試験日まで残りい少なくなってきました。最近は、午後1問題の演習を進めています。何とか3年分は終えたいですね。
さて、ここまで勉強してきて、何となく理解した監査のイメージをまとめます。午後1や午後2の問題を考える上で、フレームワークとして使いたいです。内容の信頼性は微妙なので、当てにしないで下さい(笑
監査対象(概要)
監査対象には、元々経営上の目的があるはずです。まずは、それを明らかにしておきます。
続いて、具体的な監査対象の中身です。開発や運用などの業務、特定システムなど、ありとあらゆる業務やシステムが、監査対象となります。このへんは、他区分の内容を知っていると、やりやすいですね。
監査対象(リスク)
もし○○だったら、というように、監査対象へ損害を与える可能性を、リスクとして挙げていきます。多少慣れが必要かもしれませんが、少し考えるだけで、わりと多くのリスクを抽出できると思います。
- もし不正な入力があったら
- もしサーバ障害でサービスが停止したら
- もしインフルエンザで要員が大量欠勤したら
通常、これらのリスクに対して、回避や軽減をするためのコントロールを組み込むことになります。
- 職掌分離による承認制度
- 障害発生時の復旧手順規定
- 要員のバックアップ体制
リスクとコントロールは、情報関連に関わらず、日常のあらゆるところに存在します。交通量の多い交差点に信号があるのも、交通事故というリスクに、信号機というコントロールを設けているといった具合です。
監査目的と監査要点
監査するにあたり、監査目的を明確にしておきます。基本的には、監査対象の目的を正しく達成するために、チェックしておきたい内容になります。着目点は、下記でしょうか。
- 経営目標を実現できるか
- 資源を効率的に活用しているか
- 情報の信頼性が保証されるか
- 法令順守しているか(法定監査に関わる場合)
監査目的が明確になったら、その目的のためにチェックしておくべき点を、監査要点として何点か決めます。監査要点となる候補は幾つもありますが、コントロールがきちんと機能しているか、を見ることになります。
監査手続
監査要点について、監査対象が満たしているかを確認する手順が、監査手続となります。色々とありますが、大きく分けて、準拠性テストと実証性テストがあります。
準拠性テストは、コントロールがルールとして整備されていることを、確認します。具体的な手続きは、運用規程の存在や改訂日などのチェックになります。
実証性テストは、ルールがきちんと運用されているか、確認します。具体的な手続きは、運用記録のチェックになります。
こうした手続きを通して出てきた一連の情報が、監査証拠となります。
具体的な手続きは、様々な方法がありますが、代表的な監査技法として、下記があります。下へ行くほど、高コストですかね。なるべく省コストで確認できるほうが、良いです。外部の立場である監査人が、確認できる量や深さには限界があるので、効果的に実現可能なコストとなるよう、気をつけます。
- チェックリスト
- 規程や運用記録、会議録などのレビュー
- 関連する複数資料の突合せ
- インタビュー
- 現地調査
具体的にどれをどのようにチェックするかは、チェック対象の入手方法まで含めて、予備調査の段階で決定しておき、本調査では手続きに則り、粛々と監査証拠を収集します。
監査の評価/結論、報告、フォローアップ
事実である監査証拠を元に、監査人が監査要点に対して、評価をします。それらの評価から、指摘事項や改善勧告、総合評価の記述を行い、監査人の意見としてまとめます。改善勧告に対するフォローアップも実施します。