目指せシステム監査人!!(5)
■システム監査のケーススタディ
今日は、春のシステム監査技術者試験受験希望者に、システム監査を疑似体験させる「システム監査ケーススタディ」を実施しました。
実はこのケーススタディ、システム監査技術者試験の合格者に対して実施することもあります。なぜでしょう。
システム監査技術者の周りの人は、合格者が当然システム監査が実施できるものと思っていますが、実際にはシステム監査の実施経験のない合格者も多いからです。
システム監査は大きくは
■監査計画→監査実施→監査報告
の手順で実施します。
また、具体的な監査実施の手順は、
■予備調査→本調査→評価・結論
の手順で実施します。
インターギデオンのシステム監査のケーススタディは、ケースに記載されたテーマの中から、受講者各自が選択できるようになっています。
- 入退管理
- ネットワーク、ウィルス対策
- 電子メール、Web管理
- 外部委託
- IT統制整備・運用状況の評価
具体的なケーススタディの実施プロセスは以下の通りです。
1. システム監査ケーススタディの個人理解
ケーススタディを各自が読んで「これは問題だなあ」と感ずる項目を予備調査シートし記入、その中から監査したいテーマを設定します。また、監査人としてヒアリングした被監査部門担当者を2名設定します。
2. グループで監査したいテーマを共有し、監査人とヒアリングしたいメンバーの組み合わせを作成
この際、以下の点に配慮します。
- 必ず参加者全員が監査人として2名にヒアリングする
- 必ず参加者全員がヒアリングされる被監査部門メンバー2名になる
3. グループごとにシステム監査計画書に監査テーマと監査人、ヒアリングメンバーをまとめて記載
4. 監査人は監査計画書をもとに具体的な監査のポイントや収集したい資料などを監査手続書として作成します。そして、ヒアリングする2名に対してヒアリングシートを作成します。
5.本調査:被監査メンバーへのヒアリング
監査人は、ヒアリングシートに基づいてヒアリングを行います。まず、
- ケーススタディに記載された問題と思われる項目の状況を確認
さらにヒアリングの中で、以下のことを行います。
- 問題と思われる項目をヒアリングシートやヒアリングメモ(調書)に記載
6. 指摘事項一覧の作成
ヒアリングシートやヒアリングメモ(調書)の中から指摘事項に該当する項目をピックアップし、指摘事項一覧を作成します。
7. 指摘事項一覧をベースに監査報告書として、監査人各自が監査テーマの評価を記載
8. 監査テーマの評価の項目をまとめてグループとしての総合評価の記載を行います。監査計画書の内容をベースにそのほかのシステム監査報告書の内容を記載し、監査報告書を完成させます。
9. システム監査報告会の開催
グループメンバーが集合し、システム監査報告会を開催します。監査人が記載した指摘事項に対して、監査の評価がヒアリングを受けた被監査メンバーが事実誤認がないか確認します。
10. 監査結果についての意見交換
実施したケーススタディの監査結果について意見交換を行います。
以上のようなケーススタディですが、いかがでしょうか。システム監査技術者試験の論文問題の設問ウを記載するにあたって、また、システム監査経験のないシステム監査担当者がシステム監査を疑似体験できるかと思います。
参考になれば幸いです。
目指せシステム監査人!!(5)終わり。