チェック体制の作り方、システム監査についての勉強
こんにちは
sipelです
今回はシステム監査についてただただ書いていきます
まずは監査とはどういった意味なのかの勉強
監査・・・基準がちゃんと守られているかを第3者がチェックする
監査のいろいろな種類
以下、監査の種類を上げていきます。
・会計監査
・業務監査
・法廷監査
・任意監査
・内部監査
・外部監査
・システム監査
・情報セキュリティ監査
簡単に挙げた例だけでもこれくらいの数の
監査の種類がある。
システム監査を詳しく
システム監査・・・情報システムが経営戦略に合致したものであるかを客観的に評価
近年の 情報システムの高度化に伴い
企業の情報投資の高価や健全性の確保の
需要が高まっている。
そのために第3者による監査のチェックにより
企業の情報投資は間違っていないかを確認するということ
システム監査基準というものの勉強
→システム監査の必要事項をまとめたガイドライン
・一般基準
・実施基準
・報告基準
の3つから構成されている
システム監査の目的
・リスクに対するコントロール
・独立かつ専門的な立場から評価
・ITガバナンスの実現に寄与
の3つの目的がある。
※レピュテーションリスクとは・・・
→いわゆる風評リスクのことを指す
システム監査のプロセスを整理します。
監査のプロセスは以下の番号順に行っていくものである。
1、監査計画の策定・・・会社の経営、情報を調査。調査の目的、対象を明らかに。
2、予備調査・・・管理者へのヒアリング。必要な項目かそうでないかの選別
3、本調査・・・調査項目に従って調査。調査証拠の確保が重要
4、システム監査報告書の作成・・・監査証拠を確認、分析、評価して作成。評価と改善事項とそれに対する改善案を記述
5、意見交換会・・・代表者と記述内容に間違いがないか確認
6、監査報告会・・・監査報告書の最終版を作成。経営トップに監査報告を行う。
7、フォローアップ・・・改善の実現を支援
内部統制について
→内部統制とは所定の基準が正しく行われているか保証すること
4つの保証基準があることを理解していくことが大事である
内部統制の所定の基準とは
以下は4つの保証基準を書いたものである。
1、業務の有効性及び効率性
2、財務報告の信頼性
3、事業活動に関わる法令順守
4、資産の保全
簡単に言えばミスや不正が発生しない仕組みづくりが大事であるということ
内部統制の中のIT統制とは
内部統制の中でも
以下詳しく書いていきます。
全般統制
→ITを利用した業務処理に統制が機能していることを保証する
業務処理統制
→承認された業務が全て正確に処理。
記録されていることを担保するために業務のプロセスに組み込まれた仕組み
実際の現場で作業が終わるごとに確認者が
いるかどうかをチェックする仕組みのようです
まとめ
チェック体制の基本体制としては第3者にチャックしてもらうことがいいみたいです。
理由は利害関係にないということから。
利害関係がないという観点から、チェックされる部門とは全く別の部門の人がチェックするというのもいいみたいです。
ではなぜチェックするのかというと一定のルールを設けて
不正の防止、より高度なIT活用が出来るようになることが出来る
といった理由です。
プロセスについては
まずは計画を立て、部門管理者にヒアリングを行い、
実際に現場で調査し、改善案付きの報告書を作成し、
部門管理者に間違いがないか確認してもらい、
経営トップに報告、改善案の提案をし、
最後は改善案の支援を行う流れです。
確かにこの流れだと不正の防止と
IT活用能力の向上が出来そうです。
内部統制とは
自分たちでちゃんと不正ができないようなシステムにしてますよ
ってことだと思います。
大きな会社だと管理仕事や報告の仕事が多いのは
内部統制がしっかりしていますよという証明につながるのかもしれませんね。
sipel