システム監査

ITガバナンス:経済産業省の定義によると「企業が、ITに関する企画・導入・運営および活用を行うにあたって、すべての活動・成果および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組み込むこと、または、組み込まれた状態」を意味する。

システム監査はそのITガバナンスがちゃんとできてますか?を確認するお仕事。

システム監査人と監査の依頼者・被監査部門の関係

システム監査人に求められる独立性

  • 外観上の独立性:監査対象から独立している
  • 精神上の独立性:常に公正かつ客観的に監査判断を行える
  • 職業倫理と誠実性:誠実に業務を実施しなければいけない
  • 専門能力:適切な教育と実務経験を通じて、専門職として知識及び技能を保持しなければならない

独立性を求められているので、依頼を受けて監査を行うが、システム修正などの実際の業務変更を行う権限は有していない

システム監査の手順

  1. 監査計画の立案:監査の目的を効率的に達成するための、監査手続きの内容とその時期、および範囲などについて適切な計画を立案する
  2. 予備調査:本調査に先立ち、監査対象の実態把握に努める。資料の収集やアンケート調査など、被監査部門の実態調査を行い、適切なコントロールがなされているか確認する。
  3. 本調査:予備調査で作成した監査手続き書に従い、現状の確認と、それを裏付ける監査証拠の収集、証拠能力の評価を行い、監査長所としてまとめる
  4. 評価・結論:調査証書に基づいて、監査対象におけるコントロールの妥当性を評価する。

システムの可監査性

処理の政党制や内部統制を効果的に監査またはレビューできるようにシステムが設計・運用されていることを指す

  • コントロールとは:適正に統制するための仕組みを意味する。業務内容を検証できるようになっていないとダメ。
    • データ入力して終わり!ではなく、その入力したままのデータ(プルーフリスト)と元の伝票などを突き合わせる仕組みがコントロール
  • 監査証跡:システムにおける事象発生から最終結果に至るまでの一連の流れを、時系列に沿った形で追跡できる仕組みや記録のこと
  • 監査証拠:監査記録をまとめたものを監査調書と呼ぶ。根拠となる事実と、その他関連証拠が添えられていて、自らの関西圏を立証するに足る必要な事実。

監査報告とフォローアップ

システム監査人は監査報告書の記載事項について責任を負わなければならない。

  • 保証意見:基準に適していることを保証する意見
  • 助言意見:欠陥の指摘と改善点の表明

この2種類の意見があり、そのいずれにも責任を負う。

ただし、監査人ができるのは改善指導のみです。この改善指導のことをフォローアップと呼ぶ。

タイトルとURLをコピーしました