システム監査:システム監査の実施(最終更新:2015/12/06 16:33:44 JST)
システム監査の計画
この章の内容
- システム監査実施の意義
- システム監査の実施手順
- 実施準備
- 予備調査
- 監査手続
- 監査手続書
- システム監査技法
- 本調査
- 評価・結論
- 監査調書
- システム監査業務の管理
[*]下へ▼ ▲[#]上へ
システム監査実施の意義(教科書114ページ)
システム監査実施の目的(教科書114ページ)
2004年10月8日に改訂されたシステム監査基準に書かれたシステム監査の目的は,次の4項目が適切にコントロールされていることを総合的に点検・評価することである(システム監査基準の前文).
- 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
- 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
- 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
- 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
またシステム監査を実施した後にシステム監査人が報告,作成する監査意見は,当然ながら適切な監査証拠に基づく必要がある.そのためシステム監査の実施では,この監査証拠を収集する必要がある.
[*]下へ▼ ▲[#]上へ
監査証拠(教科書114ページ)
監査証拠とは監査意見を立証するための事実である.監査証拠は次のようなものがある.
- 物理的証拠: システム監査人自らが検証した現物.例えば,情報システム,人,物
- 文書的証拠: システム監査人が内容を検証した被監査部門で作成された文書的・電磁的記録物
- 口頭的証拠: システム監査人が証拠になると判断した被監査部門の証言・説明を監査人が文書で記録したもの
- 状況的証拠(分析的証拠): システム監査人自らが観察した状況,あるいはそれを分析して導かれたもの
上記の各監査証拠は監査手続に基づいて入手する.ゆえに「システム監査の実施=監査証拠を収集するするために監査手続を実行する過程」と捉えることもできる.
監査証拠を入手する際に留意すべき点には次のようなものがある.
- 必要不可欠性: 監査証拠が監査意見の立証,監査目的の達成に必要かつ不可欠であること
- 経済性: 監査証拠は経済的に合理的な範囲で収集できること
- 証拠能力の十分性: 監査証拠が監査意見の立証,監査目的の達成に十分な証拠能力を有していること
[*]下へ▼ ▲[#]上へ
システム監査の実施手順(教科書115ページ)
システム監査の手順は次のような流れとなる(教科書115ページ図3.1参照).
- 「個別計画書」作成
- 実施準備
- 予備調査
- 「監査手続書」作成
- 本調査
- 「監査調書」作成
- 評価・結論
- 「監査報告書」作成
またシステム監査基準にも次のように明記されている.
Ⅳ.実施基準 2.監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。
[*]下へ▼ ▲[#]上へ
実施準備(教科書115ページ)
実施準備では,システム監査を実施するにあたり,再度,個別計画書の内容を確認する.確認すべき内容としては次のようなものがある.
- システム監査の背景,目的,対象,評価の視点および手続
- 監査チームの意識統一,役割分担の確認
- 外部専門家を利用する場合は,協力事項の明確化
またシステム監査においては被監査部門の協力が不可欠であるので,通常は被監査部門に事前連絡を行う.連絡すべき内容としては次のようなものが挙げられる.
- 監査目的
- スケジュール
- 被監査部門が準備すべきドキュメント
- ヒアリング対象者と該当者の日程確保
原則は事前連絡であるが,被監査部門でコンプライアンス上の問題が予測され,連絡することにより隠蔽の危険性がある場合は,事前連絡を行わず抜き打ちで検査を行う必要がある(いわゆるガサ入れに近い状態).
[*]下へ▼ ▲[#]上へ
予備調査(教科書116ページ)
予備調査は,本調査に先だち被監査部門や監査対象システムの概要を把握するために実施する.予備調査の目的は次の2つである.
- 資料収集やヒアリングを実施して,本調査を効果的,効率的に行うために必要な情報を収集
- 本調査での監査証拠の収集方法を確認
予備調査の作業の流れは次のようになる.
- 監査対象の現状分析: 対象業務や対象システムに存在するリスク,コントロールを確認
- 現状状態と本来状態の間の問題点の検討: 乖離状況を確認し,問題点を明確化.問題間の相互関係,共通性を分析
- 本調査の見直し: 必要があれば個別計画書の本調査の内容を見直し
一連の流れは教科書116ページの図3.2も参照のこと.
効率的に予備調査を行うために,次の2つの手法がよく利用される.
- 監査対象業務やシステムの関連文書,資料類のレビュー
- チェックリストに対する被監査部門の回答の分析
予備調査を実施する際に留意すべき点には次のようなものがある.
- 目標レベルの明確化: コントロールがどのレベルであれば妥当であるのかを明確にする
- 潜在的問題点の存在: 予備調査の段階で明らかになった想定外の問題を掘りおこす
- 監査手続の詳細化,具体化: 明らかになったコントロールの妥当性をチェックするための監査手続を監査手続書に記載する
[*]下へ▼ ▲[#]上へ
監査手続(教科書118ページ)
監査手続はどのように監査を行うかを示したものである.どの監査技法を適用するかを示したものという見方もできる.監査手続には次の3つの側面がある.
- コントロールの点検・評価の過程: コントロールが有効に機能していることを確認
- 監査証拠の入手の過程: 監査手続ごとにそれに対する証拠を必ず収集
- 監査技法の選択適用の過程: 対象ごとに最適な監査技法を選択適用
監査手続によるコントロールの妥当性を評価する際の妥当性に関する判断基準には次の2つがある.
- 準拠性テスト: コントロールが目標,計画,規定などの基準に完全に準拠していることを調査
- 実証性テスト: コントロールの存在の有無とは別に,直接監査目標を達成していることを調査
本来は準拠性テストが中心となるべきであるが,コントロールが不十分な場合には実証性テストによることになる.
監査の適用範囲により監査手続は2つにわけることができる.
- 精査: 監査対象項目の全件に対して監査手続を適用.手作業あるいはコンピュータを援用
- 試査: 監査対象項目の一部に対して監査手続を適用.統計学の手法を利用した統計的サンプリングと経験に基づく経験的サンプリングがある
監査手続適用上の留意点としては次の3つが挙げられる.
- 適時性: 監査手続の適用時期が個別計画に沿っていて,かつ監査目標を達成するために適切な時期であること
- 秩序性: 監査手続が合理的な適用順序で行われていること
- 経済性: 監査手続が経済的な範囲内で行われていること
[*]下へ▼ ▲[#]上へ
監査手続書(教科書120ページ)
個別計画書の監査手続を実施できるレベルまで詳細に記述したものが監査手続書である.監査手続書の役割としては次のようなものが挙げられる.
- 各システム監査人の行動を明確化
- 次回システム監査での参考資料: 監査手続の設計や工数の見積の参考
監査手続書に記載すべき項目としては次のようなものが挙げられる.
- 監査計画段階で記述
- 監査目標,監査技法,適用時期,適用対象,適用範囲,作業担当者,予定作業時間など
- 監査遂行中に記述
- 実施日時,実施担当者署名,実作業時間,監査調書との参照番号など
[*]下へ▼ ▲[#]上へ
システム監査技法(教科書121ページ)
システム監査技法は,基本的なシステム監査技法とコンピュータを利用したシステム監査技法に大別できる.
基本的なシステム監査技法(教科書121ページ)
基本的なシステム監査技法には次のような方法がある.
- チェックリスト法
- システム監査人が作成したチェックリストに対して,特定者から各項目の有無,該当非該当の回答を求める方法
- ドキュメントレビュー法
- 関連する資料,文書をシステム監査人が自ら調査する方法.追加インタビューや現地視察が必要になる場合もある
- 突合法,照合法
- 関連する記録やデータを相互に突き合わせて照合する方法
- 現地調査法
- システム監査人が被監査部門に赴き,そこでの作業状況を自ら調査する方法.システム監査人が測定を実施する実査と被監査部門の担当者が行う作業を観察して妥当性を調査する立会に分けられる
- インタビュー法
- システム監査人が直接,特定者に口頭で質問し回答を得る方法.インタビューの事実を裏付ける関連資料の収集と複数人にインタビューを行い事実・実態を把握する必要がある
[*]下へ▼ ▲[#]上へ
コンピュータを利用したシステム監査技法(教科書122ページ)
コンピュータを利用したシステム監査技法はCAAT(Computer Assisted Audit Techniques)とも呼ばれる.主な手法としては以下のようなものがある.
- テストデータ法
- 準備したテストデータを監査対象プログラムに入力して,出力される結果が期待した結果と一致することでプログラムの正確性を確認する手法
- 汎用監査プログラム法
- 監査対象ファイルの検索,抽出,計算,統計的サンプリングなど,システム監査上使用頻度の高い機能に特化した汎用監査プログラムを利用する方法
- 監査モジュール法
- 指定された条件に合ったデータの抽出や記録を行うことができる監査モジュールを監査対象プログラムに組み込むことで監査用データの抽出を行う方法
- ITF(Integrated Test Facility)法
- 監査対象システム中にシステム監査人用の口座を作成し,その口座に各種操作を行い,処理の正確性を検証する方法.ミニカンパニー法とも呼ばれる
- 並行シミュレーション法
- システム監査人が監査用に用意したプログラムと監査対象のプログラムに同一のデータを入力し,両者の実行結果の比較により監査対象プログラムの正確性を検証する方法
- スナップショット法
- 監査対象プログラムにあらかじめ設定したデータや条件によりメモリをダンプして(つまり実行状態)必要な情報を収集する方法
- トレーシング法
- 特定のトランザクションの処理を追跡し,監査対象プログラムの処理の正確性を検証する方法
- コード比較法
- 正確性が検証されているプログラムと監査対象プログラムをソースコード,オブジェクトコードレベルで比較し,監査対象プログラムの改ざんや変更の有無を確認する手法
汎用監査プログラム法の一例
- ACL
- 上記関連書籍:弓場監修,荒井,伊藤,水田著:監査人のためのコンピュータ利用監査技法(CAAT)の実践[ACL編],清文社,2011
- IDEA
[*]下へ▼ ▲[#]上へ
本調査(教科書123ページ)
本調査は,監査目的に照らして監査対象の調査,分析,検討を行うことである.つまり監査手続書に従い,必要な監査技法を監査対象に適用していくことと言える.本調査の手順は次のようになる(教科書124ページ図3.3参照).
- (予備調査)
- 現状の確認
- 監査証拠の収集
- 証拠能力の検証
- (評価・結論)
本調査は上でも述べたように,監査手続書に書かれた監査技法を用いて実施する.本調査でよく利用される監査技法は,現地調査法,インタビュー法,突合法,照合法,コンピュータを利用したシステム監査技法などである.また実施に際しては次のような点に留意する必要がある.
- 積極的な現地調査: 監査証拠の収集という意味では当然
- 十分な事前準備: 監査手続や監査技法ごとに証拠の収集に要する作業や時間を頭にいれておき,被監査部門の業務を妨げないこと
- 監査手続の適時見直し: 本調査で予見しない事態になる場合や期待した証拠が収集できない場合は適時監査手続を見直すこと
- 実施結果の記録: 文書として残された監査調書のみが監査証拠になり得る.必ず有効な情報は文書として記録すること
[*]下へ▼ ▲[#]上へ
評価・結論(教科書125ページ)
本調査の結果から監査対象の実態が監査目的に照らして妥当であるかを判断し,その判断結果を監査報告書として取りまとめる段階が評価・結論である.評価・結論の流れは次のようになる(教科書125ページ図3.4参照).
- 監査意見の形成: 監査の最終段階の監査意見の明確化.監査意見は事実に基づき作成.指摘事項に対しては監査証拠が必要
- 評価・結論の総合検討: システム監査チーム内あるいは監査部門内で意見の調整・統一化
- 監査報告書案の作成
- 被監査部門との意見交換: 事実誤認の有無や妥当性の確認のため,監査報告書案をもとに被監査部門と指摘事項について意見交換を実施
- 最終的な監査報告書の作成
評価・結論段階で留意すべき点には次のようなものが挙げられる.
- 追加的な監査手続の必要性: 監査証拠が不足する場合は,それらを入手するために追加的な監査手続を実施
- システム監査部門責任者の承認: 最終的な監査報告書は部門長の決裁が必要
- 報告の迅速性
- 非監査部門などからの異論の取扱い: 被監査部門からの意見,異論をすべて取り上げる必要はないが,必要なものは補足事項とすることもある
[*]下へ▼ ▲[#]上へ
監査調書(教科書126ページ)
監査調書は実施た監査手続の結果とその関連資料をまとめたものである.監査結果の記録と同時に監査意見の裏付けのための証拠となる.またシステム監査基準では以下のように明記されている.
Ⅳ.実施基準 3.2 監査調書の作成と保存
システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。
監査調書の使用目的は次のようなものがある.なお繰り返しになるが,文書として残されている監査長所のみが監査証拠となる.
- 監査意見の裏付け証拠
- 個別計画書,監査手続書への準拠性の立証
- 監査手続の実施記録
- 監査業務の品質管理の手段
- 次回システム監査での参考資料(フォローアップ)
監査調書に記載する内容は厳密には定義されていない.よく記載される項目については教科書127ページを参照のこと.なお作成する際には次のような点に留意する必要がある.
- 真実性: 記載内容が真実
- 立証性: 監査意見を立証する証拠たる
- 完全性: 全監査過程を文書化
- 秩序性: 記載事項が体系的に整理
- 明快性: 記載内容が簡潔で明瞭
- 経済性: 費用対効果を考慮した監査
- 現時性: 実施時点で逐次作成
[*]下へ▼ ▲[#]上へ
システム監査業務の管理(教科書128ページ)
システム監査業務の組織内の一業務として捉えることができるため,実施にあたっては適切な管理が必要である.関係する管理には次のようなものが含まれる.
- 進捗管理: 個別計画書で定められた監査スケジュールに沿って,作業の進捗をチェック.監査手続書の実施項目の完了数で把握
- 品質管理: 計画自体の品質管理と実施内容の品質管理に大別できる.
- 計画の品質管理: 監査手続書のレビュー
- 実施内容の品質管理: 監査調書のレビュー
- 個別計画書および監査手続書への準拠
- 監査調書としての的確性
- 意見表明過程の根拠性
- 監査調書記載事項の監査証拠としての必要十分性
- 監査担当者間での意見の整合性
- 総合評価の監査目的への適合性
- 改善勧告の妥当性
システム監査が完了したら,監査業務そのものの改善について検討する.作業実績値と計画値の対比を行い,差異がある場合には原因を分析する.また監査計画書や監査手続書の改善点についても整理する必要がある.さらに,適用した監査技法について有効性,効率性を評価し,次回の実施の際の品質,効率を高めるために利用する.
[*]下へ▼ ▲[#]上へ
このサイトに関するお問い合わせは,連絡先のページをご覧ください.