こんにちは、ペン太郎です。
大手監査法人にて、厳しい統制が求められる金融機関を中心にシステム監査をしてきました。
システム監査はその重要性に反して中身がベールに包まれているため、理解が得られにくい業務です。
監査法人への就職・転職を志している方や監査部門に配置換えになった方、証跡の提出など何かしら業務上システム監査に携わる方に向けて、実際に監査を行ってきた知見からシステム監査について解説していきます。
システム監査の監査計画
システム監査を進めるにあたっては、まず、監査計画を立てます。監査計画では、対象とするテーマ、システムを選定した上で、監査の進め方を計画します。
インタビュー等を予定している時は、監査計画でインタビュー日程も調整しましょう。
なお、システム選定は、テーマ選定後に実施します。BCPを対象とするのか、それとも、セキュリティを対象とするのか、テーマによって、評価すべきシステムが変わる為です。当然ではありますが、個人情報保護について監査しようとする時に、個人情報を保持していないことが確実なシステムは監査対象外となります。
どの様な手順で監査を進めていくのか、計画に落とし込んでいきましょう。
計画に落とし込んだ後は、チェックリストを作成していきます。
システム監査では、社内システムが外部規程の内容を満たしているか、確認していくこととなります。
外部規程は、大抵、文章の形式で記載されるため、そのままではチェックがしにくいことが多いです。
その為、一文一文をチェックリストに落とし込んでいくのです。
チェックリスト作成にあたっては、必須条件と任意条件を判別可能な形式にしましょう。
『〇〇しなければ、ならない。』と記載されているものは、必須条件となります。
一方、『〇〇することが、望ましい。』と記載されているものは、任意条件となります。
各チェック項目は、後ほど解説する整備状況、運用状況の評価基準となります。
システム監査の整備状況評価
では、チェックリストを作成した後は、実際に整備状況を評価しましょう。
内規がチェックリストの項目を満たしているか、一つ一つ確認していくのです。
チェックリストごとに評価結果を記載する時には、出来ていること、出来ていないことを記載する様にしましょう。
ここで注意頂きたいのは、整備状況評価ではリスクに応じた評価をする様にしましょう。
すなわり、『外部規程に記載されていることが記載されていない』=『即NGとする』のは避けましょうということです。
それは、代替コントロールが図られている可能性があるためです。
例えば、サーバ運用管理者による不正を防ぐため、本番サーバへのアクセス端末は操作状況を必ずビデオによって録画しないといけないといったチェック項目があった際、これが内規に規程されていないので、発見事項とするのは早計とも言えます。
何故ならば、コロナウィルスより強力なパンデミックが発生し交通機関が麻痺した際、リモートでのアクセス手段がなければ、サーバ運用を止めざるを得なくなるためです。
こういった場合は、高権限IDでの本番サーバでの操作履歴を操作と同時にモニタリングする手順が確立されていることで、代替コントロールが図られていると評価しても良いでしょう。
一方で、手順が確立されているものの、サーバ運用管理者の高権限IDで操作履歴を削除することが出来るならば、モニタリングの意味を為しません。
システム監査では、評価対象のシステムが求められる社会的意義やリスクを総合的に評価することが求められます。
総合的に評価した結果、NGが確認出来た項目には、整備状況評価の発見事項として記載していきます。
システム監査の運用状況評価
整備状況を評価した後は、運用状況を評価していきましょう。
運用状況評価は、簡単に言えば、内規の通りに運用されているかを確認することです。
主に、運用状況評価は、証跡確認、実査、ヒアリングを行います。
運用状況評価の証跡確認
内規に、『〇〇申請書を提出し、承認を得ること。』とある場合は、〇〇申請書の提出を依頼します。
提出された〇〇申請書について、全ての証跡に承認証跡があれば問題なしですが、一部でも承認証跡がなければ運用状況不備となります。
さて、運用状況評価においては、全ての証跡を確認することは難しいです。これが、大企業ともなると、事実上不可能とも言えます。
そういう時には、サンプル調査を行います。
サンプリング方法にも様々な方法があります。
統計上、10%以上のサンプル数があれば有意とも言われていますが、無作為に抽出するよりもロジカルに考えていきたいものです。
年月ごとにサンプル数の偏りを無くしたり、リスクの大きいシステムに対する申請証跡のみを対象としたりすることで、必要な領域に対して、必要な統制がかけられていることが確認出来ます。
運用状況評価の実査
実査では、監査人が目で見た内容も、十分な証拠となります。
例えば、入室管理されている部屋に共連れ入室が監査人の目で確認出来れば、それだけで発見事項とすることが可能です。
特に監査人が社外の人間であれば、監査人と言えども、入室出来る部屋が限定されている可能性があるので、いつ、どの部屋を確認するのか、事前に実査計画を事前に立てておきましょう。
運用状況評価のインタビュー
インタビューでは、チェック項目に応じて、必要な担当者にインタビューを実施します。
インタビューでは、証跡確認や実査で確認出来なかった項目を中心に確認していきます。証跡や実査で確認出来ていても、統制上重要な評価項目については、インタビューで改めて確認することもあります。
インタビュー対象の対象者は、大抵、忙しいことが多いので、可能ならば、一度のインタビューで確認項目を全て確認する様にしましょう。
インタビューにおいては、以下の2点を心掛けましょう。
- システム監査は、必ずしも不備を暴くことのみが目的ではありません。法定監査で不備が出さんないための前哨戦という位置づけでもあり、担当者の教育という側面もあります。その為、何故、その評価項目を聞いているのか、その項目を実施していなければ、どの様な問題が発生する可能性があるのか、リスクも併せて説明する様にしましょう。
- 法定監査との違いを説明し、改善するために不備を発見することは良いことだと説明しましょう。大抵、監査インタビューとなると、担当者は身構えています。一たび、発見事項となれば、改善を要求され、業務負荷が高まるためです。業務負荷を高めない解決策まで、担当者の側に立って一緒に考えていく姿勢で協力体制を確立し良い監査を実現しましょう。
以上、システム監査の評価方法について、紹介しました。
システム監査は、不備を見つけるのが目的ではなく、良い統制を確立するための手段です。
関係者に理解頂いて、協力体制を確立することで、良い監査が出来るでしょう。
関連記事
【第4回】調書の書き方と種類
コメント