2. システム監査の実施(2/8)~予備調査~

システム監査技術者
tea
tea

システム監査の実施における予備調査について説明します。
関連資料の収集,インタビューなどによる情報収集から現状把握について確認していきましょう。

2-2 予備調査

(1) 関連資料の収集,インタビューなどによる情報収集

概要

予備調査は,監査対象業務の実態を把握する作業であり,本調査の円滑かつ効率的な実施のために行う。予備調査では,まず監査対象システム及び監査対象業務の概要,コントロールの状況などを把握するために必要な情報を収集する。情報収集は,文書・資料などの関連資料の収集,関係者へのインタビュー,現地調査などによって行う。また,質問票を監査対象部門に送付し,回収するなどして必要な情報を収集する。

(2) 現状把握

概要

収集した関連資料のレビュー,関係者へのインタビュー,現地調査などで収集した情報,質問票の回答の分析などによって,監査対象システム,監査対象業務及びコントロールの実態を把握する。次に,現実の状態とあるべき状態を比較して問題点を識別する。現状把握に際しては,個別監査計画の監査目的について,システム監査技術者が求めるレベルを事前に明確にしておく必要がある。また,個別監査計画の策定時に予測できなかった問題点の存在の可能性にも留意する。

以下は、システム監査における予備調査の手順を、提示された内容に基づいて作成したものです。

1. 予備調査の目的確認

  • 監査目的の明確化: 予備調査を通じて得るべき情報や、監査本調査の成功に必要な成果を確認。
  • あるべき状態の定義: 監査基準や規範を基に、システムや業務が目指すべき状態を明確にする。

2. 必要情報の収集

(1) 文書・資料の収集

  • 対象資料の特定: システム構成図、業務フロー、運用マニュアル、ポリシー、内部監査結果、外部監査レポート、問題記録など。
  • 関係者への依頼: 関係部門に必要な資料の提供を依頼。
  • データ整備: 収集した資料を体系的に整理し、分析可能な状態にする。

(2) 質問票の送付

  • 質問票の作成: 業務フローやコントロール状況を把握するための項目を設計。
  • 対象部門への送付: 関係部門に送付し、期限を設けて回収。
  • 回答の初期レビュー: 不明点や追加の確認が必要な箇所を特定。

(3) インタビューの実施

  • 関係者の選定: システム管理者、業務責任者、現場担当者など。
  • 質問事項の準備: 資料や質問票の回答を基に、重点的に確認するポイントを設定。
  • インタビューの実施: 対話を通じてコントロールの実態や課題を把握。

(4) 現地調査

  • 調査対象の確認: システム稼働環境、業務現場、セキュリティ対策の実施状況。
  • 現場観察: 実際の業務プロセスやシステム運用状況を観察し、ギャップを記録。

3. 情報の分析

(1) 資料レビュー

  • 提供された文書・資料、質問票の回答を基に、業務フローやシステム構成の理解を深める。
  • コントロールの設計や運用状況を確認し、不足や不整合を特定。

(2) ギャップ分析

  • あるべき状態との比較: 現実の状態と目標基準を比較して問題点を特定。
  • リスクの特定: 不適切なコントロールや不備がシステムや業務に与える潜在的なリスクを識別。

(3) 未解決問題の確認

  • 個別監査計画で想定していなかった課題の可能性を検討し、未解決問題の解決に向けた方針を設定。

4. 結果の整理と報告

  • 調査結果のまとめ: 予備調査で得た知見を整理し、監査計画との整合性を確認。
  • 問題点の共有: 監査チーム内で予備調査結果を共有し、監査本調査での重点項目を決定。
  • 関係者へのフィードバック: 監査対象部門に予備調査での主な発見や懸念事項を簡潔に報告。

5. 次のステップへの準備

  • 監査計画の見直し: 予備調査で判明した情報を基に、必要に応じて監査計画を修正。
  • 本調査の準備: 調査項目やスケジュールの最終調整を行い、次のフェーズに移行。

この手順を通じて、監査対象業務やシステムの実態を把握し、監査本調査の効果的な実施につなげます。