II.監査基本方針の策定
監査人は、監査を有効かつ効率的に実施するために、監査の基本的な方針を立案し、それに基づいて、実施すべき監査手続を具体的に決定し、必要な監査体制を整えていくことになります。この監査の基本的な方針を、監査基本方針といいます。監査基本方針の策定は従前システム監査で言われていた「監査基本計画の策定」及び「予備調査」に相当します。「予備調査」という用語を使わなかった背景として、予備調査という言葉があいまいで、実際に何を実施するのかが監査主体と被監査主体との間で行き違いが起こる可能性が高いためです。情報セキュリティに関する規定等をレビューし、現場で行う監査手続についての計画を立てるという作業は、ISMS審査の文書審査の部分と同様の作業になります。
このフェーズでは編成された監査チームにより、監査対象及び監査人が適用する監査基準(例えば情報セキュリティ管理基準)を明確にすることから始まります。これは、監査の目的を明確することにつながります。次に、監査対象業務等の概要を把握します。業務内容、マネジメント体制、リスクマネジメント体制、コントロールの整備状況の把握に努めます。
|
この章のポイントは、監査基本計画を立案するために監査対象業務の概要把握に努めることを強調している点です。それは、重点的な監査領域(ポイント)を定め効果的な助言型監査の実施に役立つからです。以下の点に気をつけながら実施していくことが肝要です。
- 業務固有のリスクの高い領域分野がある
- マネジメント体制の良し悪しは、コントロールの導入の良し悪しにつながる
- コントロールの整備に特に重要となるのがリスクマネジメント体制である
- コントロールの整備状況の把握を通じて、実施されているコントロールが適切に運用されていることを確認するための監査手続の実施可能性を検討することができる
こうして把握された監査対象業務等を考慮し、監査基本計画書を作成します。監査基本計画書に記載することが想定される項目は、以下のようになります。
|
監査人は、監査基本計画書を監査依頼者に提示し、監査依頼者の依頼事項を満たしていることを確認しておくことが必要となります。
|