« 2008年02月 | メイン | 2008年04月 »
2008年03月31日
実査と精査、監査項目と監査ポイントについて
システム監査の基本的用語について
掲示板読者の方からご質問いただきました
昨年度、システム管理に合格しました。今春はシステム監査を受験します。
監査経験はほとんどないため、苦戦しております。
もしよろしければ、アドバイスをお願いします。
初歩的な質問ですが、以下の違いを教えてください。
- 実査と精査
- 突合と照合
- 監査項目と監査ポイント
お忙しい中とは思いますが、よろしくお願いします。
ご回答
3つ質問をいただいていますから、ひとつひとつ回答してみましょう。
実査と精査
実査と精査とも「監査実施」における用語です。
- 実査とは、帳簿上記載のある数量や金額と、実際の数量や金額との差異を把握するために、定期的に行われる実際の在り高を確認するための作業のこと。
- 精査とは、精査とは対象項目の全てを監査すること。反対語は試査
実査:期末棚卸し実施時に、帳簿上の在庫が1000個なければならないとして。本当に倉庫にある在庫数を確認するような場合をいいます。
精査:いわゆる全部の監査対象に対してすべての監査を実施すること。反対語は試査は、
サンプリングをして一部を監査すること。
突合と照合
突合と照合とも「監査実施」における用語です。
-
※結論
- 突合と照合とは、同義語です。
- 突合(照合)は、監査対象項目とそれに関連する証拠を照らし合わせること。
すなわち、監査対象が「従業員セキュリティ教育」であった場合、実際に教育が実施されたかについて 監査証跡と照らし合わせて監査するのです。例えば、
- 教育計画立案の記録:教育計画書(内容の検討、時期の検討、目標など)、会議録、講師選定記録など
- 教育実施の記録:講義録、講師からの報告書、レジュメ、講師謝金支払い記録など
- 教育実施後の評価の記録:同伴者の評価、受講生アンケート、上司の意見、教育担当者による教育計画の見直し・報告書など
よく、システム監査の小論文の添削をしていると、「セキュリティ教育を実施した」 などと簡単に書く方がいますが、実施記録を照合するのがシステム監査人の役割ですから。これは間違いだということが わかりますよね。(^-^;
監査項目と監査ポイント
これは実務というよりもどちらかというとシステム監査技術者試験、小論文対策 に関するご質問ですね!
- 監査項目とは:何を監査するかということ
- 監査ポイントとは:監査項目であげられた内容を規定に基づいて監査する以外に、注意すべきことに 着眼して監査を行う視点のこと
高知県があげた業務監査項目のなかの契約(購買調達)事務を例として示します。
- 随意契約の存在
- 随意契約・変更契約の理由、手続
- 業者選定の経過・理由
- 予定価格の積算根拠・算出方法
- 物品の借入又は役務の提供を受ける複数年契約の評価
- 担当者が契約事務の錬度
契約(購買調達)事務を監査の監査ポイントを示します。
- 安易に随意契約を選択してないか
- 随意契約・変更契約の理由、手続きは適正性
- 業者選定の経過・理由は妥当・適正性
- 予定価格の積算根拠・算出方法は適正であるか、また、予定価格調書作成省略の際の理由及び根拠は適正であるか。
- 物品の借入又は役務の提供を受ける複数年契約の適用は適正性
- 担当者が契約事務を熟知しているか。
このほかにも以下のような監視ポイントがありますね。
- 新規発注手続きの権限を明確か
- 適切な購買計画に基づいて調達しているか
- 納品物を検収しているか
- 支払いの入力ミスを複数回チェックしているか。
- 担当者の購買業務を監視しているか。
質問への感想
自分も大変勉強になりました。質問いただきました「たあ坊」さんに感謝!
合格を祈念いたします!
出所・参考文献
以下のWebを参考にさせていただきました。どうも有難うございます。2008年03月27日
金融証券取引法に基づく内部統制のまとめ
金融証券取引法に基づく内部統制について
金融証券取引法
以前は証券取引法と呼ばれていた。
経済の適切に運営し、株主などの投資家を保護するための法律のこと。
そのために、売買可能な株、すなわち有価証券の発行・売買を公正なものとする。
また、有価証券の流通を円滑にすることを目的に定められた日本の法律である。
よく、株式の情報を不正に入手して利益を上げるインサイダー取引を罰する
根拠となる法律。
金融証券取引法に基づく内部統制
内部統制の目的
金融証券取引法に基づく内部統制の目的は次のとおりである。なお、この対象となるのは 株式を流通させることのできる上場企業となる。
- 企業の決算書が正しいことを保障すること
- 決算書が正しいことを保障する仕組みを持つこと
ガバナンスとは統治という意味で、最初は企業統治(コーポレートガバナンス)からきていると思われます。 それをIT分野に導入したものだと推測されます。
内部統制の必要事項
決算書が正しいことを保障する仕組みを維持するために 次の事柄が必要である。
- 内部統制の有効性を経営者が点検すること
- 内部統制報告書を作成すること
- 報告書について監査を受けること
内部統制と文書化
内部統制というと文書化が必須とされているが、そうではない。- 文書化の量と内部統制の質とは関係がない
- 内部統制のための文書は要求されていない
- 既存の文書で対応できていれば良い
文書化を必要以上に薦めるのは重大な欠陥を監査人に指摘されたくない
過剰反応と思われる。
企業によっては10億円のコストをかけて内部統制の仕組みを作り上げた企業もある。
内部統制に違反することによる罰則
内部統制の仕組みに書けた場合、監査人から重大な欠陥と
指摘される。
重大な欠陥を放置することによる罰則は次の通り。
- 経営者に対して「懲役5年以下、500万円以下の罰金」
- 重大な欠陥自体は罰則の対象にならない
- 重大な欠陥自体が即座に上場の廃止になるわけではない
2008年03月07日
システム監査技術者小論文=スタンダードの引用について=
システム監査技術者試験 小論文添削と質問
システム監査技術者試験の小論文添削受講生さんからの質問です
質問1=IT監査手法について=
CD-ROMの論文作成例(H19問1)によると「2.2監査手続き」でフォーマルな手続 きが論述されています。ここがよくわからないのですが、「設問アに関連して どのようなIT監査技法を用いるべきか」という問いに対して、標準的な監査手 続きを答えるべきなのでしょうか?
質問1への回答
設問アへの関連性については以下のように考えます
- 情報システムの実態に即していること
- 企業の実態に即していること
- オープン系分散システムではぺネトレーションテストで外部アクセスからの脆弱性の検証
- サーバに対する、アクセスログの採取
- アクセス権限に関連するアクセスパスの確認
このほかにもITを使った監査技法、妥当と思われる手法であれば実態に即して書けば 何でも良いと思います。
質問2=他のスタンダードの参照について=
私はH19問1「3 IT監査の留意点」を論述するにあたり、セキュリティ管理基
準10.3章を参照しました。
例えばCD-ROMの論文作成例(H19問3)に「規約作りにあたってはISO17799を参考
にしておくとよいでしょう」とあるように、設問イウについては、一般的に設
問に対応する規約が存在し、それに思い当たるかどうかが勝敗を分けるのでは
ないかと仮定したのですが、正しい考え方でしょうか?
質問2への回答
システム監査基準に、論文に使える規範や規約が載っていない場合、他のスタンダード
(この場合は、システム管理基準、セキュリティ管理基準、ISO27000等)を参考して引用
するといいでしょう。
おっしゃるとおり、他のスタンダードを覚えていなければ当然、そのようなものは思い浮かぶ
はずもないですから。代表的基準は覚えておくにこしたことはないでしょう。
質問3=小論文構想について=
そう考える一方で、添削にて「このような感覚でまとめてください」とご指摘
いただいた流れを読むと、一読すると当たり前に思えるけど試験会場で思いつ
いて文章にまでまとめるのは困難、言い換えると、センスが問われているとい
うか応用問題だな、という考えも持っています。
もしそうだとしたら、「このような感覚でまとめてください」との指摘事項は
加藤先生の経験をベースにしたオリジナルですか?
質問3への回答
はい、私は独学の人なのですべてオリジナルです。
割と、雑学的な知識を豊富に持っているタイプで、それを体系的に表現したり、
それを引き出して、1つのテーマで文章やストーリを作るのが得意です。
法律などもそうですが、労働基準法を補完して労働派遣法や育児休業法がある訳で、
それぞれが補完関係にあるものです。
同様にセキュリティ関連、監査関連のスタンダードも相互補完の関係にありますので
日ごろから意識して精読しておくことが肝要です。