見表明方式 | 意見表明方式 |
| 保証の対象 | 非言明方式 | 言明方式 | 言明方式 |
| 保証の対象とする期間 | 時点監査または期間監査 | 時点監査(期間監査も条件を満たせば可能) | 時点監査(期間監査も条件を満たせば可能) |
| 監査の対象範囲 | 被監査主体と合意し利用者の確認を得た部分 | 監査の主題にかかわる重要部分を欠いていないこと | 監査の主題にかかわる重要部分を欠いていないこと |
| 監査報告書の利用者 | 特定された1次利用者に限定 | 特定された1次利用者に限定 | 不特定 |
| 報告書記載 | 結果を報告する | 期待する水準にある | 信じるに足る |
| 適用可能な具体例 | 受託者として求められる事項の順守について保証を得たい場合 | 報告書利用者である委託者が委託先に期待する水準が明確な場合で、委託先がその期待に応えていることについて保証を得たい場合 | 委託先の監査結果を広く利害関係者に公表したい場合 |
ビジネス別に見た利用方法
(1)最も利用しやすい――被監査主体合意方式
被監査主体合意方式は、委託関係にある委託元と委託先および監査人が監査の目的を共有し、実施する監査手続について合意することにより、少ない監査手続により監査の目的を果たすことを狙っている。それゆえ、被監査主体合意方式は、全体的というよりも、むしろ特定の領域に対してあるいは限定的な監査手続により、情報セキュリティに関する監査を他の方式よりも少ないコストで行うことができる。
特定の領域に対して、あるいは限定的な監査手続により実施される監査のため、他の方式に比べて、保証の程度が低くなることは避けられない。しかし、取引先の情報セキュリティの状況について何らかの問題が発生した場合に、その特定の問題について安いコストで調査を実施したいというニーズは昔から存在している。そのような場合に、関係のない領域の監査を省略してピンポイントに調査を実施できるということが、この被監査主体合意方式の最大のメリットである。
Copyright © ITmedia, Inc. All Rights Reserved.