監査

監査って何をするのか、そもそも不明なので、独断と偏見でまとめる。(間違っていることが多いので、参考文献を参照すること)

監査とは

目的を確認し、目的を守れていることを検証する。

検証すること

• 不正が発生することを抑止する(相互牽制：ダブルチェック)
  • 作成者と承認者を分けることで、チェックを行う
• 過失が発生することを抑止する
  • ミスを即座に検知できること
• 誤りが発生した場合修正できるようにすべき
  • ミスを訂正できることを確認

検証する対象の分類

• 監査人の立場における分類
  • 内部監査
  • 外部監査
• 監査対象における分類
  • 業務監査
  • 会計監査
  • システム監査
  • IT監査
• 目的における分類
  • 保証型監査
  • 助言型監査 (コンサルタント)

監査の流れ

監査計画→監査実施→報告→フォロー というPDCAの流れで行う。

監査計画

• 中長期計画
  • 事業計画に基づくもの等
• 基本計画
  • いつやるかなど
  • 何をやるのか(監査対象)
  • 体制
• 個別計画

監査実施

• 事前調査・予備調査
  • 監査要点(観点)を策定(以下は会計監査から引用しているがこれらと似たものが必要と考えられる)
    • 実在性
    • 網羅性
    • 権利と義務の帰属
    • 評価の妥当性
    • 期間配分の適切性
    • 表示の妥当性
  • 監査対象の資料を集める
  • 監査手続き
    • 監査証拠の能力を高める方法を決める
    • どのような手段で入手し、何を確認するのか
    • 監査要点の立証方法を決める
• 本調査
  • 監査資料と実際の機能をチェックする -- 監査手続き
  • 資料との一致を確認
  • 監査証拠を集める
• 評価
  • 監査調書作成
    • 事実のみを記載する
    • あくまでも改善のための元ネタであり、ここに善悪・改善は書かない

監査報告

• リスクの漏れを報告
  • ヒヤリング結果
• リスクに対するコントロールができていないものの報告
• 本当にコントロールできているのか
  • 監査証拠をもとに述べる

フォローアップ

監査報告した内容を取り込んだ結果の効果をみる

参考文献

• 経済産業省 システム監査基準
  • http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf 2002年10月8日(PDF)
  • システム監査基準 1996年1月30日
  • システム管理基準追補版（財務報告に係るIT統制ガイダンス） 添付資料が使えるかも
• 経済産業省 システム管理基準
  • http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf 2002年10月8日(PDF)
• 監査入門
  • https://www.saaj.or.jp/csa/system_audit_booklet2016.pdf (PDF)
• 監査要点
  • メモ帳 : 監査要点の立証方法