リスクマネジメントを適用した組織に対して、最終的にはレポーティングを行います。どのような組織であるかを整理して、公表できるようにしていきます。この時、信憑性が必要です。すべて自己評価でいいように書いていては、レポーティングする意味はないでしょう。そこで、外部組織に監査を依頼し、信頼のあるレポートを作成してもらうのも一つの手でしょう。一般的には外部の調査員または監査人が関わり、レポーティング作業を進めていきます。監査人は、監査を統治する機関によって指名されることもあれば、対象組織に雇われたコンサルタントである場合もあります。また目的に応じて、直接的に評価される組織だけではなく、組織が依存する第三者組織へのセキュリティ監査も含まれることがあります。これをサードパーティガバナンスといいます。多くの企業は、事業運営の一部を外部に委託、つまりアウトソーシングしています。委託された業務を行う作業員は、委託元の組織のセキュリティポリシーを遵守する必要があります。作業母体が中抜けしており、実際はセキュリティ体制が整っていない組織で作業していることを避ける目的があります。
業務を受託している会社の監査を業務受託会社監査(SOC)といいます。米国公認会計士協会(AICPA)によって決められている業務の請負い側の内部統制を保証するものです。大きく3つのタイプの監査に分かれています。SOC-1は、受託会社に対する会計監査です。SOC-2は、受託会社に対する会計以外のセキュリティなどの統制監査です。SOC-3は、不特定の利用者に対する会計以外のセキュリティなどの統制監査になります。目的の違いとしては、SOC-1は、財務報告が適正にされているかを確認するものです。SOC-2、SOC-3は、顧客情報を安全に管理し、ちゃんと業務を回せているかを確認するものです。企業の会計が適正であっても情報漏洩したり雑な業務をする企業は信頼できませんから、財務以外のセキュリティ、機密保持、プライバシーや業務処理が適切に完遂しているかを確認して報告書にします。
SOC-1やSOC-2の報告書には、内部統制にかかわる根拠が記載されており、受託会社の経営者や委託会社は、報告書から本当に信頼に足りるのかを判断します。SOC-3は、内容自体はSOC-2と同じく会計以外の部分に相当しますが、委託会社や受託会社にかかわらず、不特定多数の利用者に公開することを目的にしたものであり、主に安心してサービスを利用してもらうための利用者に対する報告書になります。信頼を得るためには、関わっている組織も信頼されていなければならないんですね。
また監査や評価する上では、監査員と監査組織はオープンな文書レビューをする必要があります。オープンとは、「悪いところが出るにせよ言われたものは公開をしていき、結果として良くなっていきましょう」ということです。「これを言ってしまったら監査落ちるから隠しておこう」とかは避けないといけないんですね。当たり前のことのように聞こえますが、とても難しいことです。適切な監査をする上では、準拠すべきすべての要求事項の詳細を知る必要があり、詳細な文章は関係者全員が懸念事項を含めて、すべてに合意していることが求められます。それがなければ、「この組織ならうまいことやってくれるだろう」というその場限りの期待感を含めた監査になったり、文章の一方的な解釈によって決定される可能性もありますので、オープンな議論が必要になるのです。特に、監査が前提となっている組織や業務に関してはとても気がかりな問題です。組織体制を見直すだけではなく、「監査通りませんでした。仕事を受けることができません。」という恥ずかしい迷惑のかけ方になりますので、最終的にはオープンにして早めに問題点を洗い出していることが大事になります。
監査は、最終的にはセキュリティガバナンスを規定した文章が審査対象になります。文書審査の一部には、その組織の枠組みやルールだけではなく、規定されたビジネス上の方法が実用的で効率的かつリスクを減らしセキュリティ目標をサポートすることが保証されているかも見られます。例えば、感染症が流行りだしたにもかかわらず、会議は絶対に対面でしなければならないというルールや文化を持っていると厳しいでしょう。セキュリティは大事かもしれませんけど効率的でもないのです。リモートでも適切にビジネスを進められるにはどうすればいいかを整理して、リモート会議もできるようにしないといけないんですね。
文章が審査対象になるという言い方をしましたが、実態が伴っているかは当然担保されていなければなりません。つまり、文章のレビューは現場とのギャップがないかを確認することにまで及びます。手順としては、まずは文章レベルでの論理性に破綻がないか、十分な資料がそろっているかを整理も含めて実施したうえで現場を見ていきます。その方が、本当に文章に即しているかに焦点を絞ることができます。現場の確認をしているときに「文章ではこう書いてあるけど現場ではこういう解釈」という文章の不一致については更なる言及を含めて、改善点に挙げられます。言い方を変えれば、現場でいかなる真っ当な行動がとられていたとしてもそれが文章化されていない限りは、健全な統治であるとも厳密には見なされません。
最後にBIG4と呼ばれる監査組織についても説明しておきましょう。監査を行う組織は監査を行うだけの信頼がないとできません。よって監査する人や組織は限られます。世界には、BIG4と呼ばれる監査組織があります。それが、デロイトトウシュトーマツ、プライスウォーターハウスクーパース、KPMG、アーンスト・アンド・ヤングです。