LoginSignup
1
1

More than 1 year has passed since last update.

@masatom86650860

システム監査

Last updated at Posted at 2022-08-24

ITガバナンスとは?

経産省の定義によると「企業が、ITに関する企画・導入・運営および活用を行うにあたって、全ての活動、成果及び関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に君こむこと、又は、組み込まれた状態。

ITシステムを適切に管理・運用するための体制や方法のこと

システム監査とはこの体制がちゃんとできているかを確認する仕事。

システム監査人と監査の依頼者、被監査部門の関係

システム監査人の要素

外観上の独立性

監査対象から独立していなければなりません。
監査主体と身分上、密接な利害関係を有することがあってはならない

精神上の独立性

変更を排し、常に公平かつ客観的に監査判断を行わなければならない。

職業倫理と誠実性

誠実に業務を実施しなければならない。

専門能力

専門職としての知識および技能を保持しなければならない。

出典 https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf

監査の一連の流れ

  • 依頼組織から監査依頼
  • 監査人の監査計画の立案
  • 監査人の監査の実施
  • 監査人の監査報告
  • 依頼組織もしくは被監査部門が改善命令

システム監査の手順

監査計画の立案から監査実施までの手順

監査計画の立案

監査の目的を効率的に達成するための、監査手続きの内容とその時期、及び範囲などについて適切な計画を立案します。

予備調査

本調査に先立ち、監査対象の実態把握に努めます。
資料の収集やアンケート調査など、被監査部門の実態調査を行い、適切なコントロールがなされているか確認します。

  • 監査実施の本調査に先立って、予備調査を実施します。
    この予備調査の段階では、あくまで予備知識を収集し、監査対象であるコントロールの整備状況を適切に把握できるように心がけることが重要です。
    具体的な手段としては、質問票の作成・送付・回答受領、各種規程類の査読(場合によってはインタビュー)等を実施することが挙げられます。
    予備調査の作業項目には、次の事項が含まれます。

    • 監査目標の設定
    • 質問票の作成、被監査部門への質問票送付及び回答の分析
    • 規程類等の資料分析
    • 予備調査結果の総括及び予備調査結果を踏まえた本調査の立案

    出典 http://it-sox.com/sa-kansajissi.html

インタビュー(ヒアリング)

監査対象の確認のために、非監査部門や関連部署などに対し、面談して質問(インタビュー)を行うこと。
その際に問題となる事項を発見した場合は、裏付けとなる記録を入手したり、実際に現場の確認を行う。
出典 https://gihyo.jp/book/2022/978-4-297-12375-8

コントロールとは?

適正に統制するための仕組み
出典 "https://gihyo.jp/book/2020/978-4-297-11781-8" のp528

本調査

予備調査で作成した監査手続き書に従い、現状の確認と、それを裏付ける監査証拠の収集、証拠能力の評価を行い、監査調書としてまとめます。

  • 予備調査の結果を反映した監査手続書に基づき、監査目標ごとに監査を実施します。本調査においては、予備調査で把握したコントロールの整備状況が適切に運用されているかについて手続きを実施します。
    本調査の作業項目には、次の項目が含まれます。

    • 準拠性テスト
    • 実証性テスト
    • 監査の結論の総括及び資料の記録・保管

    出典 http://it-sox.com/sa-kansajissi.html

評価・結論

監査長所に基づいて、監査対象におけるコントロールの妥当性を評価します。評価結果は監査報告書としてまとめ、その文書内に指摘事項や、改善勧告などの監査意見を記します。

  • システム監査実施の総括として、評価・結論の過程があります。この過程においては、予備調査及び本調査で収集した監査証拠を振り返って、監査対象としたコントロールが監査目的に適合しているかを判断します。

    • コントロールの整備状況・運用状況の評価
    • 監査実施の結論のとりまとめ

    出典 http://it-sox.com/sa-kansajissi.html

システムの可監査性

処理の正当性や内部統制を効果的に監査またはレビューできるようにシステムうが設計・運用されてることを指します。

プルーフリストを使って別の担当者が照合するようにしておけば、データの重複や入力漏れに気づくことができる。
このように遡って検証できることが大事

プルーフリスト

入力データをそのまま加工せずに印刷したもの。

事象発生から最終結果に至るまでの一連の流れを、時系列によった形で追跡できる仕組みや記録を監査証跡という。

監査証拠

それをもとに監査調書としてまとめていく。
ここには監査意見が記されている。それには証拠が必要になってくる。
監査意見を立証するために必要な事実を監査証拠という。

監査報告とフォローアップ

監査人には監査意見の責任を取らなければならない
しかし、実際に変更する権限はありません。必要に応じて改善実施状況を確認する。
あくまで改善指導という立場で関わる。改善の主体は、被監査側になる。

システム監査人が改善指導することをフォローアップという。

監査意見の2種類

保障意見

基準に適していることを保障する

助言意見

欠陥の指摘と改善点の表明

気づき

保障と指摘には責任を持ってするのか。

テストを解いた時の気づき

システム監査人は、自分が所属している部門を監査できない

関連記事

出典

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1