サービスマネジメント - 16.システム監査 - 1.システム監査 - 5.システム監査の実施(予備調査,本調査,評価・結論)

Last Update : April 20 2021 22:31:38

     

a. システム監査の実施(予備調査,本調査,評価・結論)

システム監査の調査は、予備調査と本調査の2段階に分けて行います。これは、調査の効率性・有効性が理由です。調査対象が相当に広範囲になりますので、すべての監査項目について詳細な調査を行っていては、膨大な時間がかかりますし、本当に時間をかけて調査しなければならないことが、不十分な調査に終わってしまうことも考えられます。これでは、有効な監査報告につながりません。

予備調査
予備調査では、管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査します。その結果によって、本調査で時間をかけて調査する項目、確認すればよい項目の選別を行い、必要であれば監査個別計画を修正します。

本調査
本調査では、監査対象の実態を、監査個別計画で設定した監査項目・監査手続きに従って調査を行います。監査手続きとしては、ヒアリング、現場調査、資料(文書や記録)の入手と内容確認、質問票などがよく使われます。重要なことは「監査証拠」の確保です。最終的な監査報告の内容は、すべて明瞭な監査証拠によって裏付けられていなければなりません。入手した文書や記録、ヒアリング結果をまとめて確認を受けたもの、現場の写真などが監査証拠になります。見聞きしただけの情報では、監査証拠にはなりません。本調査は、効率的に有効な監査証拠を集める作業です。監査手続きの結果や監査の過程で入手した資料、監査証拠などをまとめ、監査の結論に至った過程がわかるように整理し、監査調書を作成する。

監査報告書作成
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書」の原案を作成します。監査報告書には、監査の実施状況、監査個別計画で設定した監査テーマについての「評価」「改善事項」(改善が必要な事項)とそれに対する「改善案」を記述します。


b. システム監査の評価

評価・結論は、本調査の結果を踏まえ、監査対象の業務実態が監査目的に照らし妥当であるか否かを判断し、その結果を監査報告書にまとめるプロセスである。

その実施手順としては、

  1. システム監査担当者が監査調書に基づき、監査目的に適合した総合評価、監査証拠に基づく指摘事項、実現可能性のある改善勧告の原案を監査意見という形で明確化する。この際、関連する諸基準やガイドラインを判断基準として活用することが望ましい。
  2. システム監査部門内でその責任者を中心として、報告書に記載しない事項、見解を異にする事項、監査担当者ごとの意見を全社的観点から検討し、システム監査部門としての統一見解をとりまとめる。
  3. 定められた記載様式により試案である旨を明示した監査報告書案を作成する。
  4. 被監査部門・改善対象部門・関係部門等と適時かつ速やかに意見交換を行い、指摘事項における事実誤認や新たな問題点の有無、また改善勧告の妥当性を確認し、監査意見を確定させる。この意見交換はあくまでも事実誤認の有無や監査証拠の必要十分な存在を確認するためのものであり、議論をしたり、意見を斟酌したりする必要は無い。但し、異論は補足事項とする場合もある。
  5. 正式な監査報告書を作成し、内容についてシステム監査部門責任者の承認を得た上で、経営陣・被監査部門・改善対象部門を交えた監査報告会を適時かつ速やかに開催する。なお、監査証拠の不足等が判明した場合は、システム監査部門責任者と協議の上、その入手のための追加的な監査手続を実施しなければならない。

c. システム監査技法

1.人的監査技法

【 ドキュメントレビュー
設計書や変更依頼書などの資料が整備されているかを確認する。

【 チェックリスト
チェック項目を一覧表にしたリストを使い、監査を行う。

【 インタビュー
監査対象者から直接、ヒアリングして調査する。

【 照合・突き合わせ
関連する記録の照合やつき合わせを行い監査を行う。

【 現地調査
実際の現地に赴き監査対象の調査や記録の確認を行う。

2.コンピュータを利用した監査技法
監査業務の過程においてコンピュータを使用する技法を、コンピュータ支援監査技法(CAAT: Computer Assisted Audit Techniques)という。

【 スナップショット法
システムの本番環境における処理途中時点の結果の妥当性を確認するため、特定のデータで処理した場合や条件に合致した場合に、その時点のメモリの内容を出力するようにしたもので確認する。

【 並行シュミレーション法
監査人が用意した検証用プログラムに監査対象プログラムと同一のデータを入力して両者の実行結果を比較する技法

【 統合テスト法 】(ITF法:Integrated Test Facility)
監査対象ファイルの中にシステム監査人用の口座を作りその口座に各種の操作をして処理の正確性を確認する技法

【 トレーシング法
特定のトランザクションの処理を追跡してプログラムリストを取得し監査対象プログラムの処理過程の正確性を確認する技法



     

www.it-shikaku.jp