2-5 監査調書の作成と保管
概要
本調査においては,監査手続を実施した結果が直ちに監査証拠の入手(監査判断の形成)に結びつくので,その内容を監査調書として記録し,必要に応じて監査対象部門の確認をとる。監査調書は,システム監査技術者がシステム監査の全プロセスを通じて作成又は収集した文書類の総称であり,監査対象部門から入手した文書類と,システム監査技術者が自ら作成した文書類(監査担当者の判断なども含む)に分類される。監査調書は監査意見の裏付けとして必要なので,監査調書の作成と適切な保管は,システム監査技術者の重要な業務の一つである。
- 引用元
- 情報処理推進機構 「システム監査技術者試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.6.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014b0-att/syllabus_au_ver6_1.pdf
監査調書の作成と保管
システム監査において、監査調書は監査の全プロセスを記録し、監査意見の裏付けとなる重要な文書類です。その作成と適切な保管は、監査の信頼性を高め、将来の参照や証拠保全にも役立ちます。以下に、監査調書の作成と保管について説明します。
1. 監査調書の作成
(1) 監査調書の目的
- 監査結果の記録:
- 実施した監査手続や得られた監査証拠を詳細に記録。
- システム監査技術者の判断や評価プロセスを明確化。
- 監査意見の裏付け:
- 監査結果を支える客観的な証拠としての役割を果たす。
- 後続プロセスへの活用:
- 監査報告書作成時の基礎資料として活用。
- 次回以降の監査や内部統制の評価の参考資料として活用。
(2) 監査調書の構成
監査調書には以下の2種類があります。
- 監査対象部門から入手した文書類:
- 業務手順書、システム設計書、運用ログ、リスク評価表、権限管理表など。
- 提供された文書が最新であるかを確認し、必要に応じて関係者から説明を受ける。
- システム監査技術者が自ら作成した文書類:
- 監査計画書、監査手続書、インタビュー記録、ドキュメントレビューの結果、監査意見草案。
- 監査過程で得た知見や判断を記録。
(3) 監査調書の作成手順
- 監査手続の実施と記録:
- 実施した監査手続を監査調書に逐次記録。
- 記録には、手続の目的、方法、対象、結果を含める。
- 監査証拠の収集と分類:
- 入手した証拠を必要に応じて電子データまたは紙媒体で保存。
- 証拠が監査目標を達成する上で妥当かを確認。
- 監査対象部門の確認取得:
- 必要に応じて、監査調書の内容について監査対象部門と確認を取り、誤解や不備を防止。
2. 監査調書の保管
(1) 保管の目的
- 証拠の保全:
- 監査結果を裏付ける証拠を適切に保管し、将来の検証に備える。
- 業務の透明性確保:
- 監査プロセス全体を記録することで、第三者によるレビューを可能にする。
- 再利用:
- 次回以降の監査で過去の情報を参考にすることで効率化を図る。
(2) 保管の要件
- 完全性:
- 監査調書に含まれる証拠や記録が漏れなく保存されていること。
- 機密性:
- 監査対象部門の情報が適切に管理され、無許可のアクセスから保護されていること。
- 可用性:
- 必要なときに迅速にアクセスできるように保管されていること。
(3) 保管手法
- 電子データの保管:
- クラウドストレージや監査専用システムを利用。
- アクセス権を設定し、機密情報の保護を徹底。
- 紙媒体の保管:
- 重要文書を耐火キャビネットや専用保管庫に保存。
- 保管期限を設け、不要な文書は適切に廃棄。
- バックアップの確保:
- 定期的にバックアップを取得し、データ消失のリスクに備える。
3. 監査調書の管理体制
(1) 標準化されたフォーマット
- 監査調書の作成にあたっては、統一されたフォーマットを使用。
- 例: 日付、作成者名、監査手続の詳細、関連文書の添付。
(2) 保管期間の設定
- 法的要件:
- 法令や監査基準に従い、必要な期間保管(例: 5~10年)。
- 実務上の必要性:
- 監査結果に関連するリスクや改善事項が解消されるまで保管。
(3) アクセス管理
- 保管された監査調書へのアクセスは、権限を持つ担当者のみに限定。
- 定期的なアクセスログの確認を行い、不正利用を防止。
4. 監査調書の重要性
- 監査調書は、監査結果の信頼性を担保し、監査意見を支える基盤です。
- 適切な作成と保管を通じて、監査の透明性、客観性、信頼性を高めるとともに、将来の監査や内部統制強化の一助となります。
