IT統制監査の実施手順
IT統制を整備運用していくためには、システム部門や業務部門などの関係者がその役割を果たしているか、効果的な活動を行っているかどうかを監視し、牽制するために、当事者から独立した部門による「IT統制監査」が必要となります。IT統制監査は以下のように、予備調査→本調査→評価・結論→監査報告→フォローアップの流れで実施されます。
| 予備調査 |
| 本調査に先立って行われるもので、監査対象となる情報システムや部門の概要を把握し、その実態とコントロールの整備状況を認識することが目的となっています。監査人は、情報システムに関する規定、各種設計書、担当者へのインタービューなどを行うことにより、現状を確認し、コントロールに対する整備状況を評価します。 |
| 本調査 |
| 具体的な監査証拠を収集し、予備調査で確認したコントロールが有効に機能しているかを確認します。監査人は、現地調査、インタビュー、コンピュータによるデータ検証などを実施して、客観的な証拠を入手します。本調査で発見された問題点などの指摘事項は監査調書に記録しておきます。 |
| 評価・結論 |
| 調査でまとめた監査調書を確認し、監査の目的との妥当性の確認や監査結果の評価を実施し、監査意見をまとめます。報告の内容に見解の相違が生じるのを防ぐため、監査人は監査対象となる部門との意見交換を行うことも必要となります。 |
| 監査報告 |
| 監査人は、監査の結果とその評価を経営者や監査対象となった部門に報告するための「監査報告書」を作成し報告を行います。 |
| フォローアップ監査 |
| 監査で発見された統制不備事項の改善状況を確認するために行われます。対策が不適切と判断された場合は、再度指摘を行い、速やかに報告書に指摘事項を取りまとめたうえで、責任者に報告し、更なる改善を促します。 |
IT統制監査は、一度実施すれば終わりという性質のものではありません。ITリスクマネジメントのPDCAサイクルの「C(Check)」として組み込まれており、更なるIT統制の整備・運用の改善を行うためには、継続的な実施が必要となります。