「システム監査基準」、「システム管理基準」を読む その5
土曜日は、「システム監査基準」、「システム管理基準」を読むと決めました
今回も、システム監査基準です。前回、前文だったので、今回は残りです。
■システム監査の目的
・リスクに対するコントロールが適切に整備・運用されているか
→システム監査人が検証または評価
→保証・助言→ITガバナンスの実現
■一般基準
・目的、権限と責任
→文書化、または契約により明確に定められていなければならない
・独立性、客観性と職業倫理
・概観上の独立性
・精神上の独立性
・職業倫理と誠実性
・専門能力
・業務上の義務
・注意義務
・守秘義務
・品質管理
■実施基準
・監査計画の立案
システム監査人は、システム監査の目的を、有効かつ効率的に達成するために
監査手続きの内容、時期、および範囲等について
適切な監査計画を立案しなければならない
事情に応じて修正できるように弾力的に運用
・監査の手順
監査計画に基づき
予備調査
本調査および
評価・結論
の手順により実施
・監査の実施
・監査証拠の入手と評価
監査結果を裏付けるのに充分かつ適切な監査証拠を入手、評価
・監査聴取の作成と保存
実施した監査手続きの結果と関連資料→監査調書
・監査業務の体制
・適切な監査体制を整え、監査計画の立案から監査報告書の提出および
改善指導までの全体を管理
・他の専門職の利用
・情報セキュリティ監査
情報セキュリティ監査基準を活用することが望ましい
■報告基準
・監査報告書の提出と開示
監査報告書を作成、提出
・監査報告の根拠
監査報告書は、監査証拠に裏付けられた合理的な根拠
・監査報告書の記載事項
実施した監査の対象
実施した監査の概要
保証意見または助言意見
制約または除外事項
指摘事項
改善勧告
その他突起すべき事項
→証拠との関係を示して
・監査報告についての責任
・監査報告に基づく改善指導(フォローアップ)
→適切な指導性を発揮