III.監査実施計画の立案
監査人は、監査基本計画書に基づいて、実施すべき具体的な監査手続についての詳細な計画を立案することになります。例えば、どの監査人がいつ、どこに往査するのかといった監査実施スケジュールを検討することになります。また、監査人が実施する監査手続は、監査の目的に適合し、十分かつ適切な監査証拠が入手できるものでならないのでどのような監査手続をするのかもできるだけ事前に決めておくことになります。なお、監査手続の実施過程で、緊急に追加して実施しなければならない監査項目が明らかになる場合がありますが、その場合、監査責任者は監査対象組織の責任者に連絡し、柔軟に対応できるようにしておくことになります。
監査実施計画の立案は以下のような順序で行うことになります。
|
次に、この章における重要なポイントについて解説していきます。
・監査手続
コントロールの有効性、遵守性を検証するために、最も有効な監査手続を実施しなければなりません。そのためには、必要かつ十分な監査証拠を入手できる監査技法を選択し、監査対象への適用方法を決定しなければなりません。そのため監査実施計画書には、監査上の着眼点(ポイント)、選択適用すべき監査技法の種類、監査手続の実施時期、及びサンプリングの範囲等を記載することになります。
・監査技法
本ガイドでは監査手続を実施する際に選択適用すべき監査技法の種類を4つあげています。(a) 質問(またはヒアリング)、(b) 閲覧(またはレビュー)、(c) 観察(または視察)と(d) 再実施です。監査技法の特徴を踏まえたうえで監査実施計画を立案することが重要となります。それぞれを簡単に説明します。
|
総務省監査実施手順では、インタビュー、視察、レビュー、質問書、ログ分析の5つにわけていますが、その関係は次図の通りです。
本ガイド | 総務省監査実施手順 |
---|---|
(a) 質問(またはヒアリング) | インタビュー 質問書 |
(b) 閲覧(またはレビュー) | レビュー ログ分析 |
(c) 観察(または視察) | 視察 |
(d) 再実施 | (該当なし) |
・IT(情報技術)を利用した監査技法の適用における留意点
本ガイドでは、いくつかの監査上の留意点を記載しています。これもその一つです。ITを利用した監査技法の適用例として、システム上のコマンドやツールを利用したポートスキャン、システムのバージョンの確認、システムログ等の検査、ルーターのルーティングテーブルの確認、ファイアウオールのルールベースの検証、ファイルやシステムへのアクセス制御の検証などがあります。
ITを利用した監査技法の適用は監査の有効性と効率性を高める上で非常に重要となります。ただし、ITを利用した監査技法の適用は、監査対象システムあるいは周辺システムに負荷を与えたり、大量のアクセスログを生み出しエラーの識別を困難にしたり、あるいは通常の運用業務に影響を与える場合があるため、このような監査技法を監査人が適用するに当たっては、監査対象システムの責任者との間で、当該技法を適用する旨、及び適用することによるリスクを協議し、利用の許可を得なければならないと記載しています。
|