システム監査の計画
📘1.システム監査の計画
監査計画の体系
監査計画
├ 期間計画
│ ├ 中長期計画
│ └ 年度計画
└ 個別計画
監査計画の目的
- 監査目的の明確化
- システム監査実施の目的を明確化する。
- 目的として何に重点を置くかは、「経営」や「業務」の観点から総合的に判断する。
- 監査業務の効率化
- 限られた予算、資源の中で監査を効率的に行うための監査方法を決定する。
- システム監査技術者の育成
- 育成には時間がかかる。
- 中長期的な育成を前提に計画する。
監査実施サイクル
- 一過性:企画や開発段階での実施。
- 定期的:運用段階での実施。
- 継続的:大規模システムの分割実施。
📘1-1 中長期計画書の作成
- 中長期計画書の作成は、3~5年単位。
- 中長期経営計画とあわせて作成する。
記載項目
重点監査方針
- 経営計画などから方針を検討し策定する。
- 予算や人員などの制約事項を加味する。
重点監査対象
- 監査対象となるシステムや業務などを明らかにする。
重点監査テーマ
- 各種性能(有効性、信頼性など)のどれに重点を置くかを明らかにする。
- ✅ 経営計画(経営戦略、重点課題)などの上位文書との整合性をとることが肝要。
システム監査技術者の人員計画
- 実施体制の計画を行う。
- 人員の数・スキルに制約がある場合は、ツール活用や外部専門家の活用などを検討する。
システム監査技術者の能力開発計画
- 育成は中長期に及ぶため、計画に能力開発の計画を盛り込む。
経費予算計画など
- 実施における予算などを明らかにする。
📘1-2 年度計画書の作成
- 中長期計画書をインプットとして、年度単位の計画書を作成する。
記載項目
監査目的
- 監査部門としての年間計画を行い、経営と合意する。
- 関連部門に通知する。(協力してもらうため)
実施対象
- 当年度の監査対象システム、業務を明らかにする。
重点監査テーマ
- 当年度の重点監査テーマを明らかにする。
- 実施対象の絞り込みに合わせて、テーマの絞り込みを行う。
実施体制
- 当年度の実施体制を計画する。
- 人員の外部調達や育成も含めて、実施が可能な現実的な体制を組む。
実施スケジュール
- 当年度の具体的なスケジュールを策定する。
- 関連部門へ協力依頼する時期が確認できるようにする。
システム監査技術者の採用・育成計画
- 実施体制に応じ、人員採用や育成計画を合わせて具体化する。
予算
- 実施における必要経費。
- ツールなどの費用(イニシャル、ランニング、サブスクリプションなど)。
✅監査手続きと合わせて整理しておきたい。 - 外部委託費(専門家の活用など)。
✅対象システムや監査手続きの専門性が高い場合は、専門家を積極的に活用したい。 - 育成費用(研修、教材など)。
自組織体の監査基準の見直し
📘1-3 個別計画書の作成
- 個々のシステム監査業務ごとに作成する。
記載項目
監査目的
- 目的(なぜ監査を行うのか)を具体的に記述する。
- 経営課題との適合性やテーマの妥当性を確認する。
監査対象
- 監査対象のシステムや業務を明確にする。
- 対象は年度計画に沿って決定する。
監査範囲
- 対象システムや業務の具体的な範囲を明確にする。
監査目標
- 監査を行うことで何を明らかにするのかという目標を明確にする。
監査手続
- 監査を行うにあたっての監査手続を明確にする。
- 最適な監査手続を選択することで、手続の重複や欠落を予防する。
- 効率性に配慮し、監査技法の選定を行う。
監査時期・監査日程
- 監査を行うスケジュールを記載する。
- 進捗管理のベースラインとする。
監査責任者・業務分担
- 監査における責任者や業務分担などを記載する。
- 外部に業務を委託する場合は、その体制や役割をあわせて記述する。
被監査部門の責任者・担当者
- 監査で関係する被監査部門の責任者や担当者などを明確にする。
- 計画書に記載することで、上位層からの承認を得て、該当部門に役割を認識させる。
他監査との連携・調整
- 企業内で行われる他の監査業務との連携や調整を行い、整合性をとる。
報告時期
- 監査報告書の作成・提出時期について明らかにする。
監査コスト
- 一連の監査で必要となるコストを明らかにする。
- 出張費や外部委託費なども含める。(総コストを出す)
リスクアプローチの考え方
- 監査リスクアプローチとは、監査人が財務諸表などを見誤ってしまう可能性を監査リスクと捉え、以下のモデルに基づいてリスクを管理することである。
監査リスク = 固有リスク × 統制リスク × 発見リスク
- 固有リスク:内部統制が存在しないという仮定によるリスク。
- 統制リスク:虚偽の記載が内部統制により抑止されていないリスク。
- 発見リスク:監査手続きにより発見されないリスク。