兵庫WEB制作.com

【シリーズ:セキュリティ】マネジメント – システム監査(2)

2018年11月29日

【シリーズ:セキュリティ】マネジメント – システム監査(1)の続きです。

監査の実施、報告と、各種技法を確認します。

シリーズ:セキュリティ マネジメント

システム監査の実施(予備調査、本調査、評価・結論)

十分な監査証拠を入手するための手続きを監査手続といいます。

システムの管理人は、適切かつ慎重に監査手続を行い、結果を裏付けるにあたり、十分かつ適切な監査証拠を入手します。

そして、監査手続きの結果とその関連資料を、監査調書として作ります。

監査調書は、結果の裏付けになるので、監査の結論に至った過程がわかるよう記録して保存します。

システム監査報告

システム監査人は、実施した監査についての監査報告書を作成して、調査の依頼者(組織体の長)に提出します。

監査報告書には、実施した監査の対象、概要、保証意見または助言意見、制約などを記載します。

また、結果において発見された指摘事項と、その改善を進言する改善勧告を明瞭に記載します。

システム監査終了後の任務

システム監査人は、監査報告書の記載事項について責任を負い、監査結果に基づいて改善できるよう、監査報告に基づく改善指導(フォローアップ)を行います。

また、システム監査の実施結果の妥当性を評価するシステム監査の品質評価も行うことがあります。

システム監査技法について

システム監査の技法はいくつかあります。
(一般的な資料の閲覧・収集、ドキュメントレビュー(査覧)、チェックリスト、質問書・調査票、インタビューなどもあります)

1.統計的サンプリング法
母集団からサンプルを抽出し、分析して母集団の性質を統計的に推測します。

2.監査モジュール法
監査対象のプログラムに監査用のモジュールを組み込んで、プログラム実行時の監査データを抽出します。

3.ITFIntegrated Test Facility
稼働中のシステムにテスト用の架空口座設置して、システムの動作を検証します。
実際のトランザクションとして架空口座のトランザクションを実行して、正確性を確認します。

4.コンピュータ支援監査技法CAAT:Computer Assisted Audit Techniques
監査のツールとしてコンピュータを利用する監査技法の総称になります。
ITFもCAATの一種で、テストデータ法といったものなど、様々な技法があります。

– –

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

カテゴリ

最新コラム

Facebook TWITTER LINE