« AU 午後I 講義その1 | メイン | 2005年12月29日 AU試験午後Iと午後IIとの対応について »
2005年12月27日
2005年12月27日 AU午後I対策その1.1
AU午後I対策 その1.1 =システム管理手順と監査手続き=
Mr.自信ゼロさんから、質問をお受けしました。
この解説の前提条件
この回答は、
自信ゼロさんへの回答の1回目の続編です。
自信ゼロさんの次なる主張と質問内容の概要
自信ゼロさんの質問の概要は次のとおりです。
- 1.監査手続きとしてコントロールのレビューとして→ 帳票や伝票をレビューすればよいことが理解できた
- 2.レビュー対象とレビュー漏れの見つけ方が不明→ この思考過程はシステム管理手順のどこに書かれているのか
要は、午後Iの問題に対する直接的な質問ではなく、監査手続きのよりどころや根拠を 質問されていると私は理解しました。
質問への回答
システム管理基準には求める答えはない
システム管理基準はどちらかというと、「システム監査のための チェックリスト」と考えると良い。だから、システム管理基準には、 監査手続きのヒントは少ない。すなわち、項目の集合であり、手続きの流れではない。
監査手続きのヒントはどこにあるのか
監査手続きのヒントは情報セキュリティ監査基準に大雑把ですが 掲載されています。「情報セキュリティ監査基準」の実施基準です。 その該当部分を抜き出してみましょう。
- 2.監査の実施
- 2.1 監査証拠の入手と評価
- 監査人は、監査計画に基づいて、適切かつ慎重に監査手続きを実施、 保証または助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、 評価しなければならない。
しかし、これだけでは監査手続きの概要は理解できても詳細な理解は困難である。
監査手続きのマナーはどうやって理解したか
実は著者は、監査手続きの理解をISO9000の審査員補の資格取得の過程で習得した。 ISO9000は品質保証の手続きの監査であるが、監査を実施するという点ではシステム監査と 手続きは変わらない。以下にシステム監査手続きの規範を示す
- (1)システム監査人は組織の行動規範を押さえにかかる: 具体的には情報セキュリティポリシや危機管理規定、手続きなどの規範をレビューする
- (2)(1)のレビューした内容に基づいて監査すべき項目のチェックリストを作る: 具体的には、①被監査組織、②被監査対象(ソフト、ハード、人員など)、③入出力帳票
- (3)(2)で対象を絞り込んだら、(1)の規範に基づいて適切に手続きが進行されているか 証拠を押さえにかかる。:具体的には申請書などの捺印が押されているのかをレビューする。
すなわち監査とは、組織的にマニュアルどおりに行動しているのかを検証すること である。そのために、次の観点で監査を行う。
- (1)組織の規範が存在するか
- (2)規範どおしに矛盾がないか
- (3)規範どおりに行動した証拠(帳票、伝票)が存在するか
また、監査人の行動は、事前に立案した監査計画に束縛されることは いうまでもない。
- (1)監査人は監査計画に基づいて行動する
- (2)組織は規範に基づいて行動する
- (3)監査人は監査計画に準拠して、組織と規範に矛盾がないかレビューする
- (4)組織の行動の適切さは監査証跡によって裏付けられる
- (5)監査人の行動の適切さは監査計画と照らし合わせて評価される
- 結論:午後Iの問題を読むときは、監査計画書と組織規範に関する記述に注目せよ
投稿者 kato : 2005年12月27日 20:40
トラックバック
このエントリーのトラックバックURL:
http://www.katoken.gr.jp/bin/mt-tb.cgi/656
コメント
なるほどという感覚です。何故、システム管理基準を理解し覚える必要があるのか、今ひとつピンときていなかったのですが、おぼろげながら理由が見えてきました。要は監査チェックリストであり、監査の視点ということになりますね。そして視点だけではダメで、監査の手続も理解し覚えておく必要がありますね。
投稿者 自信ゼロ : 2005年12月28日 14:50
katoです、自信ゼロさん
>何故、システム管理基準を理解し覚える必要があるのか、今ひとつピンときていなかったのですが、おぼろげながら理由が見えてきました。
★監査基準を知らねば午後IIの論述はかけません★
>要は監査チェックリストであり、監査の視点ということになりますね。そして視点だけではダメで、監査の手続も理解し覚えておく必要がありますね。
★おっしゃるとおりです★しかし、監査基準、運用基準には手続きの詳細がでていない点が
味噌でございます★
投稿者 加藤忠宏 : 2005年12月29日 18:25