ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

システム監査の実施

📘2.システム監査の実施

監査実施のプロセス

  1. 実施準備(2-1)
  2. 予備調査(2-2)
  3. 📜監査手続書の作成(2-3)
  4. 本調査(2-4)
  5. 📜監査調書の作成と保管(2-5)
  6. 意見・評価・結論(2-6、2-7)
  7. 📜監査報告書の作成(2-8)

【参考】監査証拠について

監査証拠の種類

  • 物理的証拠
  • 文書的証拠
  • 口頭的証拠
  • 状況的証拠

監査証拠入手における留意点

  • 必要不可欠性
  • 経済性
  • 証拠能力の十分性

📘2-1 実施準備

  • システム監査技術者は、予備調査の実施に先立ち「個別計画書」の内容を再確認する。
  • 監査対象部門に対して、個別計画書の内容を通知し協力を要請する。
  • 但し、抜き打ち検査を行う場合は情報管理に留意する。

📘2-2 予備調査

  • 予備調査は、本調査を円滑かつ効率的に実施するために行う。
  • 予備調査は、監査対象業務の実態を把握する作業である。

📘(1) 関連資料の収集、インタビューなどによる情報収集

  • 「監査対象システム」と「監査対象業務」の概要、コントロールの状況などを把握するために情報収集をする。
    • 文書・資料などの関連資料の収集
    • 関係者へのインタビュー
    • 現地調査
    • 質問票の送付・回収 など

📘(2) 現状把握

  • 収集した情報から「監査対象システム」「業務」「コントロール」の実態を把握する。
    • 関連資料のレビュー
    • 関係者へのインタビュー
    • 現地調査などで収集した情報
    • 質問票の回答の分析 など
  • 「現状」と「あるべき状態」を比較して問題点を洗い出す。
    • 個別計画書作成時に予測できなかった問題点の存在の可能性に留意する。
    • 必要に応じて、個別計画書の見直しを行う。

📘2-3 監査手続書の作成

  • 「現状把握」の結果を踏まえて、本調査で実施する具体的な監査手続を検討する。

作成目的

  • システム監査の実施におけるシステム監査技術者の行動(立証プロセス)を明確にする。
  • 次回以降の監査の参考として利用する。

記載項目

  • 以下の項目で、監査手続書を作成する。
    • 計画段階で明確にする項目
      • 監査目標,監査技法,適用時期,適用対象,適用範囲,監査実施担当者,予定作業時間 など
    • 遂行中に記入する項目
      • 実施日,監査実施担当者の署名,実際作業時間,監査調書の番号 など

📘2-4 本調査

📘(1) 現地調査

📘(2) インタビュー

📘(3) ドキュメントレビュー

📘(4) その他のシステム監査技法

📘2-5 実施結果の記録(監査調書の作成と保管)

📘2-6 監査意見の明確化(監査判断の形成)

📘2-7 監査の結論の総合検討

📘2-8 監査報告書案の作成

システム監査の概要 その2

システム監査の概要 その2

企業の統制

内部統制

  • 内部牽制制度
    会社業務を機能的に分割することで、不正・誤謬の防止や発見を促す仕組み。

  • 内部監査制度
    内部監査規定に基づき、担当者が監査と報告を行う。

外部統制

三者が客観的に評価・報告を行う。

コントロールの機能

  • 予防牽制機能
  • 誤謬摘示機能
  • 修正回復機能

情報システム

コントロールの観点

信頼性

  • 品質向上
  • 障害防止
  • 障害回復

安全性

効率性

  • 経営目的との適合性
  • 稼働状況の効率性

可監査性

監査証跡

事象の発生からその結果までを双方向で追跡できる仕組みのこと。

留意点

  • 経済性、効率性の考慮 : 詳細であるほど経済性、効率性は低下する
  • 見読可能性の提供
  • 承認行為の追跡 : 最も重要なプロセス
  • 保存期間、保存方法の妥当性

ディジタルフォレンジック

デジタルフォレンジックとは、犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称。
“forensics”には「法医学」「科学捜査」「鑑識」といった意味があり、分かりやすく意訳すれば「デジタル鑑識」。

デジタルフォレンジック(コンピュータフォレンジック)とは - IT用語辞典 e-Words

情報システムの内部統制

業務処理統制

  • 業務フローをベースにリスクチェックを行う
  • 完全性(網羅性)、正確性、正当性(妥当性)をチェックする
  • コントロールの確保手段
    • エディットバリデーション
    • トータルチェック
    • オンライン連番チェック
    • コンピュータファイルマッチング
    • ターンアラウンド : 入力データを画面に再表示してチェックすること。
    • アクセスコントロール

全般統制

  • システム管理基準をベースにチェックする
  • システムのライフサイクル全般、安全性、外部委託契約が対象

コントロールの評価

整備状況の評価

存在するコントロールの評価。

運用状況の評価

コントロールが実際に機能しているか。

システム監査の計画

システム監査の計画

📘1.システム監査の計画

監査計画の体系

監査計画
 ├ 期間計画
 │ ├ 中長期計画
 │ └ 年度計画
 └ 個別計画

監査計画の目的

  • 監査目的の明確化
    • システム監査実施の目的を明確化する。
    • 目的として何に重点を置くかは、「経営」や「業務」の観点から総合的に判断する。
  • 監査業務の効率化
    • 限られた予算、資源の中で監査を効率的に行うための監査方法を決定する。
  • システム監査技術者の育成
    • 育成には時間がかかる。
    • 中長期的な育成を前提に計画する。

監査実施サイクル

  • 一過性:企画や開発段階での実施。
  • 定期的:運用段階での実施。
  • 継続的:大規模システムの分割実施。

📘1-1 中長期計画書の作成

  • 中長期計画書の作成は、3~5年単位。
  • 中長期経営計画とあわせて作成する。

記載項目

  1. 重点監査方針

    • 経営計画などから方針を検討し策定する。
    • 予算や人員などの制約事項を加味する。
  2. 重点監査対象

    • 監査対象となるシステムや業務などを明らかにする。
  3. 重点監査テーマ

    • 各種性能(有効性、信頼性など)のどれに重点を置くかを明らかにする。
    • ✅ 経営計画(経営戦略、重点課題)などの上位文書との整合性をとることが肝要。
  4. システム監査技術者の人員計画

    • 実施体制の計画を行う。
    • 人員の数・スキルに制約がある場合は、ツール活用や外部専門家の活用などを検討する。
  5. システム監査技術者の能力開発計画

    • 育成は中長期に及ぶため、計画に能力開発の計画を盛り込む。
  6. 経費予算計画など

    • 実施における予算などを明らかにする。

📘1-2 年度計画書の作成

  • 中長期計画書をインプットとして、年度単位の計画書を作成する。

記載項目

  1. 監査目的

    • 監査部門としての年間計画を行い、経営と合意する。
    • 関連部門に通知する。(協力してもらうため)
  2. 実施対象

    • 当年度の監査対象システム、業務を明らかにする。
  3. 重点監査テーマ

    • 当年度の重点監査テーマを明らかにする。
    • 実施対象の絞り込みに合わせて、テーマの絞り込みを行う。
  4. 実施体制

    • 当年度の実施体制を計画する。
    • 人員の外部調達や育成も含めて、実施が可能な現実的な体制を組む。
  5. 実施スケジュール

    • 当年度の具体的なスケジュールを策定する。
    • 関連部門へ協力依頼する時期が確認できるようにする。
  6. システム監査技術者の採用・育成計画

    • 実施体制に応じ、人員採用や育成計画を合わせて具体化する。
  7. 予算

    • 実施における必要経費。
    • ツールなどの費用(イニシャル、ランニング、サブスクリプションなど)。
      ✅監査手続きと合わせて整理しておきたい。
    • 外部委託費(専門家の活用など)。
      ✅対象システムや監査手続きの専門性が高い場合は、専門家を積極的に活用したい。
    • 育成費用(研修、教材など)。
  8. 自組織体の監査基準の見直し

📘1-3 個別計画書の作成

  • 個々のシステム監査業務ごとに作成する。

記載項目

  1. 監査目的

    • 目的(なぜ監査を行うのか)を具体的に記述する。
    • 経営課題との適合性やテーマの妥当性を確認する。
  2. 監査対象

    • 監査対象のシステムや業務を明確にする。
    • 対象は年度計画に沿って決定する。
  3. 監査範囲

    • 対象システムや業務の具体的な範囲を明確にする。
  4. 監査目標

    • 監査を行うことで何を明らかにするのかという目標を明確にする。
  5. 監査手続

    • 監査を行うにあたっての監査手続を明確にする。
    • 最適な監査手続を選択することで、手続の重複や欠落を予防する。
    • 効率性に配慮し、監査技法の選定を行う。
  6. 監査時期・監査日程

    • 監査を行うスケジュールを記載する。
    • 進捗管理のベースラインとする。
  7. 監査責任者・業務分担

    • 監査における責任者や業務分担などを記載する。
    • 外部に業務を委託する場合は、その体制や役割をあわせて記述する。
  8. 被監査部門の責任者・担当者

    • 監査で関係する被監査部門の責任者や担当者などを明確にする。
    • 計画書に記載することで、上位層からの承認を得て、該当部門に役割を認識させる。
  9. 他監査との連携・調整

    • 企業内で行われる他の監査業務との連携や調整を行い、整合性をとる。
  10. 報告時期

    • 監査報告書の作成・提出時期について明らかにする。
  11. 監査コスト

    • 一連の監査で必要となるコストを明らかにする。
    • 出張費や外部委託費なども含める。(総コストを出す)

リスクアプローチの考え方

  • 監査リスクアプローチとは、監査人が財務諸表などを見誤ってしまう可能性を監査リスクと捉え、以下のモデルに基づいてリスクを管理することである。

監査リスク = 固有リスク × 統制リスク × 発見リスク

  • 固有リスク:内部統制が存在しないという仮定によるリスク。
  • 統制リスク:虚偽の記載が内部統制により抑止されていないリスク。
  • 発見リスク:監査手続きにより発見されないリスク。

システム監査の概要 その1

システム監査の概要 その1

監査とは

組織体が、その経営目標を効果的に達成し、かつ存続するためには、ガバナンス・プロセス、リスク・マネジメントおよびコントロールを確立し、選択した方針に沿って、これらを効率的に推進し、組織体に所属する人々の規律保持と士気の高揚を促すとともに、社会的な信頼性を確保することが望まれる。 内部監査は、ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する。 経営環境の変化に迅速に適応するように、必要に応じて、組織体の発展にとって最も有効な改善策を助言・勧告するとともに、その実現を支援する

システム監査の意義と目的

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。 また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。

システム監査人の要件

1.独立性

外観上の独立性

組織面で独立していること。
✅ 組織やプロジェクトの体制、部門間の関係性などから見ることができるものであればこちら。

精神上の独立性

監査意見が特定の人や組織の意向に左右されないこと。
✅ 外観上の独立性に問題がない場合は、こちらを疑う。

2.適格性

  • 公正不偏な態度
  • 正当な注意義務、守秘義務
  • 監査に関する知識や能力

知識および技能

システム監査基準解説書より、「システム監査人が専門職として保持することが望まれる知識及び技能」。

  1. 監査の基礎的理論に対する知識
  2. 監査目的にあった監査手続を監査対象に適用し、必要となる監査証拠を入手する技能
  3. 実施した監査手続を監査調書としてまとめ上げる技能
  4. 監査証拠から監査意見を形成する技能
  5. 監査意見を監査報告書にまとめ上げる技能
  6. 監査計画を策定し、監査業務を管理する技能
  7. ITに関する知識
  8. 内部統制に関する知識
  9. その他、組織運営に関する一般的な知識

3.実務経験

  • システム監査を行うためには、ある程度の実務経験が必要。
  • 実務経験を積むためには、先輩のシステム監査人につくことになる。

監査の型

保証型監査

  • コントロール機能している企業に対して行う。
  • コントロール適切(または不適切)であることを、監査意見として表明する。

助言型監査

  • コントロールレベルが低い企業に対して行う。
  • コントロールの改善を目的とする。
  • コントロール改善意見を監査意見として表明する。

監査の必要性

ITガバナンス

  • ITが経営戦略の貢献に対し、有効に機能していることをチェックする。

内部監査・会計監査の一環

  • 情報システムは業務のほとんどで使われている。
  • 各監査の一環として、情報システムの妥当性や安全性をチェックする。
  • 公認会計士が任意の業務としてシステム監査を行うこともある。

経営戦略実現の要素

  • 情報システムは経営戦略実現の支援に大きく関与する。
  • 情報システムが効率的に機能していることをチェックする。

情報システムの安全運用

  • 情報漏洩やシステムダウンによる経営インパクトは大きい。
  • 情報システムの安全性対策が適切であることをチェックする。

2020年度(春)情報処理技術者試験 延期開催について

5/26にIPAよりアナウンスされています。

www.jitec.ipa.go.jp

・中止になった以下の春期の試験区分については、10月18日(日)に実施する方向で検討しています。
なお、新型コロナウイルス感染症の感染予防確保等の状況から、10月18日(日)に実施する試験区分は、以下の試験区分のうちの一部となる可能性があります。その場合、SG、FE、APを実施し、PM、DB、ES、AU、SCについては、本年11月以降の実施を目指します。
  情報セキュリティマネジメント試験(SG)
  基本情報技術者試験(FE)
  応用情報技術者試験(AP)
  プロジェクトマネージャ試験(PM)
  データベーススペシャリスト試験(DB)
  エンベデッドシステムスペシャリスト試験(ES)
  システム監査技術者試験(AU
  情報処理安全確保支援士試験(SC)

・例年、10月に実施する以下の秋期の試験区分については、本年11月以降に実施する方向で検討しています。
  ITストラテジスト試験(ST)
  システムアーキテクト試験(SA)
  ネットワークスペシャリスト試験(NW)
  ITサービスマネージャ試験(SM)

受験予定だったAU、まずは10/18がターゲットですね。。。

って、他に受けようとしていたやつ(ビジネス会計検定)と被っとるやないか!

11月以降の実施もありえるそうなので、両方進めておこうと思います。

でも被ってしまうとビジネス会計検定が3月にずれ込むので、いろいろ忘れてしまいそう。

申込期限の9/11までに情報処理の開催日程が確定すればよいなぁ。。。流石に決まるか。