監査対象者がフォローアップ監査までにすべての監査推奨事項を完了できない場合、情報システム監査人が取るべき最善の行動は、未解決の問題による残留リスクを評価することです。残留リスクとは、コントロールまたは緩和措置の実装後に残るリスクです。未解決の問題による残留リスクを評価することで、情報システム監査人は、監査対象者が対処していない潜在的な脅威と脆弱性の影響と可能性、および既存のコントロールまたは緩和措置の妥当性と有効性を評価することができます。未解決の問題による残留リスクを評価することで、情報システム監査人は未解決の問題に優先順位を付けて、監査対象者や上級管理職、監査委員会などのその他の利害関係者に伝え、適切な措置またはエスカレーション手順を推奨することもできます。
監査対象者がフォローアップ監査までにすべての監査推奨事項を完了できない場合、未解決の問題が監査結果に確実に保持されるようにすることは、情報システム監査人の行動方針ですが、最善の策ではありません。
未解決の問題が監査結果に確実に保持されることで、情報システム監査人が監査推奨事項のステータスと進捗状況を文書化して報告し、将来のフォローアップ監査の基礎を提供するのに役立ちます。ただし、未解決の問題が監査結果に確実に保持されるだけでは、未解決の問題による残留リスクの分析や評価は提供されません。これは、意思決定や行動を起こすための情報提供にとってより重要です。
未解決の問題が解決されないためにフォローアップを終了することは、監査対象者がフォローアップ監査までにすべての監査推奨事項を完了できない場合に情報システム監査人が取るべき行動ではなく、むしろその結果です。未解決の問題が解決されないためにフォローアップを終了することは、監査対象者が合意された行動や期限を遵守できなかったか、情報システム監査人が監査対象者から重大な障害や抵抗に遭遇したことを示している可能性があります。未解決の問題が解決されないためにフォローアップを終了すると、情報システム監査人やその他の当局から、限定意見や否定的意見の発行、認証の保留、罰金の課せられるなどのさらなる行動や制裁が課される可能性もあります。
未解決の問題に対する代替コントロールの推奨は、監査対象者がフォローアップ監査までにすべての監査推奨事項を完了できない場合に情報システム監査人が取る行動方針ではなく、むしろその可能性のある結果です。代替コントロールは、別のコントロールの弱点または欠陥に関連するリスクを軽減または排除するために実装される代替または追加のコントロールです。未解決の問題に対する代替コントロールの推奨は、監査対象者が技術的、運用的、財務的、またはその他の制約のために元の監査推奨事項を実行できない場合、および代替コントロールが同様または同等のレベルの保証を提供できる場合に適切である可能性があります。ただし、未解決の問題に対する代替コントロールの推奨には、未解決の問題による残留リスクの事前評価が必要であり、これは代替コントロールが必要かつ実行可能かどうかを判断する上でより重要です。
参考文献:
* フォローアップ監査 - カナダ監査・説明責任財団 1
* 監査フォローアップの実施: いつ検証するか - 監査人 2
* 内部監査のフォローアップ：本当に努力する価値があるのか

セクション: 情報システムの監査プロセス