平成19年度 春期 システム監査技術者
【午後2 問題文】
問1 システム監査におけるITの利用について
システム監査における監査技法は、これまでは関係者に対するインタビューや資料の閲覧が中心であった。しかし、監査対象の拡大や複雑化に伴って、監査ソフトウェアやシステムのユーティリティ機能などのITを利用した監査技法(以下、IT監査技法という)が必要になってきている。
例えば、サーバ管理の適切性について監査する場合、システム監査人は、サーバ管理者がサーバのOSのバージョンアップや利用者権限の更新などを適切に実施し、また、その適切性を定期的に検証しているかどうかを確かめる必要がある。数多くのサーバが複数の拠点で運用されているような環境においては、複数の管理者にインタビューを実施したり、資料を閲覧したりするよりも、IT監査技法を用いる方が効率が良い。また、IT監査技法を用いることによって、インタビューや資料の閲覧よりも証拠能力の高い監査証拠を入手することが可能になる。
このような状況において、システム監査人は従来の監査技法に加えて、IT監査技法についても習熟しておく必要がある。一方、システム監査人は強力なアクセス権限をもつことになるので、監査ソフトウェアやシステムのユーティリティ機能の利用は監査目的の達成に限定される必要がある。
上記に基づいて、設問ア~ウについてそれぞれ述べよ。
設問ア
あなたが携わったシステム監査において、IT監査技法が有効と思われる事例について、監査対象の概要と監査目的を、800字以内で述べよ。
設問イ
設問アに関連して、効率よく、効果的に監査目的を達成するためには、どのようなIT監査技法を用いるべきか。具体的な監査手続を述べよ。
設問ウ
設問ア及び設問イに関連して、システム監査人がIT監査技法を用いる場合に、組織としてどのような点に留意すべきか。具体的に述べよ。
【再現論文 Pman wrote】
1.私が携わったシステム監査
1-1.監査対象の概要
情報処理サービス企業に勤務する私は、金融系のシステム開発に携わる一方、外部の金融機関などからの依頼により、システム監査を不定期に実施している。
A社は中堅の銀行であり、最近、新しいビジネスモデルとして、個人向けローン事業をA社Webサイトで公開し、インターネットによる融資の申込み受付を開始することになった。取り扱う対象業務には、住宅ローン、教育ローン、カードローンなどがあり、それらの業務を効率的に行うにはIT基盤の整備が不可欠である。つまり、Webサイトの構築だけでなく、バックで動く業務システムも含めた総合的な情報システムの構築が必要となる。今回A社から、新たなローン業務システムの開発段階における監査の依頼があり、監査チーム要員として私は参画することとなった。
1-2.監査目的
(1) 安全性の確認
A社の新システムの監査にあたっては、Web上でのデータ送受信による個人情報の漏えいやシステムトラブルなどのリスクに対し、適切なコントロールが構築されていることを確認する必要がある。この点を客観的に点検・評価し改善勧告を行うことを監査目的とした。
(2) 信頼性の確認
新システムが取り扱うデータは、個々の顧客のローン残高や利息金、口座情報などを含むため、安全性に加えてインテグリティの確保が重要となる。残高計算の結果が不正に出力されると、A社は金融機関としての信用を失うからである。こうしたリスクを回避するため、客観的に品質確認を行うことを監査目的とした。
2.IT監査技法とその監査手続(設問イ)
2-1.監視サーバの導入
従来のシステム監査では、例えば入出力画面のハードコピーやアクセスログリストなどの監査証拠を入手し、目視や閲覧による確認が中心であった。しかし今回は、A社としては初めて本格的なWebシステムを構築することから、より確実に、安全性を評価するための監査を行わなければならない。
そこで有効な手段として、監視サーバの導入が挙げられる。具体的には、監査ソフトウェアを組み込んだサーバをA社の開発環境に設置し、従来は監査人が目視していたアクセスログの確認を自動化する方法である。自動化のメリットは、正確かつ効率よく監査証拠を精査できる点にある。監査ソフトウェアに対して適用日時などの入力パラメータを与えるだけで、短期間のうちに成果が得られるであろう。さらに、監査対象が拡大あるいは複雑化した場合であっても、パラメータの変更やサーバの増強などにより対応できる。
2-2.並行シミュレーション法の適用
データインテグリティの評価は、データベースの更新記録、あるいは、貸付金明細表や残高一覧表といった出力帳票により可能である。しかしA社の場合、ビジネスモデルの大幅な変更により開発規模が増大していたことから、効率性と網羅性を考慮した監査が必要である。
ここで用いるべき監査技法に、並行シミュレーション法が挙げられる。監査手続としては、テスト工程において、A社の開発プログラムのほかに監査チームが用意した監査プログラムを動かし、これらの動作結果(金額などの数値)を検証ツールで比較・照合する。照合結果が不一致の場合は、原因を調べて問題を解決し再テストを行う。これにより証拠能力の高い監査証拠が得られ、効果的に監査目的を達成できると考えられる。
3.IT監査技法を用いる場合の留意点(設問ウ)
3-1.操作ミスの防止
システム監査人は従来の監査技法に加えて、上述したIT監査技法について習熟する必要がある。その一方で留意すべき点は、監査実施時における操作ミスの防止である。例えば、監査ソフトウェアに誤ったパラメータを設定してしまうと、監査手続の妥当性が損なわれ、監査自体の品質が低下する。こうした単純なミスを防ぐためには、監査チーム内での複数人によるチェック行為を監査手順に組み込み、監査手続書に明記したうえで組織的なレビューを行うべきと考える。なお、レビュー結果は必ず文書として残すことが肝要である。
3-2.監査ソフトウェアの利用制限
システム監査人は、監査対象となるA社の開発資源に対して強力なアクセス権限をもつことになる。したがって、監査ソフトウェアの利用は監査目的の達成に限定されるべきである。こうした利用制限については、個別監査計画書に盛り込み、監査責任者がレビューを行う。また、実際に目的外の利用が行われていないことを第三者がチェックすべきだろう。但しレビュー及びチェック結果は文書に残すこと。
3-3.開発プロジェクトとの調整
並行シミュレーション法の適用については、A社と十分に事前調整する必要がある。なぜなら、サービス開始までの期間にはあまり余裕がないため、テスト工程の間に遅滞なく監査を実施しなければならないからである。また、監査によって問題が発見された場合、改善後の再テスト時の監査方法についても取り決める必要がある。例えば、再テストではどの範囲まで並行シミュレーション法を用いるか、といった点である。
こうした点は、開発プロジェクトの計画段階で、監査計画との整合性を保つよう調整する必要がある。調整事項は、スケジュールのほか、IT監査技法の利用におけるハードウェア、ソフトウェア、ネットワーク、および人的資源を含めた経営資源全体へ及ぶことに留意すべきであろう。
以上
- 関連記事
-
スポンサーサイト