システム監査試験対策その1
4月にIPAのシステム監査試験(AU)を再受験するので、勉強をしているものの「システム監査」試験関連の情報って意外となかったりするし。かちっとこうイメージできるもの少なかったりするので自分のためにまとめてみようかなどと思った。
ちなみにシステム監査試験は今年で3回目で前回2018年は午後1は通ったものの論文で
B評価という悔しい思いをいたしました。
まずは平成30年に変わったばっかりのシステム監査基準を読み解いてみた。
あまり役には立たないかもしれないけどひとまずは整理してみると何かわかるかと思って読んでみた。(全文も40ページ程度なので1時間あれば読めると思います。)
経産省のサイトにシステム管理基準共々準備されています。
それでは以下、メモ程度にご参照ください。
I.システム監査の体制整備に係る基準
基準1:システム監査人の権限と責任等の明確化
・システム監査の内容とシステム監査人の権限と・責任等を文書化する。
・取締役会などしかるべき機関にて承認を得る
・監査を外部委託する場合にも同様に文書および承認を行う必要がある。
基準2:監査能力の保持と向上
・適切な技能を備えた監査人をアサインする必要がある。
・監査人は外部教育、実務経験を通じて能力を高める必要がある。
・技能を備えた監査人の確保が難しい場合は外部の専門家の力を借りる
基準3:システム監査に対するニーズの把握と品質の確保
・システム監査依頼者が何を求めて監査を依頼しているのか把握する。
・ニーズに応じて適切な基準やガイドラインを組み合わせて判断尺度にする。
・監査組織の点検、評価を定期的に実施し品質向上に努める。
II.システム監査人の独立性・客観性及び慎重な姿勢に係る基準
基準4:システム監査人としての独立性と客観性の保持
・監査対象からの独立性が担保できている必要がある。
・システム監査人には倫理観が重要となる。
・システム監査人は専門的な知識・技能が必須
基準5:慎重な姿勢と倫理の保持
・誤った判断や誤解に基づく判断が起こらない様に注意を払う。
・システム監査人には職業倫理の遵守が求められる。
・業務上知りえた事項を自己の利益のために利用してはならない。
III.システム監査計画策定に係る基準
基準6:監査計画策定の全般的留意事項
・監査計画は中長期、年度、個別に分けて策定する。
・状況変化に応じて計画の修正を行う必要がある。
・監査対象がガバナンス、マネジメント、コントロールのいずれに該当するかを考慮する。
基準7:リスクの評価に基づく監査計画の策定
・情報システムリスクの特性及び影響を見極めて影響が大きな対象領域に資源を重点配分する。
・情報システムリスクは「情報システムに係るリスク」、「情報に係るリスク」、「情報システム及び情報の管理に係るリスク」からなる。
・情報システムリスクは一定ではないので監査対象部門の統制自己評価やアンケート、インタビュー等の手法でリスク情報を更新する。
IV.システム監査実施に係る基準
基準8:監査証拠の入手と評価
・個別監査計画に基づく監査手続きを実施し、監査証拠を入手する。
・監査手続きは予備調査(事前調査)と本調査に分けて実施される。
・精緻な管理ドキュメントの作成に重きを置かれない手法がとられている場合は追加的な負担を課さないよう考慮する必要がある。
・1つの監査目的に対して複数の監査手続きを組み合わせて実施することもある。
基準9:監査調書の作成と保管
・システム監査人はすべてのシステム監査で監査調書を作成する。
・監査調書に記載されたシステム監査人の所見は監査意見の根拠となる。
・監査調書は安全性を確保した上で容易に参照、活用できるように保管する。
基準10:監査結論の形成
・システム監査人は結論表明の根拠を得るために十分な監査証拠を入手するために監査手続を実施する。
・監査調書に基づく結論表明は論理的である必要がある。
・不備がある場合は内容と重要性から指摘事項とすべきか判断し、指摘事項とする際でも事前に優先順位を設けておくこと。
V.システム監査報告とフォローアップに係る基準
基準11:監査報告書の作成と提出
・監査報告書は正確性、客観性を担保した上で図版を活用するなど分かりやすく、建設的であることが必要
・監査依頼者の承認を得て、監査対象部門にも監査報告書の写しを回付する。
・外部機関(官公庁、会計監査人など)への監査報告の開示については監査依頼者の承認を受けること。
基準12:改善提案のフォローアップ
・監査報告書に記載された改善提案については改善計画書を受領した上で定期的にモニタリングする。
・システム監査人は改善計画の策定や実行には関与しないこと。
・改善提案に基づく問題が放置されている場合は監査依頼者に対して報告する。
乱暴にまとめるとするなら、以下の様な感じだな。地味な取り組みですが、これを生業にしている人もいるので一概に不要な仕事とも言えないところです。
1.監査組織の整備=どんな組織が監査をするか
↓
2.監査人の独立性担保=監査対象から独立しているのか
↓
3.監査計画策定=中長期の目標決めてから個別計画を準備する
↓
4.監査実施=証拠をどう入手するか。監査実施したら紙に残すこと
↓
5.監査報告とフォローアップ=偉い人に報告する方法と事後モニタリング
補足ながら平成30年版ではアジャイル関連の監査についても触れられています。
基準8についてはアジャイル以外にも通常の組織にも通じるのではないかと思います。監査のアリバイのために過度な資料を作成するのではなく運用を通じて自然と監査証跡が担保されていてそれを証拠として収集するというのがあるべき姿じゃないかと思います。
現場を見ていると監査のアリバイのためだけに作成されて、押印されている資料の何と多いことかと思います。これが日本の労働生産性の低さの一員じゃないのかとさえ思います。まぁそうならない様に実効性があって有効な対策を指摘できる様に勉強していきたいと思います。
ちなみにシステム監査試験は今年で3回目で前回2018年は午後1は通ったものの論文で
B評価という悔しい思いをいたしました。
まずは平成30年に変わったばっかりのシステム監査基準を読み解いてみた。
あまり役には立たないかもしれないけどひとまずは整理してみると何かわかるかと思って読んでみた。(全文も40ページ程度なので1時間あれば読めると思います。)
経産省のサイトにシステム管理基準共々準備されています。
それでは以下、メモ程度にご参照ください。
I.システム監査の体制整備に係る基準
基準1:システム監査人の権限と責任等の明確化
・システム監査の内容とシステム監査人の権限と・責任等を文書化する。
・取締役会などしかるべき機関にて承認を得る
・監査を外部委託する場合にも同様に文書および承認を行う必要がある。
基準2:監査能力の保持と向上
・適切な技能を備えた監査人をアサインする必要がある。
・監査人は外部教育、実務経験を通じて能力を高める必要がある。
・技能を備えた監査人の確保が難しい場合は外部の専門家の力を借りる
基準3:システム監査に対するニーズの把握と品質の確保
・システム監査依頼者が何を求めて監査を依頼しているのか把握する。
・ニーズに応じて適切な基準やガイドラインを組み合わせて判断尺度にする。
・監査組織の点検、評価を定期的に実施し品質向上に努める。
II.システム監査人の独立性・客観性及び慎重な姿勢に係る基準
基準4:システム監査人としての独立性と客観性の保持
・監査対象からの独立性が担保できている必要がある。
・システム監査人には倫理観が重要となる。
・システム監査人は専門的な知識・技能が必須
基準5:慎重な姿勢と倫理の保持
・誤った判断や誤解に基づく判断が起こらない様に注意を払う。
・システム監査人には職業倫理の遵守が求められる。
・業務上知りえた事項を自己の利益のために利用してはならない。
III.システム監査計画策定に係る基準
基準6:監査計画策定の全般的留意事項
・監査計画は中長期、年度、個別に分けて策定する。
・状況変化に応じて計画の修正を行う必要がある。
・監査対象がガバナンス、マネジメント、コントロールのいずれに該当するかを考慮する。
基準7:リスクの評価に基づく監査計画の策定
・情報システムリスクの特性及び影響を見極めて影響が大きな対象領域に資源を重点配分する。
・情報システムリスクは「情報システムに係るリスク」、「情報に係るリスク」、「情報システム及び情報の管理に係るリスク」からなる。
・情報システムリスクは一定ではないので監査対象部門の統制自己評価やアンケート、インタビュー等の手法でリスク情報を更新する。
IV.システム監査実施に係る基準
基準8:監査証拠の入手と評価
・個別監査計画に基づく監査手続きを実施し、監査証拠を入手する。
・監査手続きは予備調査(事前調査)と本調査に分けて実施される。
・精緻な管理ドキュメントの作成に重きを置かれない手法がとられている場合は追加的な負担を課さないよう考慮する必要がある。
・1つの監査目的に対して複数の監査手続きを組み合わせて実施することもある。
基準9:監査調書の作成と保管
・システム監査人はすべてのシステム監査で監査調書を作成する。
・監査調書に記載されたシステム監査人の所見は監査意見の根拠となる。
・監査調書は安全性を確保した上で容易に参照、活用できるように保管する。
基準10:監査結論の形成
・システム監査人は結論表明の根拠を得るために十分な監査証拠を入手するために監査手続を実施する。
・監査調書に基づく結論表明は論理的である必要がある。
・不備がある場合は内容と重要性から指摘事項とすべきか判断し、指摘事項とする際でも事前に優先順位を設けておくこと。
V.システム監査報告とフォローアップに係る基準
基準11:監査報告書の作成と提出
・監査報告書は正確性、客観性を担保した上で図版を活用するなど分かりやすく、建設的であることが必要
・監査依頼者の承認を得て、監査対象部門にも監査報告書の写しを回付する。
・外部機関(官公庁、会計監査人など)への監査報告の開示については監査依頼者の承認を受けること。
基準12:改善提案のフォローアップ
・監査報告書に記載された改善提案については改善計画書を受領した上で定期的にモニタリングする。
・システム監査人は改善計画の策定や実行には関与しないこと。
・改善提案に基づく問題が放置されている場合は監査依頼者に対して報告する。
乱暴にまとめるとするなら、以下の様な感じだな。地味な取り組みですが、これを生業にしている人もいるので一概に不要な仕事とも言えないところです。
1.監査組織の整備=どんな組織が監査をするか
↓
2.監査人の独立性担保=監査対象から独立しているのか
↓
3.監査計画策定=中長期の目標決めてから個別計画を準備する
↓
4.監査実施=証拠をどう入手するか。監査実施したら紙に残すこと
↓
5.監査報告とフォローアップ=偉い人に報告する方法と事後モニタリング
補足ながら平成30年版ではアジャイル関連の監査についても触れられています。
基準8についてはアジャイル以外にも通常の組織にも通じるのではないかと思います。監査のアリバイのために過度な資料を作成するのではなく運用を通じて自然と監査証跡が担保されていてそれを証拠として収集するというのがあるべき姿じゃないかと思います。
現場を見ていると監査のアリバイのためだけに作成されて、押印されている資料の何と多いことかと思います。これが日本の労働生産性の低さの一員じゃないのかとさえ思います。まぁそうならない様に実効性があって有効な対策を指摘できる様に勉強していきたいと思います。
コメント