システム監査:システム監査の計画(最終更新:2015/12/06 16:33:44 JST)
システム監査の計画
この章の内容
- 監査計画の目的と体系
- 中長期計画書
- 基本計画書
- 個別計画書
[*]下へ▼ ▲[#]上へ
監査計画の目的と体系(教科書72ページ)
監査計画策定の目的(教科書72ページ)
監査計画の策定の目的は次の通り.
- システム監査の効率的な実施のため
- システム監査の効果を高めるため
システム監査の効果的な実施では次の事項が重要.
- 監査の目的が明確に設定されていること
- 監査の目的が経営目的と合致していること
監査の実施で重要な事柄は次のようなものがある.
- 監査のPDCAサイクルの確立とそれに基づくコントロール
- システム監査要員であるシステム監査技術者の育成
- 監査計画の綿密な策定
なお,監査のPDCAサイクルは次の4フェーズとなる.下記の4フェーズを継続的に繰り返していく.
- Plan: 監査の計画
- Do: 監査の実施
- Check: 差異の確認,意見の調整
- Act: 是正措置,意見・手続きの見直し
監査目的の明確化(教科書72ページ)
システム監査の目的は,情報システムの安全性,信頼性,効率性(安・信・効)を高め,確保することにある.各比重は監査対象により変化する.監査目的を設定する際に留意すべき事柄には次のようなものがある.
- 経営との整合性確認
- 業務上の問題点の考慮
- 監査の継続性
- 資源の節約
監査業務の効率化(教科書73ページ)
システム監査をどこまで精緻に行うかは,結局は費用対効果.監査に要する費用と監査により得られるリスクの軽減効果を見積り,それにより方法を決定する.
システム監査技術者の育成(教科書73ページ)
システム監査技術者の育成には時間がかかるため,中長期計画の中で人材育成の方針(教育・実務経験など)も盛り込んでおく必要がある.
[*]下へ▼ ▲[#]上へ
監査計画の体系(教科書74ページ)
監査計画は次のように分類できる.
- 期間計画: 決まった期間ごとに作成
- 中長期計画: 3~5年単位で作成
- 基本計画: 年度単位で作成
- 個別計画: 個々の監査ごとに作成
[*]下へ▼ ▲[#]上へ
監査時期の設定(教科書74ページ)
監査の時期や回数は監査対象の性質により次のように分類することができる.
- 一過性の監査: 対象について1回だけ監査を実施.システムの企画や開発など,一定期間で終了する対象で実施
- 定期的な監査: 運用段階にあるシステムの監査は一般に定期的に監査を実施することが多い
- 継続的な監査: 反復してという意味の継続的にではなく,一度に監査を終了するのが難しい対象を分割して実施
[*]下へ▼ ▲[#]上へ
中長期計画書(教科書74ページ)
中長期計画書は,中長期経営計画やシステム計画書に対応して,3年から5年の単位で作成する.中長期計画書では,中長期で検討する必要のあるシステム監査の基本方針やシステム監査技術者育成の基本方針を決定する必要がある.
中長期計画書の役割(教科書75ページ)
中長期計画書は,システム監査の基本方針を示すためのものである.扱う内容としては次の3つが挙げられる.
- システム監査活動の方向づけ
- システム監査活動の基本的な方向の明確化.監査方針,重点監査対象(情報システム,業務など),重点監査テーマ(有効性,有用性,信頼性,安全性,機密性,可用性など)
- 経営目標などとの整合性
- 中長期経営計画の経営目標,情報戦略,情報システム化計画などとの整合性を考慮
- システム監査実施体制の整備
- システム監査技術者育成の方向づけ,監査ツールなどの環境整備の方針
[*]下へ▼ ▲[#]上へ
中長期計画書の必要性(教科書75ページ)
システム監査にかけることができるコストも時間も有限である.そのため次のような理由により中長期計画書が必要とされる.
- システム監査実施の優先度付け →経営目標,経営課題の重要度,緊急度との整合性および対象システムのリスクの大きさにより決定
- システム開発の長期化 →単年度のシステム監査でカバーできない
- 被監査部門側の対応準備 →証跡などの提供には時間とコストがかかる(強制捜査ではない)
- システム監査技術者の育成計画 →育成には時間がかかる
- 外部専門家の活用 →内部で対応しきれない場合はアウトソーシング.契約,お金が必要
[*]下へ▼ ▲[#]上へ
中長期計画書の記載項目(教科書76ページ)
以上より,中長期計画書には次のような項目を盛り込む.
- 中長期の重点監査方針
- 中長期の重点監査対象
- 中長期の重点監査テーマ
- 中長期のシステム監査技術者の人員計画
- 中長期のシステム監査技術者の能力開発計画
- 中長期の経費予算計画など
[*]下へ▼ ▲[#]上へ
基本計画書(教科書77ページ)
基本計画書は,年度単位で行うシステム監査の内容を示したものである.年度ごとの経営計画や情報システム計画書に対応して作成されれる.
基本計画書の役割(教科書77ページ)
基本計画書を作成する目的は次のようなものが挙げられる.
- システム監査部門としての年間活動の明確化
- トップマネジメント,社内関係部門への連絡→活動内容の周知
[*]下へ▼ ▲[#]上へ
基本計画書に必要な内容(教科書77ページ)
基本計画書に盛り込みべき内容は次のようなものが挙げられる.
- システム監査業務の明確化 →対象システム,対象部署,時期を明確化
- 個人スケジュールの明示 →担当者レベルでのスケジュールも明示
- 外部専門家の活用 →アウトソーシングを利用するなら,手配の計画
- 予算要求の基礎 →必要経費,監査ツールなどの整備費,外部委託費など
[*]下へ▼ ▲[#]上へ
基本計画書の立案上の勘案事項(教科書78ページ)
基本計画書を作成する際に考慮すべき事項には次のようなものが挙げられる.
- 中長期計画書で予定されれている当該年度の実施目標 →中長期計画書に沿う必要がある
- 対応する年度の経営計画 →もちろん経営計画にも沿う必要がある
- 対応する年度の情報システム計画 →情報システム計画にも沿う必要がある
- 前年度のシステム監査の実施状況 →実施,非実施の別,改善事項の有無など
- トップマネジメントの意向 →どの程度重視しているのか
- 情報システム部門,ユーザ部門の問題意識 →意識レベルによりかかる時間が変わってくる
- 改善の緊急性 →監査に要する時間とコストが変わってくる
- 問題の顕在化可能性 →可能性が高ければ,時間とコストを多めに見積もる必要もある
- 監査対象,監査時期の重要性 →特に時期は業務に差し障りのないよう決める必要がある
- 監査資源(要員,経費など)の利用可能状況 →人がいないと話にならない
[*]下へ▼ ▲[#]上へ
基本計画書の記載項目(教科書78ページ)
基本計画書には次のような項目を記載する.
- 当該年度の監査目的
- 当該年度の監査対象(情報システム,業務など)
- 重点監査テーマ(監査の着眼点の明確化)
- 実施体制(システム監査担当者および監査担当チームなどの明確化)
- 実施スケジュール(監査対象ごとの日程の明確化)
- システム監査技術者の採用・育成計画(教育内容,日程,OJTなど)
- 当該年度の予算(必要経費項目と金額の明確化,社外専門家への委託経費など)
- 自組織体の監査基準の見直し(必要であれば)
[*]下へ▼ ▲[#]上へ
個別計画書(教科書79ページ)
個別計画書には,個々のシステム監査業務ごとの具体的な作業内容,日程,実施方法などを記述する.
個別計画書の役割(教科書79ページ)
個別計画書の役割は次のようなものが挙げられる.
- 監査目的,監査目標の明確化
- システム監査技術者の活動予定の明確化
- 監査業務の進捗管理
[*]下へ▼ ▲[#]上へ
個別計画書の必要性(教科書79ページ)
個別計画書の必要性は次のようなものが挙げられる.
- 監査目標に対する最適な監査手続の選択 →個別計画書をもとに最適な手続を選択し,重複,欠落の回避
- システム監査業務の標準化 →個別計画書の承認を受けることで監査計画書の内容の統一と監査内容の標準化ができ,一定の監査水準を保てる
- 業務分担の円滑化 →担当者の分担を明確化し,適正な業務分担と責任の所在を明確化できる
- 進捗管理 →監査手続の完了を明記することで進捗状況を把握可能
[*]下へ▼ ▲[#]上へ
個別計画書の記載項目(教科書80ページ)
個別計画書には次のような項目を記載する.
- 監査目的 →できる限り具体的に記述し,監査内容が目的からずれないようにする.監査の実現可能性もチェックする
- 監査対象 →基本計画に準拠して決定.ただしリスクや環境が基本計画作成時から変化していれば反映させる
- 監査範囲 →基本計画に基づいて,監査目的を達成するように定める
- 監査目標 →監査目的達成のための具体的に目指す項目として記載
- 監査手続 →具体的に記述.決定に関しては次の項目を考慮する
- 監査対象,監査目的,監査範囲に応じた手続の検討
- 監査の効率性の配慮
- 情報技術を利用した監査技法の利用(監査ツールなど)
- 伝統的な監査技法の利用(レビュー,ヒアリング,視察など)
- リスクおよびコントロール状況を勘案した監査手続
- 監査時期および監査日程 →監査報告書の提出時期も明確化
- 監査責任者および業務分担 →メンバとメンバの分担を明記.外部委託を行う場合はその分担箇所を明記
- 被監査部門責任者および被監査部門担当者
- 他監査との連携および調整(監査対象,監査日程,監査目的および目標) →他の監査との整合性,関連性を考慮
- 報告時期
- 監査コスト
[*]下へ▼ ▲[#]上へ
個別計画書立案上の留意点(教科書82ページ)
個別計画書を立案する際に留意すべき点には次のようなものが挙げられる.
- 個別計画の柔軟性 →予備調査結果や環境変化への対応,新たに発見されたリスクへの対応
- 作業工数など基礎情報の収集 →過去の監査実施時の工数を記録
- 社内外の専門家の活用
- 定例的,継続的なシステム監査 →前回実施時の指摘事項,改善勧告のフォロー
- 被監査部門との調整の必要性 →事実隠蔽などの特殊な場合を除き,事前に監査内容,時期を連絡
- 報告時期の決定 →余裕をみて決定する
[*]下へ▼ ▲[#]上へ
個別計画書の妥当性の確保(教科書83ページ)
個別計画書は,有用性と実現可能性についてレビューを受ける必要がある.それぞれのチェックポイントは次のようなものが挙げられる.
-
有用性のレビューポイント
- 経営課題,監査目的との適合性
- 監査対象,監査テーマの妥当性
- 監査時期の適切性
-
実現可能性のレビューポイント
- 監査目標の明確性
- 監査手続の具体性
- 監査手続の必要十分性
- 見積作業工数の必要十分性
- システム監査技術者の適格性
[*]下へ▼ ▲[#]上へ
このサイトに関するお問い合わせは,連絡先のページをご覧ください.