ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

システム監査の実施

📘2.システム監査の実施

監査実施のプロセス

  1. 実施準備(2-1)
  2. 予備調査(2-2)
  3. 📜監査手続書の作成(2-3)
  4. 本調査(2-4)
  5. 📜監査調書の作成と保管(2-5)
  6. 意見・評価・結論(2-6、2-7)
  7. 📜監査報告書の作成(2-8)

【参考】監査証拠について

監査証拠の種類

  • 物理的証拠:システム監査人が検証した現物。
  • 文書的証拠:システム監査人が内容を検証した文書または電磁的記録。
  • 口頭的証拠:システム監査人が証拠になると判断した証言や説明。
  • 状況的証拠:システム監査人が観察した状況。

監査証拠入手における留意点

  • 必要不可欠性
  • 経済性
  • 証拠能力の十分性

📘2-1 実施準備

  • システム監査技術者は、予備調査の実施に先立ち「個別計画書」の内容を再確認する。
  • 監査対象部門に対して、個別計画書の内容を通知し協力を要請する。
  • 但し、抜き打ち検査を行う場合は情報管理に留意する。

📘2-2 予備調査

  • 予備調査は、本調査を円滑かつ効率的に実施するために行う。
  • 予備調査は、監査対象業務の実態を把握する作業である。

📘(1) 関連資料の収集、インタビューなどによる情報収集

  • 「監査対象システム」と「監査対象業務」の概要、コントロールの状況などを把握するために情報収集をする。
    • 文書・資料などの関連資料の収集
    • 関係者へのインタビュー
    • 現地調査
    • 質問票の送付・回収 など

📘(2) 現状把握

  • 収集した情報から「監査対象システム」「業務」「コントロール」の実態を把握する。
    • 関連資料のレビュー
    • 関係者へのインタビュー
    • 現地調査などで収集した情報
    • 質問票の回答の分析 など
  • 「現状」と「あるべき状態」を比較して問題点を洗い出す。
    • 個別計画書作成時に予測できなかった問題点の存在の可能性に留意する。
    • 必要に応じて、個別計画書の見直しを行う。

📘2-3 監査手続書の作成

  • 「現状把握」の結果を踏まえて、本調査で実施する具体的な監査手続を検討する。

作成目的

  • システム監査の実施におけるシステム監査技術者の行動(立証プロセス)を明確にする。
  • 次回以降の監査の参考として利用する。

記載項目

  • 以下の項目で、監査手続書を作成する。
    • 計画段階で明確にする項目
      • 監査目標,監査技法,適用時期,適用対象,適用範囲,監査実施担当者,予定作業時間 など
    • 遂行中に記入する項目
      • 実施日,監査実施担当者の署名,実際作業時間,監査調書の番号 など

📘2-4 本調査

📘(1) 現地調査

  • システム監査技術者が現地で確認、評価を行い、監査証跡を入手する。
  • 想定と異なる状況の場合は、監査手続きを変更する。

📘(2) インタビュー

  • 監査目的を実現するために必要な関係者を対象に、インタビューを行う。
  • 日時、方法は事前に調整する。
  • 質問項目は事前に十分検討する。

📘(3) ドキュメントレビュー

  • ドキュメントレビューにより、リスクやコントロールの検討、西武・運用状況などを確認する。
  • 紙だけなく電子データも対象にする。

📘(4) その他のシステム監査技法

  • その他のシステム監査技法(データ分析ツール、AIなど)により分析を行う。

📘2-5 実施結果の記録(監査調書の作成と保管)

  • 監査手続を実施した結果である監査証拠を監査証跡として保管する。

📘2-6 監査意見の明確化(監査判断の形成)

  • 総合評価:監査目的に適合するようにまとめる。
  • 指摘事項:改善提案の内容を理解してもらえるようにまとめる。
  • 改善提案:情報システムのガバナナス、マネジメント、コントロールの改善に資するようにまとめる。改善の実現性は実施部門に確認する。

📘2-7 監査の結論の総合検討

  • システム監査部門としての見解を統一する。

📘2-8 監査報告書案の作成

  • 監査結果を取りまとめて監査対象部門へ提示する。
  • 事実誤認がないことを確認する。