2. システム監査の実施(4/8)~本調査①~

システム監査技術者
tea
tea

システム監査の実施における本調査について説明します。
現地調査について確認していきましょう。

2-4 本調査  (1) 現地調査

概要

監査手続書の作成後,本調査を実施する。現地調査は,システム監査技術者が現地に赴き,自らの目で確認,評価することによって行う。現地調査は,監査手続書に従って実施するが,監査手続書の作成時に想定した状況と異なることがあるので,現地の状況に応じて監査手続を変更する。現地調査では,監査意見の裏付けとなる監査証拠を入手する。なお,監査対応のためだけにドキュメントを作成するといった追加的な負荷をかけないように考慮する。また,必ずしも管理用ドキュメントとしての体裁が整っていなくとも監査証拠になり得ることに留意する(例えばホワイトボードに記載された管理表などの画像データなど)。

現地調査について

本調査における現地調査は、監査対象システムや業務の実態を直接確認し、監査意見を立証するための重要なプロセスです。以下に現地調査の特徴や進め方について説明します。

1. 現地調査の目的

  • 直接確認: 現地に赴き、業務やシステムの運用状況を自らの目で確認し、予備調査や監査手続書で想定した内容との整合性を評価する。
  • 監査証拠の収集: 監査意見を裏付けるための客観的で信頼性の高い証拠を収集する。

2. 実施準備

  • 監査手続書の確認: 事前に作成した監査手続書に基づき、調査の対象、方法、範囲、スケジュールを再確認する。
  • 関係者との事前調整: 現地調査のスケジュールや内容について、対象部門や担当者と事前に連絡を取り、スムーズに進められるように準備する。
  • 必要なツールの準備: チェックリスト、記録用デバイス(カメラ、ノートPC)、データ収集ツールなどを用意する。

3. 現地調査の進め方

(1) 監査対象の観察
  • 現場観察: 業務の実施状況、システムの運用状態、セキュリティ対策の実装状況などを目視で確認する。
  • プロセスレビュー: 業務フローや操作手順の実施が適切であるかを、実際の作業や記録と比較して評価する。
(2) 資料や記録の確認
  • 既存の資料確認: 業務日報、ログデータ、設定ファイルなど、監査対象部門が通常利用する資料を確認。
  • 非公式情報の活用: 監査用に作成された正式な文書だけでなく、例えばホワイトボードに記載された予定表やメモ、メールのスクリーンショットなども証拠として活用する。
(3) インタビューの実施
  • 関係者との対話: 担当者や運用者から現場での業務やシステム運用に関する詳細な情報を聞き取る。
  • 不明点の確認: 予備調査や手続書作成時に不明だった点や疑問点について質問し、詳細を把握する。

4. 柔軟な対応

  • 状況に応じた監査手続の調整: 現地調査中に、監査手続書で想定した状況と異なる点が判明した場合は、必要に応じて手続きを見直す。
    • : 想定外のシステム構成や業務フローが存在した場合、確認対象や評価基準を追加・修正する。

5. 監査証拠の収集と記録

  • 証拠の種類:
    • 文書: 業務手順書、設定ファイル、ログデータなど。
    • 観察記録: 写真、動画、手書きメモ。
    • インタビュー結果: 関係者から得た情報。
  • 負担軽減の配慮: 監査対応のためだけに新たなドキュメントを作成するような要求は避ける。
  • 証拠の信頼性: 管理ドキュメントとしての形式が整っていなくても、信頼性や妥当性が確認できれば証拠として扱う。

6. 調査結果の整理

  • 監査調書の作成: 現地調査で得た証拠を分類・整理し、監査意見の裏付けとなる形で記録。
  • ギャップ分析: 現地で確認した状況とあるべき状態を比較し、問題点やリスクを特定。

7. 調査終了後の報告

  • 関係者への簡易フィードバック: 現地調査終了時に、初期的な観察結果や重要な発見事項を対象部門に共有。
  • 監査チーム内での共有: 得られた情報を監査チーム内で共有し、全体の調査方針や結論に反映する。

ポイント

現地調査は、直接的な情報収集と実態の評価を目的としており、柔軟かつ効率的に実施する必要があります。特に現場の負担軽減に配慮しつつ、必要な監査証拠を適切に収集することが重要です。