システム監査試験対策その4
1回目と2回目と3回目でシステム監査基準、システム管理基準、情報セキュリティ監査基準、管理基準とまとめてきたので今回は趣を変えて監査手続きとかその他もろもろの部分をまとめます。まぁいろんな本からの抜粋なのと個人的見解が入っているのでやや不正確かもしれませんが、その点はご容赦ください。
1.システム監査の役割と目的
(1)役割
・情報システムのガバナンス、マネジメント、コントロールの適切性の保証
・組織体の経営活動、業務活動の効率的な遂行を支援し目標達成に寄与する。
・利害関係者への説明責任
(2)目的
大きなところではITガバナンスの評価
・IT統制の有効性の確認
・会社法で規定されているリスク管理の体制の点検と評価
・保証と助言
2.IT統制の概念
・IT全社統制:全社的な体制や文書類の整備状況
・IT全般統制:開発や保守プロセスおよびその安全性確保、外部との契約関連
・IT業務処理統制:入力情報・マスタの正確性担保、エラー処理、権限制御
3.システム監査の手順
一応、以下のようなプロセスで実施される。(ここも参考にするとよい)
(1)年度監査計画
当該年度の監査対象について監査目的、主要監査項目、実施時期、担当者、予算を
まとめる。<中長期監査計画がベースとなっている。>
(2)個別監査計画
監査案件毎に準備する。一連の監査手順とその日程、担当者をまとめる。往査部門や
重点監査テーマもここで決めて、あらかじめリスク分析も行っておく
(3)予備調査
対象の部門やシステムなどの概要について事前質問票などで情報を収集する。対象の
把握が目的
(4)監査手続書作成
監査項目と監査手続、監査証拠をまとめたもの。手続き書に沿って監査が行われる。
(5)本調査
監査手続き書に従って監査を実施する。本調査時には監査証拠を集める。監査に際し
ては必ず文書で記録を残すことが必須
(6)監査報告
本調査で集めた監査証拠、監査手続書をベースに報告書をまとめる。報告書について
は経営者が問題点を把握できるように簡潔に作成されている必要がある。
(7)フォローアップ
システム監査で改善提言を受けた事項について、当該部門が改善実施計画に沿って
改善報告を行っているかを確認する。
4.システム監査の対象項目
主に以下のようなものがある模様、それぞれ必要に応じて監査テーマを設定する。
5.リスクについて
(1)ITリスクについて
6.システム監査の手法
(1)質問:ヒアリング
担当者にインタビューしてその内容をメモする。
(2)閲覧:レビュー
文書や帳票などの写しを入手して確認する。
(3)観察:視察
実際に現場で運用している状況を確認する。ビデオなどで撮影することもある。
(4)再実施
マニュアルに沿って自分で運用してみる。
7.システム監査人に求められるスキル
以下のような感じのスキルが求められる。それに加えてシステム的な知見、ビジネスの
業務プロセスに関する知見、会計や簿記の知識といったものも求められる。
まぁこの本読めば多少は理解できるのではないでしょうか、比較的まとまってます。
今回の記事でも数多く参照させていただいています。
まぁ、今回はこんなところでしょうか。あまりケチ付けるところはなかったですね。
次回あたりが最後でないと試験に間に合わないので次回が最終回です。
法律関連で締めたいと思います。
1.システム監査の役割と目的
(1)役割
・情報システムのガバナンス、マネジメント、コントロールの適切性の保証
・組織体の経営活動、業務活動の効率的な遂行を支援し目標達成に寄与する。
・利害関係者への説明責任
(2)目的
大きなところではITガバナンスの評価
・IT統制の有効性の確認
・会社法で規定されているリスク管理の体制の点検と評価
・保証と助言
2.IT統制の概念
・IT全社統制:全社的な体制や文書類の整備状況
・IT全般統制:開発や保守プロセスおよびその安全性確保、外部との契約関連
・IT業務処理統制:入力情報・マスタの正確性担保、エラー処理、権限制御
3.システム監査の手順
一応、以下のようなプロセスで実施される。(ここも参考にするとよい)
(1)年度監査計画
当該年度の監査対象について監査目的、主要監査項目、実施時期、担当者、予算を
まとめる。<中長期監査計画がベースとなっている。>
(2)個別監査計画
監査案件毎に準備する。一連の監査手順とその日程、担当者をまとめる。往査部門や
重点監査テーマもここで決めて、あらかじめリスク分析も行っておく
(3)予備調査
対象の部門やシステムなどの概要について事前質問票などで情報を収集する。対象の
把握が目的
(4)監査手続書作成
監査項目と監査手続、監査証拠をまとめたもの。手続き書に沿って監査が行われる。
(5)本調査
監査手続き書に従って監査を実施する。本調査時には監査証拠を集める。監査に際し
ては必ず文書で記録を残すことが必須
(6)監査報告
本調査で集めた監査証拠、監査手続書をベースに報告書をまとめる。報告書について
は経営者が問題点を把握できるように簡潔に作成されている必要がある。
(7)フォローアップ
システム監査で改善提言を受けた事項について、当該部門が改善実施計画に沿って
改善報告を行っているかを確認する。
4.システム監査の対象項目
主に以下のようなものがある模様、それぞれ必要に応じて監査テーマを設定する。
| 項目 | 主な監査テーマ等 |
|---|---|
| 情報セキュリティ管理 | サイバーセキュリティ―、個人情報保護 |
| 設備・機器の保全管理 | 執務スペース、サーバルームなど |
| 安全・災害対策 | リスク分析やコンティジェンシープランの 有効性 |
| 情報システム部門の組織体制 | 情報システム関連の規程、組織分掌等 |
| システムの企画・設計・開発管理 | 情報システム部内の開発プロセスや規約など |
| ネットワークの管理体制 | 構成図、ネットワークの設定関連 |
| 情報システム戦略の全社方針との整合性 | 中期経営計画と中期情報システム整備計画の 整合性など |
| 外部委託 | 委託先管理、契約管理など |
5.リスクについて
(1)ITリスクについて
| 種類 | 内容 |
|---|---|
| IT戦略・IT計画 | 経営戦略との不整合 過剰投資や、計画遅延 |
| IT推進体制 | 責任、権限が不明確 人材、技術不足 |
| システム開発 | 失敗、遅延 コスト増大 品質不良 知財関連のトラブル |
| システム運用 | オペレーションミス システム障害 不正アクセス 運用コストの増加 |
| システム保守 | 保守作業遅延 品質不良 コストの増加 |
| 外部委託・外部サービス利用 | 品質不良 委託先やサービス提供元の事業停止 ベンダーロックイン |
| 災害 | 地震、風水害、火災、雷害 人的災害(テロや紛争) |
(2)ビジネスプロセスにおける行為とリスク
| 行為 | リスク | コントロール |
|---|---|---|
| 受付・起票 | 受付・起票ミス 受付・起票漏れ 受付・起票遅れ | 作業マニュアルの整備 教育 チェックリスト |
| 入力・訂正・削除 | 入力・訂正・削除ミス 入力・訂正・削除漏れ 入力・訂正・削除遅れ 未権限者による入力・訂正・削除 | 作業マニュアルの整備 教育 チェックリスト 複数者によるチェック システムによるチェック |
| 承認 | 誤承認 承認漏れ 承認遅れ 権限のないものによる承認 | 規程の整備 作業マニュアルの整備 教育 システムによるチェック |
| 検収 | 誤受入 受入漏れ 受入遅れ 未権限者による受入 | 作業マニュアルの整備 教育 システムによるチェック |
| 入庫・出庫 | 現品確認ミス 入庫・出庫場所の誤り 伝票と現品の不一致 入庫・出庫漏れ 入庫・出庫遅れ 未権限者による入庫・出庫 | 作業マニュアルの整備 教育 現品票の貼付 バーコードリーダ採用 複数者でのチェック |
| 棚卸 | 確認ミス 棚卸未実施 棚卸遅れ 未権限者による棚卸 | 作業マニュアルの整備 教育 バーコードリーダ採用 棚卸表のシステム出力 複数者でのチェック |
| 転記 | 転記ミス 転記漏れ 転記遅れ 未権限者による転記 | 作業マニュアルの整備 教育 複数者でのチェック システムによるチェック |
| マスター登録 | 入力ミス 入力漏れ 入力遅れ 未権限者による登録 | 作業マニュアルの整備 教育 複数者でのチェック システムによるチェック |
| データ連携 | データの欠落 データ連携漏れ データ連携遅れ | オペレーション自動化 担当者によるチェック |
6.システム監査の手法
(1)質問:ヒアリング
担当者にインタビューしてその内容をメモする。
(2)閲覧:レビュー
文書や帳票などの写しを入手して確認する。
(3)観察:視察
実際に現場で運用している状況を確認する。ビデオなどで撮影することもある。
(4)再実施
マニュアルに沿って自分で運用してみる。
7.システム監査人に求められるスキル
以下のような感じのスキルが求められる。それに加えてシステム的な知見、ビジネスの
業務プロセスに関する知見、会計や簿記の知識といったものも求められる。
| 大項目 | 小項目 |
|---|---|
| 1.システム監査の計画 | 1.中期計画書の作成 |
| 2.年度計画書の作成 | |
| 3.個別計画書の作成 | |
| 2.システム監査の実施 | 1.実施準備 |
| 2.予備調査 | |
| 3.監査手続書の作成 | |
| 4.本調査 | |
| 5.実施結果の記録(監査調書の作成と保管) | |
| 6.監査意見の明確化(監査判断の形成) | |
| 7.監査の結論の総合検討 | |
| 8.監査報告書案の作成 | |
| 3.システム監査の報告 | 1.指摘事項の記載 |
| 2.改善提案の記載 | |
| 3.補足事項の記載 | |
| 4.監査報告書の提出 | |
| 5.監査報告会の開催 | |
| 6.フォローアップの実施 | |
| 7.年度監査報告書の作成 | |
| 4.システム監査業務の管理 | 1.進捗管理 |
| 2.品質の確保 | |
| 3.監査業務の改善 | |
| 4.監査体制の整備 |
まぁこの本読めば多少は理解できるのではないでしょうか、比較的まとまってます。
今回の記事でも数多く参照させていただいています。
まぁ、今回はこんなところでしょうか。あまりケチ付けるところはなかったですね。
次回あたりが最後でないと試験に間に合わないので次回が最終回です。
法律関連で締めたいと思います。
コメント