システム監査
2022-08-07 (日) 10:10:13
システム監査 とは †
- 情報システムの信頼性、安全性及び効率性について、監査対象から独立かつ客観的立場のシステム監査人が総合的に点検及び評価などを行う一連の活動
システム監査制度 †
- システム監査基準
- システム管理基準
- システム監査企業台帳
システム監査基準 †
- 情報システムのシステム監査業務における、システム監査人の行動規範
- 「システム監査基準」及び「システム管理基準」について - 経済産業省
https://www.meti.go.jp/policy/netsecurity/sys-kansa/
- システム監査基準(平成30年4月20日改訂)
- システム監査基準の意義と目的
- システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。
- システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。
- システム監査基準の意義と目的
監査の分類 †
- 保証型監査
- 助言型監査
システム管理基準 †
- 情報システムのシステム監査における、監査上の判断の尺度
- ITガバナンス
- EDMモデル
- 評価 (Evaluate)
- 指示 (Direct)
- モニタ (Monitor)
- ITガバナンスの6つの原則
- 責任
- 戦略
- 取得
- パフォーマンス
- 適合
- 人間行動
監査対象の分類 †
- ガバナンス
- マネジメント
- コントロール
コントロール(統制) †
- 外部統制
- 組織外部のチェック
- 法律や法令、行政指導
- 内部統制
- 組織内部の基準・チェック体制
- 職務分離
- 会計統制
- 業務統制
- 組織内部の基準・チェック体制
- 内部統制の基本要素
- 財務報告に係る内部統制の評価及び監査の基準 - 金融庁
https://www.fsa.go.jp/singi/singi_kigyou/tosin/20110330.html
- 財務報告に係る内部統制の評価及び監査の基準 - 金融庁
- COSOフレームワークをベースにしてITへの対応を付け加えたもの
- 内部統制の基本的要素
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
- CSA
- 統制自己評価
情報システムの可監査性 †
- 可監査性の要件
- コントロールの存在
- 監査証跡の存在
- 監査証跡
- アクセスログ
- 安全性
- エラー状況の記録
- 運用業務
- アクセスログ
- 監査証拠
- 監査調書
- 監査人が実施した監査のプロセスを記録したもの
- 監査調書
システム監査人 †
- 監査人が実施すること
- 監査計画の立案
- 監査を実施
- 監査意見を監査依頼者に報告
- 被監査部門による改善のフォローアップ
- システム監査基準がシステム監査人に要求する資質と責務
- 外観上の独立性
- 精神上の独立性
- 職業倫理、および誠実性
- 守秘義務
システム監査の実施 †
実施手順 †
- 監査計画
- 監査実施
- 予備調査
- 監査対象の実態を把握するために、本調査の前に行われる。
- コントロールの有無を確認して、監査手続書を作成する。
- 本調査
- 監査手続書に従って調査・分析を行い、監査証拠を入手する。
- 監査証拠の証拠能力と証拠量が十分であるか評価する。
- 監査業務の実施記録として、入手した監査証拠や関連資料をとりまとめた監査調書を作成する。
- 評価・結論
- 監査調書の内容を元に監査報告書を作成する。
- 監査報告書には、監査対象を保証する場合は保証意見を、問題があった場合は指摘事項と改善勧告を記載する。
- 予備調査
- 監査報告
- フォローアップ
監査技法 †
- チェックリスト法
- ドキュメントレビュー法
- 突合法・照合法
- 現地調査法
- インタビュー法
- ウォークスルー法
- 監査モジュール法
- ペネトレーションテスト法
- テストデータ法