システム監査技術者の業務

出典：システム監査技術者スキル標準（主要業務）

1-1 中長期計画書の作成

□経営目標の実現に向けて、システム監査の視点から情報戦略および情報システムについて効果的かつ効率的に点検・評価するために、中長期の経営計画、情報戦略、情報システム計画などに対応したシステム監査の中長期計画書を作成する。
□中長期計画書には、中長期の監査方針、重点監査対象、システム監査技術者の人員計画・能力開発計画、経費予算計画をはじめ、経営戦略の変化，経営トップの方針の変更などにシステム監査計画をどう変更するかに関わる中長期の計画変更管理を盛り込む。
□この計画は、経営層に申請され、適切な内容検討がなされた後に承認が得られる。

1-2 基本計画書の作成

□中長期計画書を受けて、年度単位に基本計画書を作成する。
□基本計画書の作成に際しては、年度の経営計画書および情報システム計画書に対応させてシステム監査部門の年度目標を明確にする。
□基本計画書には、当年度の監査目的、監査対象、重点監査テーマ、実施体制、実施スケジュール、システム監査技術者の採用・育成計画、経費計画をはじめ、監査基準や監査基準の見なおしを盛り込む。


1-3 個別計画書の作成

□基本計画書を受けて、個々のシステム監査ごとに監査目標（監査目的を詳細化したもの）の設定から監査実施、監査報告、フォローアップまでの全プロセスについて作成する。
□個別計画書には、個々のシステム監査における各システム監査技術者の活動予定を明確にして記述する。
□個別計画書には、監査目的、監査対象、監査範囲、監査目標、監査手続、監査時期および監査日程、監査責任者および業務分担、被監査部門の責任者および担当者、他監査との連携・調整、報告時期、経費見積などを盛り込む。
□なお、個別計画書の作成に際しては、個々のシステム監査自体の有用性を確保するとともに、監査の実現可能性や監査業務の効率性についても考慮する。

2-1 実施準備

□システム監査の実施は、予備調査、本調査、評価・結論の順序で行う。
□予備調査の実施に先立って、システム監査実施責任者および担当者は、個別計画書の内容を再確認する。
□また被監査部門に対して、個別計画書の内容を通知し、協力を要請する。


2-2 予備調査

2-2-1 関連資料の収集、インタビューなどによる情報収集

□予備調査は、監査対象業務の実態を明確に把握する作業であり、本調査の円滑かつ効率的な実施のために行う。
□予備調査では、先ず、監査対象システムおよび監査対象業務の概要、コントロールの状況などを把握するために必要な情報を収集する。
□情報収集は、文書・資料などの関連資料の収集、関係者へのインタビュー、現地調査などによって行う。
□また、チェックリストを被監査部門に送付し、回収するなどして必要な情報を収集する。



2-2-2 現状把握

□収集した関連資料のレビュー、関係者へのインタビュー、現地調査などで収集したコントロールの実態を把握する。
□次に現実の状態とあるべき状態の間の問題点を認識する。
□現状把握に際しては、個別監査計画書の監査目的に対して当該組織体が目標とすべきレベルを事前に明確にしておく必要がある。
□また、個別計画書作成時に予測できなかった問題点の存在の可能性にも留意する。



2-3 監査手続書の作成

□現状把握の結果を踏まえて、本調査で実施する具体的な監査手続（ audit procedures）を検討し、監査手続書を作成する。
□監査手続書には、監査目標、監査技法、適用時期、適用対象、適用範囲、作業担当者、予定作業時間などを記述するとともに、監査業務の遂行中に、実施日、実施担当者の署名、実際作業時間、監査調書との参照番号などを記述できるような様式（監査手続のプロセスを明確にしたもの）で作成する。
□監査手続書は、システム監査の実施におけるシステム監査技術者の行動（立証プロセス）を明確にし、次回以降の監査の参考として利用できるように作成する。



2-4 本調査

2-4-1 現地調査
□監査手続書の作成後、本調査（監査手続の実施）を実施する。
□現地調査は、システム監査技術者が現地に赴き、自らの目で確認、評価することによって行う。
□現地調査は、監査手続書に従って実施するが、監査手続書の作成時に想定した状況と異なることがあるので、現地の状況に応じて監査手続を変更して行う。
□現地調査では、監査意見の裏づけとなる証拠資料を入手する。


2-4-2 インタビュー

□監査手続書に基づいて、被監査部門を中心に関係者に対してインタビューを行う。
□インタビューの実施に際しては、監査目的を実現するために必要な関係者をインタビューの対象者とする。
□また、被監査部門の日常業務に影響を及ぼさないように被監査部門とインタビューの対象者、日時、方法などについて事前に調整する。
□さらに、効果的かつ効率的なインタビューを行うために質問項目を事前に十分検討し、整理しておく必要がある。



2-4-3 ドキュメントレビュー
□監査手続書に基づいて、ドキュメントを入手しレビューする。
□ドキュメントレビューでは、承認手続、リスクやコントロールの検討・整備状況などを調査する。
□ドキュメントレビューは、紙の文書・書類だけではなく、電子データも対象にして実施する。

2-4-4 その他のシステム監査技法
□監査手続書に基づいて、その他のシステム監査技法を適用して監査を実施する。
□具体的には、汎用監査ソフトウェアやユーティリティソフトウェアを活用する方法、チェックリスト法、突合、照合法、などを適用する。
□システム監査技法にはそれぞれ長所短所があるので、監査目標やシステム環境などの状況に応じて適切なシステム監査技法を適用する。

2-5 実施結果の記録（監査調書の作成）
□本調査においては、監査手続を実施した結果が直ちに監査証拠の入手（監査判断の形成）に結びつくので、その都度、その内容を監査調書として記録し、必要に応じて被監査部門の確認をとる。
□監査調書（working paper）は、システム監査技術者がシステム監査の全プロセスを通じて作成又は収集した文書類の総称であり、被監査部門から入手した文書類と、システム監査技術者が自ら作成した文書類に分類される。
□監査調書は監査意見の裏付けとして必要なので、監査調書の作成はシステム監査技術者の重要な業務の一つである。
□監査調書には、監査担当者の判断なども記載する。

2-6 監査意見の明確化（監査判断の形成）
□監査調書に基づいて、総合評価、指摘事項、改善勧告の原案をまとめる。
□総合評価については、監査目的と適合するようにまとめる。
□指摘事項については、改善勧告の内容を正しく理解してもらうために的確にまとめる。
□特に、その事実を裏付ける監査証拠が揃っているか、事実誤認がないかなどを確かめて、指摘事項の適正性確保に努めなければならない。
□改善勧告は、システム監査の究極の使命である情報システムの改善の実現に資するようにまとめる。
□従って、改善勧告は、その内容が妥当なものでなければならない。
□また、改善勧告の実現可能性についての改善実施部門の意見を加味した上で原案をまとめる。

2-7 評価・結論の総合検討
□システム監査責任者を中心として、評価・結論について全社的な観点からシステム監査部門内で検討を加える。
□特に、現地での指摘にとどめ監査報告書に記載しない事項、システム監査担当者と被監査部門との間で見解を異にする事項、システム監査担当者間の意見の整合性、などに対しては十分に検討を重ね、システム監査部門としての見解を統一しておく。

2-8 監査報告書案の作成
□監査の結果を定められた様式で取りまとめ、それが試案である旨を明示する。
□また、報告書を被監査部門へ提示し誤認確認をとっておく必要がある。

3-1 指摘事項の記載
□システム監査を実施した結果は、監査報告書にまとめて、トップマネジメントに報告する。
□システム監査の結果判明した問題点を指摘事項として記載する。
□指摘事項としては、発見事項（現象）の内容、それを問題とするに至った根拠、問題を生じさせている原因、それが及ぼしている影響、他の指摘事項との関連性について記載する。
□なお、指摘事項が複数ある場合には、経営課題、監査目的との適合性、改善の緊急性、潜在的な問題の顕在化の可能性などの観点から、重要度を判断して、重要度の高いものから記述する。

3-2 改善勧告の記載
□監査報告書には、改善勧告を記述する。
□指摘事項を改善するために必要な事項を改善勧告として記載する。
□改善勧告は、改善の重要性および緊急性を判断して緊急改善と通常改善とに分けて記述する。
□システムに重大な欠陥が生じており、そのまま放置できないと判断される事項を緊急改善として記述する。
□重大な欠陥ではないがシステムの改善が図れると判断される事項を通常改善として記述する。
□改善勧告には、改善内容、改善実施部門、他の改善勧告との整合性などを盛り込み、監査報告書に記載する。
□なお、1 つの指摘事項に対して複数の改善事項がある場合には、経営課題の優先順位に応じて記載する。
□また、改善内容は、可能な限り具体的、詳細なものとするよう努めること。
□さらに、改善実施部門との意見交換を行い、改善策の実現可能性についても確認する。
□改善勧告は、技術レベルの問題だけではなく、経営の視点やビジネスプロセスの視点から判断して行うようにする。

3-3 補足事項の記載
□システム監査の結果について補足する事項があれば、それを監査報告書に記載する。
□例えば、総合評価、指摘事項、改善勧告には該当しない内容の意見、トップマネジメントに監査結果を十分理解してもらうために必要な補足資料、システムの現状判断又は改善のために必要な情報などがある。

3-4 監査報告書の提出
□システム監査終了後、速やかに監査報告書を作成し、トップマネジメントに提出する。
□監査報告書は、個別計画書に対応して作成する報告書である。
□監査報告書の写しは、関係部門（被監査部門、改善実施部門など）にも配付する。
□報告書は、個別計画書で定めた期限までに提出する。
□ただし、緊急を要する場合には、直ちに口頭で報告し、後日、報告書を提出する。

3-5 監査報告会の開催
□トップマネジメントや被監査部門、改善実施部門に改善勧告の重要性や緊急性を認識させ、かつその内容を正しく理解させるために、関係者が一堂に会して監査報告会を開催する。監査報告会では、改善作業のスケジュールおよび担当者などを決定して、関係者の合意を得るようにする。

3-6 フォローアップの実施
□監査を実施して判明した問題点に対する改善（改善勧告の実現）を通じて、情報システムの信頼性、安全性、効率性、有用性などの維持、向上に貢献し、組織体の経営に資するために、監査実施後にフォローアップを実施する。
□具体的には、経営者および改善実施部門に対して改善作業が円滑に遂行されるように支援する。
また、改善勧告に対する被監査部門からの改善計画とその実施についてもフォローする。
□改善実施部門が複数にわたる場合には、改善作業の統一性、整合性についてフォローする、改善結果の妥当性を確かめる、などの業務を行う。
□フォローアップの方法には、監査報告会の開催、改善作業の実行計画書および改善報告書などによる実施状況の把握、次回以降のシステム監査での確認などの方法がある。
3-7 年次監査報告書の作成
□基本計画書に対応して、当該年度に実施した結果を年次監査報告書として作成する。
システム監査部門の1 年間の活動状況を年次監査報告書に記載しトップマネジメントに対して報告する。
□年次監査報告書には、基本計画書で計画された事項に対する結果として、システム監査業務の実施状況、特記すべき重要な指摘事項およびその改善状況、システム監査技術者の推移状況、システム監査技術者の教育・訓練活動の状況、システム監査にかかわる予算の執行状況、次年度の基本計画に反映させるべき課題などの事項を記述する。

4-1 進ちょく管理
□システム監査技術者は、基本計画書、個別計画書、監査手続書で計画された事項が、円滑かつ確実に遂行されるように、進ちょく管理を行う。
□進ちょく管理は、予定スケジュールの遂行状況、完了見込みの可能性、監査体制（監査要員・分担など）の見直しなどの視点から行う。

4-2 品質管理
□システム監査技術者は、システム監査の品質を高めるために、監査手続書および監査調書の内容をレビューする。
□監査手続書については、個別計画書への準拠状況、監査目的を実現するために効果的、効率的な監査手続を採用しているかなどの視点から行う。
□監査調書については、個別計画書および監査手続書との準拠状況、監査調書としての的確性、意見形成過程の妥当性、監査証拠の必要十分性、監査担当者間の意見の整合性、総合評価の監査目的への適合性、指摘事項の的確性、改善勧告の妥当性などの視点からレビューする。

4-3 監査業務の改善
□システム監査業務の作業実績値などを集計し、計画値との対比を行い、その原因を分析する。
□また、個別計画書および監査手続書の改善点、システム監査技法の有効性や効率性の評価などを行って、その結果を参考にしてシステム監査業務の改善を図る。

4-4 監査体制の整備
□システム監査を成功させるためには、システム監査技術者の技術、知識、経験を高めていくことが不可欠である。
□システム監査部門の責任者は、中長期の視点からシステム監査技術者を計画的に育成する。また、人事ローテーションにも配慮して育成を行う必要がある。