支部報告 【 近畿支部 システム監査 基本学習セミナー 】

会員番号 2700 石嶋 藤代(近畿支部)

1.テーマ 「システム監査の基本、および、監査プロセスの概要について」
2.講師    【講義の部】三橋 潤 氏(近畿支部)【演習の部】浦上 豊蔵 氏(近畿支部)
3.開催日時  2019 年 11 月 30 日 (土) 13:00~17:00
4.開催場所  大阪市立大学 梅田サテライト 文化交流センター 大セミナー室
5.講座概要

「システム監査」に興味を持っていただくことを目的として、「システム監査の基本」について二部構成のセミナーを開催した。
【講義の部】 システム監査の手順と技法概説
【演習の部】 情報処理技術者試験(過去問題)を題材としたシステム監査の演習
本セミナーでは、システム監査の理論だけでなく、講師の実務ノウハウをからめた「システム監査の基本」について解説した。

【講義の部】システム監査の手順と技法概説

(1)システム監査とは

「監査」および「システム監査」とは何か。システム管理基準・システム監査基準はどのように構成されているのか。「システム監査」と「情報セキュリティ監査」の対象範囲は重複する部分があるものの、システム監査の方が広く、情報システムそのものだけで無く、情報システムに関係する業務すべてを対象としている。

(2)システム監査実施手順について

システム監査は、①監査計画→②予備調査→③本調査→④評価・結論→⑤監査報告の順で実施し、各工程ごとに残すべきアウトプットが存在する。
① 監査計画においては、まず監査依頼者(内部監査担当など)にヒアリングした内容を基に、トップヒアリングシート・現状調査票・自己評価票を作成する。その後、トップインタビューを実施してインタビュー結果を記載し、監査テーマ設定後、監査個別計画書を作成する。
② 予備調査では、被監査部門からのインタビュー、アンケートやマニュアル類等の情報収集により監査対象の業務概要を把握し、「監査手続」を監査チェックリストに記載する。
③ 本調査では、「監査手続」に従って、監査対象のコントロールを検証し、客観的な監査証拠に基づいて問題点を抽出し、問題がHW、SW、要員、手続等のどこに起因するのかを明確にする。本調査における確認結果は「監査調書」として監査チェックリストに追記する。
④ 評価・結論では、予備調査・本調査で収集した監査証拠を整理分析し、監査対象のコントロール状況を評価する。監査結果の評価において、単に、できている/できていない、といった評価ではなく、監査項目に対して評価基準や重みづけを設定しておき、監査結果を定量化して示すことが有効である。
評価結果として、問題点・指摘事項評価点等を記録する。
⑤ 監査報告では、監査報告書を作成する。監査報告書作成においては、まず監査証拠に基づいた評価・結論の結果を、監査人の意見、発見した問題点と改善策を中心に、システム監査報告書原案を作成する。
作成した原案に基づいて、関係部署に事実誤認の有無や改善勧告レベル等について意見交換を行い、
それらを踏まえてシステム監査報告書を完成させる。
システム管理基準等をExcel化して、予備調査や本調査の調査内容を記入できる様式の監査チェックリストを作成しておくと有効なツールとなる。このツールを活用すれば、予備調査の結果から本調査へ進む管理項目が簡単にわかるなど、監査作業を効率できる以外に、分析や成熟度評価にも利用可能となるといったメリットがある。

(3)システム監査の手法・技法

 監査技法には多くの技法があるが、主に活用する技法としては、チェックリスト法、ドキュメントレビュー法、突合・照合法、現地調査法、インタビュー法などがある。

(4)効果のあるシステム監査

 企業経営に役立つシステム監査において重要となるポイントおよびシステム監査とコンサルティングの違いとは何か、について説明があり、講義の部は締めくくられた。

【演習の部】情報処理技術者試験(過去問題)を題材としたシステム監査の演習

(1)午前Ⅱ 選択式問題を例に演習と解説

 システム監査手順、監査証拠、改善勧告、ITACとITGC、試査・サンプリングに関する過去問題を受講者に出題。実際の試験における制限時間(1問あたり90秒)を体感できるように、時間計測し、時間内で問題を解く形式で実施した。問題の解説だけで無く、講師から内部統制に係わるシステム管理基準(追補版)および運用評価のサンプリングについて、補足資料による解説が行われた。

(2)午後I 記述式問題を例に演習と解説

 直近4年の出題テーマについての説明後、そのうちの1問、「基幹システムのオープン化の監査」に関する問題を受講者に出題。まず、講師から「問題文の読み方」についての説明があり、各自で問題の読込を行った。その後、グループに分かれ、問題を解く過程の理解を深められるように、討議を行い、グループごとに解答をまとめ、提出していただいた。
最後に講師から、グループごとの答案の紹介および解答の解説が行われた。

6.所感

筆者は日常業務ではシステム開発に携わっており、システム監査の実務経験は無い。本セミナーにスタッフとして参画することでシステム監査の実務をイメージでき、違った観点からシステム開発業務を考察できるようになり、今後の業務に役立つ良い経験となった。また、本セミナーは情報処理技術者試験の対策を目的とした受講者が多く、「午後Ⅰの問題を使った疑似体験を行う演習は有効であると感じた」といった感想等があり等好評であった。受講者にとっても有意義なセミナーになったと感じている。

以上