システム監査の手順

システム監査の手順は会計監査、内部監査とおおよそ同じである。

ただし、事実の把握のには専門的知識が必要。

また、アクセスログや変更管理情報の収集・分析など情報システムを使った事実確認が必要な場面もある。

システム監査の特徴

監査対象が常に変化しており、特に開発プロジェクトに対する監査はタイミング・監査期間の設定が難しい

監査負荷が発生する

技術革新が早く、常に監査手法を工夫する必要がある

判断基準が難しく、システムの有効性、効率性、セキュリティについて監査人が判断基準を設定する必要がある

電子監査証拠を用いる場合もあるため、アクセスログ・トランザクションログなどその収集過程を明らかにしなくてはならない

現代の情報システムは会計をはじめとして他の業務の基盤となっているため、他の監査と連携して改善を提案する必要がある

『情報システムに対するコントロール』と『情報システムを利用したコントロール』という２つのコントロール視点が有効

システム開発、インフラ増強、リプレイスなどは２、３年の計画が多々ある。監査においては、リスクの高いところから中長期計画を立ててアプローチする

情報システムに対するコントロールと、情報システムを利用したコントロールが新鮮でした。

実務では何気なく実装されて活用されているけれど、文章にして思考のフレームワークとして取り入れると、ショートカットできる気がします。