システム監査の調査は、予備調査と本調査の2段階に分けて行います。これは、調査の効率性・有効性が理由です。調査対象が相当に広範囲になりますので、すべての監査項目について詳細な調査を行っていては、膨大な時間がかかりますし、本当に時間をかけて調査しなければならないことが、不十分な調査に終わってしまうことも考えられます。これでは、有効な監査報告につながりません。
【 予備調査 】
予備調査では、管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査します。その結果によって、本調査で時間をかけて調査する項目、確認すればよい項目の選別を行い、必要であれば監査個別計画を修正します。
【 本調査 】
本調査では、監査対象の実態を、監査個別計画で設定した監査項目・監査手続きに従って調査を行います。監査手続きとしては、ヒアリング、現場調査、資料(文書や記録)の入手と内容確認、質問票などがよく使われます。重要なことは「監査証拠」の確保です。最終的な監査報告の内容は、すべて明瞭な監査証拠によって裏付けられていなければなりません。入手した文書や記録、ヒアリング結果をまとめて確認を受けたもの、現場の写真などが監査証拠になります。見聞きしただけの情報では、監査証拠にはなりません。本調査は、効率的に有効な監査証拠を集める作業です。監査手続きの結果や監査の過程で入手した資料、監査証拠などをまとめ、監査の結論に至った過程がわかるように整理し、監査調書を作成する。
【 監査報告書作成 】
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書」の原案を作成します。監査報告書には、監査の実施状況、監査個別計画で設定した監査テーマについての「評価」「改善事項」(改善が必要な事項)とそれに対する「改善案」を記述します。
評価・結論は、本調査の結果を踏まえ、監査対象の業務実態が監査目的に照らし妥当であるか否かを判断し、その結果を監査報告書にまとめるプロセスである。
その実施手順としては、
1.人的監査技法
【 ドキュメントレビュー 】
設計書や変更依頼書などの資料が整備されているかを確認する。
【 チェックリスト 】
チェック項目を一覧表にしたリストを使い、監査を行う。
【 インタビュー 】
監査対象者から直接、ヒアリングして調査する。
【 照合・突き合わせ 】
関連する記録の照合やつき合わせを行い監査を行う。
【 現地調査 】
実際の現地に赴き監査対象の調査や記録の確認を行う。
2.コンピュータを利用した監査技法
監査業務の過程においてコンピュータを使用する技法を、コンピュータ支援監査技法(CAAT: Computer Assisted Audit Techniques)という。
【 スナップショット法 】
システムの本番環境における処理途中時点の結果の妥当性を確認するため、特定のデータで処理した場合や条件に合致した場合に、その時点のメモリの内容を出力するようにしたもので確認する。
【 並行シュミレーション法 】
監査人が用意した検証用プログラムに監査対象プログラムと同一のデータを入力して両者の実行結果を比較する技法
【 統合テスト法 】(ITF法:Integrated Test Facility)
監査対象ファイルの中にシステム監査人用の口座を作りその口座に各種の操作をして処理の正確性を確認する技法
【 トレーシング法 】
特定のトランザクションの処理を追跡してプログラムリストを取得し監査対象プログラムの処理過程の正確性を確認する技法
www.it-shikaku.jp