2-4 本調査 (3) ドキュメントレビュー
概要
監査手続書に基づいて,ドキュメントを入手しレビューする。ドキュメントレビューでは,承認手続,リスクやコントロールの検討,整備・運用状況などを確かめる。ドキュメントレビュー(突合・照合などを含む)は,紙の文書・書類だけではなく,電子データも対象にして実施する。
本調査におけるドキュメントレビューは、監査対象部門が保有する資料やデータを確認することで、業務やシステムの整備・運用状況、リスク管理、コントロールの実態を評価する重要な手続です。以下にその詳細を説明します。
1. ドキュメントレビューの目的
- 情報の正確性と信頼性の確認:
- 提供されたドキュメントの内容が事実と一致しているかを確認。
- 他の監査手続(現地調査、インタビュー)で得られた情報との整合性を評価。
- コントロールの有効性の評価:
- 業務プロセスやシステム運用におけるリスク管理手法や内部統制の整備状況を確認。
- 監査証拠の収集:
- 監査意見の裏付けとなる客観的な証拠を取得。
2. ドキュメントレビューの準備
(1) 必要なドキュメントの特定
- 監査手続書に基づいて収集すべき資料を特定:
- 規程やマニュアル(業務手順書、運用手順書など)
- 記録類(操作ログ、アクセス記録、障害履歴など)
- 許可・承認文書(変更管理票、承認書類など)
- 評価資料(リスク評価表、内部監査報告書など)
- 収集の依頼: 監査対象部門に対して必要なドキュメントの提供を依頼。
(2) レビュー基準の明確化
- 評価ポイントの設定:
- ドキュメントの正確性、完全性、最新性を確認
- 必要な承認やレビュー手続が正しく実施されているか
- リスクやコントロールに関する適切な記載があるか
- 実際の運用と整合しているか
3. ドキュメントレビューの実施
(1) 内容確認
- 承認手続の確認:
- 提出された文書に必要な承認印や電子的な承認履歴があるかを確認。
- 整備状況の確認:
- 業務手順書やマニュアルが最新化され、利用者に適切に共有されているか。
- 運用状況の評価:
- 実際の業務運用やシステム設定が、文書で定められた内容と一致しているかを評価。
(2) 突合・照合
- 他資料との整合性確認:
- 提出された複数のドキュメント間の内容の一致を確認。
- 他の監査手続(インタビューや現地調査)で得た情報と突き合わせ、矛盾がないかを確認。
- 例: システムログと操作手順書、アクセス記録と権限管理台帳の整合性。
(3) 電子データのレビュー
- 電子文書の確認
- 提供された電子データ(PDF、スプレッドシート、ログファイルなど)も対象。
- データ分析:
- ログや記録データの統計的な分析や異常値の検出を実施。
- 自動化ツールを使用して大量データの効率的なレビューを行う場合もあり。
4. ドキュメントレビューの記録と整理
- 監査調書の作成:
- レビューの結果を監査調書に記録し、確認した内容や評価を明確に残す。
- 発見事項の整理:
- 不整合、リスク、改善点を洗い出し、他の監査手続の結果と統合して問題点を特定。
- 例: 手順書の記載内容と実際の運用に食い違いがある場合、原因と影響を分析。
5. ドキュメントレビューの留意点
- 形式へのこだわりを避ける:
- 文書の体裁が整っていない場合でも、内容が有効であれば監査証拠として扱う。
- 監査対象部門への負担軽減:
- 監査用の追加ドキュメント作成を最小限にし、既存の資料を活用。
- 最新性の確認:
- ドキュメントが最新のものであり、現行の業務やシステム運用を正確に反映していることを確認。
6. ドキュメントレビューの重要性
ドキュメントレビューは、業務やシステムの実態を客観的かつ効率的に把握する手段です。他の監査手続と組み合わせることで、監査意見をより信頼性の高いものにする役割を果たします。また、レビュー結果は次のプロセス(例えば報告書作成)における基礎となります。
