監査論４

第４章システム監査の実施

１．予備調査および本調査の目的は何か。また両者はどのようなつながりを持っているか。

ａ．予備調査の目的
監査対象である業務やシステムをまず理解し、その上で現状の作業実態を明確に把握する。また、システムの機能ならびに内部統制の存在、あるいは運用に関して、監査人としての一応の推定を
得る。これにより、本調査が効果的かつ効率的に実施できるようになる。
監査人員や監査時間は限られており、これらの監査資源を有効に使用しない場合にはポイントの絞れない散漫な監査になりやすい。
ｂ．本調査の目的
予備調査の段階で、一応の推定を得た監査人の評価ならびに問題意識の明確化とその証拠集め、問題点に対する改善案の模索、選択である。ここで、証拠集めとは、監査人の行った手続、結果、発見した事実および監査人としての意見、評価を具体的に記録として残すことで、監査証拠となる。

２．予備調査はどのようなタイミングで実施すべきか、その理由は何か。

通常、予備調査は個別計画策定の前あるいは個別監査計画策定作業と並行して行われる。
これは、もし、監査人が対象業務やシステムを十分に理解していなければ、適切な監査目標の設定や監査アプローチ、適用すべき手続きの決定ができないはずであり。個別監査計画策定の前に予備調査を実施する必要があるためである。

３．システムの企画、開発段階での監査が効果的、経済的であるといわれる理由は何か。

ａ．システム監査人がシステム開発に関与すれば、特に信頼性及び安全性の観点から十分な統制機能をシステムに組み込むように要求できる。また、必要とされる監査証跡の確保およびシステムの有効性についても、事前に第三者的観点から検討を加えることが可能である。
仮に、システム稼動後にこれらの機能を組み込もうとした場合には、多大な費用と時間を要するか、あるいは当座しのぎのものになりやすい。
ｂ．稼動後にシステム監査が実施された場合には、その結果指摘された問題点に対する適切な措置が講じられるまで不十分な処理機能やコントロールであるいは非効率的な状態でシステム運用が行われることになる。
ｃ．システム開発に関与することで、開発自体を標準化し、より信頼性の高いシステムを効率よく開発する体制づくりに貢献することができる。また、ドキュメンテーションの充実やシステムテストの徹底、問題の早期発見と対応を可能にし、システム開発の失敗のリスクを最小限に抑えることができる。

４．企画、開発業務の監査を行う場合、一般的にどのようなタイミングで行うか。またその理由は。

ａ．継続的監査
・指導的機能を十分に発揮できる
・問題点を適時に指摘でき改善（手戻り）の費用を最小化できる。
ｂ．完成前監査
・監査コストを抑えることができる。
ｃ．完成後監査
・監査コストを抑えることができる。
・システムの稼動状況を同時に確認できる。
ｄ．局面監査
・費用対効果の観点から監査の効率が最大である。
・大きな改善費用を生じさせない時点で助言勧告できる。
上記の中で、一般的に最も高率的かつ効果的なアプローチはｄであるといわれている。

５．システム開発計画書の記載について監査する場合のポイントは何か。その監査ポイントに対してどのような監査手続きが有効か。

ａ．ポイント
・目的、手段、期間、効果、資金、要員、設備など基本的項目の記載
・システム開発優先度の記載
・組織、業務への影響の記載
・セキュリティ対策の記載
ｂ．監査手続
・システム開発計画書の記載項目が明確に定められ、遵守されていることを確認する。
・各記載内容は、わかりやすくかつ必要十分な程度まで明確に記述されていることを確認する。
・セキュリティ対策の検討において、網羅的にリスクが検討され、リスクを想定した上で対策が検討されているか、質問及び関連資料の査閲によって確認する。

６．開発業務のプロジェクト管理の監査を行う場合のポイントは何か。その監査ポイントに対して、どのような監査手続が有効か。

ａ．進捗管理
ポイント
・客観的な進捗管理の方法
・定期的な進捗報告の実施
手続
・定期的に進捗報告が実施されているか、報告周期はその作業規模からみて適切か評価する。
・プロジェクトで採用している進捗管理に関する報告書を査閲し、内容の的確性を評価する。
・開発のフェーズ及び各作業工程ごとに作業完了予定日が定められ、これと実績日の比較、遅延原因の分析が実施されていることを確認する。
ｂ．予算管理
ポイント
・正確な予算の設定と実績比較
手続
・プロジェクト遂行にかかった費用について、適正な原価計算が行われており、予算との比較が定期的に実施されることを確認する。

７．開発業務の要員管理の監査を行う場合のポイントは何か。その監査ポイントに対してどのような監査手続が有効か。

ａ．職務分離
ポイント
・要員の職務権限の明確化
・作業主体の適切な分離
手続
・開発プロジェクトにおける職務権限規定、組織図、各人の職務規定書をレビューし、その整備状況、適切性、具体性について評価する。評価ポイントは業務分担や外部要因の役割の適切性、特定要員への権限の集中がないかといった点である。
ｂ．ワークロード管理
ポイント
・ワークロードの適切な配分
・要員に対する健康管理の実施
手続
・残業時間や休暇取得状況を記録した帳簿が備え付けられており、管理責任者が定められていることを確認する。
・残業時間の多い要員の有無について常時把握しており、多い要員に対しては正常化のための対策が実施されているか確認する。
ｃ．教育訓練
ポイント
・効果的かつ定期的な教育訓練の実施
スキルの向上、モラルの向上、公平な各自のキャリアプラン、職業倫理教育
手続
・要員の個別教育カリキュラムが作成されており、本人が自覚していることを確認する。
・定期的な教育訓練の実施が長期及び年間計画をもとに実施されていることを確認する。
・各自の教育に関する履歴やその評価が記録され、教育プランに反映されていることを確認する。

８．システム運用上の課題および問題点にはどのようなものがあるか。

ａ．自然災害からの脅威
ｂ．設備、機器、回線などの障害、事故
ｃ．不正行為、破壊行為、ミス
ｄ．コンピュータ資源管理項目の増大
コンピュータシステムの拡大化、複雑化に伴う管理項目の増大
ｅ．投資コストや運用コストの増大
コンピュータ利用の進展に伴う投資コスト、運用コストの増大
ｆ．システム化の目的とその達成度の乖離
システム化の目的が実際のシステム化によって充分達成されないおそれ

９．システム運用上の目標について述べよ

コンピュータシステムが、有効な道具として利用されているためには、運用業務について次のような点について重点を置くべきである。
ａ．システムの安定運行
ｂ．システムのセキュリティ確保、維持
ｃ．システム運用の効率化、省力化
ｄ．システム資源のコスト削減、有効利用
ｅ．システム要員の資質、モラールの向上
ｆ．システムの処理機能、情報の有効利用

１０．下記の事項についてその必要性、達成するためのコントロールおよび監査手続を述べよ

ａ．オペレーション体制の職務分離
オペレータの専任化
オペレーション業務の分離
・監査人は、システム部門の組織図や要員の業務分担表を入手し、職務分離の状況を検討する。その上で質問等を通じてルール上ならびに実態上十分な職務分離が行われ兼務すべきでない職務を同一の要員が担当していないか、一人の業務が他の者にチェックされる体制になっているか確認する。
・夜間や休日あるいはプログラムテスト等のために、ＳＥやプログラマがコンピュータを操作することがないか、また、このような場合のコンピュータ使用申請および承認の手続が明確に規定され
遵守されているかどうか調査する。
・小規模システムの場合には、ＳＥおよびプログラマがオペレータを兼務し、充分な職務分離が実施されていないことが多い。このような場合には、管理者によるコンソールやログのレビューや担当
ユーザ部門の出力チェック等十分な補完コントロールが導入されているか検討する。
ｂ．捜査手順書の整備
・監査人は、操作手順署が適切なものがあるか調査する。特に、障害対策は、緊急事態で時間的余裕がなく、また高度な技術を持たない者が復旧作業に当たることも考えられるため、操作手順書に具体的かつ詳細な指示が網羅的に記載されていることが必要である。
・操作手順書にオペレータに知らせない方がよい事項または知らせる必要のない事項が記載されていないか注意する。
・操作手順書がオペレータによって遵守されていることを確認する。
ｃ．ジョブスケジュールと例外処理
・監査人は処理スケジュール、ジョブ優先度付けおよび例外処理に関する作業ルールについて、規定の査閲や運用責任者あるいはオペレータに対する質問、関連資料のレビューなどによって調査し、その適切性について評価する。
・例外処理については、それが必然的に生ずるものであり、かつ予定不可能なものに限定されているか検討する。
ｄ．オペレーション記録
監査人は、ジョブスケジュール、オペレーション記録を入手し、次の点を調査する。
・管理者による承認の有無
・すべてのコンピュータ稼動時間がオペレーション記録の対象となっていることの検証
・予定外のオペレーションを行っていないか。ある場合、その理由は妥当か。
・処理時間や処理時刻が予定に比較して大幅に変わっていないか。
・不明な操作、リラン、中断、停止などのオペレータ介入、メッセージの無視などが生じていないか。
ｅ．事故・障害履歴
「事故、障害報告書」に対する監査では次の点に着いて調査をする。
・オペレータ等のミスによって発生した事故および障害についても隠蔽することなく、記録するように指導、教育されているか。
・原因の分析は、必要に応じてコンピュータメーカ等の専門家の協力を得て、徹底的に行われているか。
・再発防止策が具体的かつ実践的であるか。
・「事故、障害報告書」は、管理責任者の承認を得ているか。
・「事故、障害報告書」は、定期的に分析整理し、適切なフォローアップを行っているか。
ｆ．障害時・災害時対応策
・障害時、災害時対策が適切であり、実務的に作成されているかについて検討する。特にコンピュータ処理停止時の代替手続については、その実施可能性を十分に検討しなければならない。
・実際に、障害及び災害が発生した場合には、実施した手続を担当者に質問して確かめ、必要に応じて障害、災害時の取引記録を検証し正確に処理されたことを確かめる。
・障害時、災害時対策における各作業の担当者及び責任者を明確にし、対応策をマニュアル化して関係者に周知徹底されているかについて調査する。
ｇ．入力データの取り扱いルール
・入力データの取り扱い、作成手順がユーザマニュアルとして文書化されていることを査閲及び質問によって確認する。
ｈ．入力データの承認
・承認の実質性に注目し、入力帳票への原始証憑添付が行われていること、管理者不在時の承認手続等を調査する。
・取り消し、修正、追加データについても適切な承認があることを検証する。
ｉ．エラーデータの修正と再処理
エラーデータの修正ルールが適正であるかについて検討し、以下の項目についてエラーリストを入手してテストする。
・エラーを修正するために必要とする十分な情報を含んでいることの承認
・データが正当な理由で拒絶されたことの確認
・すべてのエラーデータが修正され迅速に再処理されたことの確認
・修正データについての承認の確認
ｊ．アクセス管理
パスワードによるアクセス管理の運用が的確であるかについて調査する。
ｋ．入退室管理
・入退室管理規定の査閲及び現場視察などを行い、入退室が厳格にコントロールされているか調査する。
・夜間や休日の入退館については、事前承認の手続が取られているか確認する。
ｌ．出力情報の取り扱い
出力情報の機密度のランク付けが適切か、各機密度に応じた取り扱いが適切か取り扱い方法が遵守されているかどうかについて、検討・評価する。
ｍ．出力情報の信頼性、有用性
・出力情報の正確性を確認するためのチェック機能が有効に活用されているかをチェック責任者に質問し、実際にテストすることによって確認する。
・出力情報の分析結果は、ユーザ部門およびシステム部門責任者に報告され、分析結果に基づいた改善措置が図られていることを確認する。

１１．監査技法とは

監査技法とは、監査実施に当たって選択しうる監査の技法である。
システム監査を実施する場合に、監査人は監査目的に照らし最も効果的な監査技法を選択適用しなければならない。

１２．システム監査のアプローチにはどのようなものがあるか

ａ．データ処理の結果に対して分析、検証する方法
データファイルの分析、検証のための監査プログラム法の利用が効果的な場合が多い。
ｂ．システムのユーザ部門及びシステム部門での諸統制機能の整備、運用状況ならびに情報システムの処理機能をテストする方法
ユーザ部門及びシステム部門での方針や手続の準拠性のテストやテストデータ法またはトレーシング法などの組み合わせ適用が有効。

１３．コンピュータ周辺監査はどのようなものか

コンピュータシステムそのものを直接監査することなく、入力、出力のみを監査し、コンピュータシステムの評価をする方法。
今日の複雑化した統合システムでは、このような監査技法を適用できないケースが増えている。

１４．テストデータ法とはどのような監査技法か

テストデータを本番プログラムで処理し、処理結果をあらかじめ用意した結果と比較する方法。
コンピュータプログラムに組み込まれたコントロール機能や計算処理などが正確に実行されているか確かめるために利用される。

１５．ＩＴＦ法とはどのような監査技法か

ミニカンパニー法またはダミーカンパニー法とも呼ばれる統合テスト法。
アプリケーションシステムの中に、テストのために設けられたダミーの会社や支店を対象にして、正常な業務処理環境の中で行うテストデータ法である。

１６．並行シュミレーション法はどのような監査技法か

プログラムの機能が適正でありデータが正確に処理されていることを確かめるために、同一の機能を備えたテストプログラムを用意し、実際のデータを処理して、両方の出力結果を比較することによって正確性を検証しようとする方法。すべてのトランザクションのテストより効果的に経済的な徹底したテストが可能である。

１７．スナップショット法とはどのような監査技法か

システムにルーチンを組み込み、ある条件を満たすデータが通過するたびにその時点の主記憶装置の内容を出力させるもので、ブラックボックスの内部を処理過程の必要時点において確認し、監査証跡を確保しようとする方法。

１８．トレーシング法とはどのような監査技法か

特定のトランザクションデータの処理を追跡して、その処理を実行したプログラムステートメントの履歴をリストし、プログラムの論理的な検証をする。
プログラムの実行をもっとも詳細に把握できるという利点を持っているが、トレースのために処理効率を落としたり、トレース情報が詳細すぎて分析に多大の労力を要するおそれがある。

１９．比較法（コード比較法）とはどのような監査技法か

システム開発段階において、機能の正確性を検証したりプログラムのコピーをあらかじめ保管しておき、この保管したプログラムと本番稼働中のプログラムを比較してその差異について検討する方法。

２０．監査モジュール法とはどのような監査技法か

アプリケーションシステムに監査モジュールを組み込んで、そのモジュールによって標本抽出、例外報告などを行う方法。
大規模でかつ複雑なアプリケーションシステムを流れるすべてのトランザクションを継続的にモニタすることができる。また、一旦モジュールが組み込まれると、限られた知識や経験しかもたない監査人であっても時間をかけずに活用できる。

２１．監査プログラム法とはどのような監査技法か

監査人が指定した基準に従って、ファイルからデータを抽出し、演算、比較等を行うレポートを作成する方法。
特定の処理過程の機能そのものをシミュレートし、それを検証するとともにその処理過程に入力される情報と、そこから出力される情報の正確性、正当性を検証する。

２２．監査調書とは何か、またその目的は何か
監査人が監査計画立案に着手してから、監査報告書を提出するまでの間に作成収集された書類及び資料を監査調書という。
監査調書には監査人が選択適用した監査手続、その適用の結果発見した諸事項、入手した諸資料及び監査人の結論、所感が細大もらさず詳細かつ具体的に記録される。
監査調書は、監査が適切に計画され、計画に沿って適切に実施されたことを保証する資料であり、監査報告書作成の基礎となる資料である。また、次期以降における監査計画設定時の参考資料としても有用である。

２３．監査調書はどのように分類されるか。またどのような内容が含まれているか。

ａ．永久調書綴
監査対象領域ごとに作成され、監査人が監査実施の都度参考にするための基本的な情報を含んだ監査調書。
・会社の経営方針
・情報システム部門の組織、職務分掌
・情報処理に関する規定、標準、手続書等
・ハードウェア、ソフトウェア関連資料
・データ通信ネットワーク構成、機器に関する資料
・前回までの監査で指摘された問題点とその改善状況
ｂ．当座調書綴
監査を実施するごとに作成される監査調書
・監査計画書
・監査手続書
・対象システムの概要説明
・対象システム内の情報の流れ
・ユーザ部門で実施している主な内部統制
・情報システムに組み込まれた主な統制機能
・当該システムのセキュリティ対策及びシステムダウンに備えての緊急時対策
・監査実施段階で作成、収集した資料
・監査の過程で発見した問題点を集約した調書
・問題点及び改善についての非監査部門との討議内容

２４．監査調書作成上の留意点は何か

ａ．監査業務に関する重要事項は、すべて収録されていなければならないこと
ｂ．監査調書に記載された事項は、簡潔明瞭であって、監査監督者や監査責任者等の第三者にも正しく理解されること。
ｃ．監査調書はファイルに秩序整然と綴り込まれ、検索が容易に可能であること。
ｄ．その他
・可能な限り同一規格用紙を使用する
・監査対象領域を明記する
・テスト対象データや業務、システム関連記述等の情報源を明記する
・監査目的、実施した手続、手続の適用範囲を明記する
・重要なコメント、発見事項を簡潔に記載する
・監査実施者及び責任者は署名捺印する

２５．監査の質を確保するためにはどのようなことをすればよいか

ａ．監査計画の立案
監査計画書及び監査手続書を作成する。
ｂ．監査調書の査閲
ｃ．監査担当者の教育
ｄ．質問書及びチェックリスト類の整備

情報技術スキルアップの種のページへ

GLORY's OFFICEへ