システム監査(12)　基準8　監査証拠の入手と評価

【システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠を入手しなければならない】

システム監査計画を作った後は、いよいよシステム監査の実施となります。システム監査は、システム監査人の主観ではなく、監査手続きを通した監査証拠に基づいて行う必要があります。

5.1.1.  監査手続きの手順
監査手続きの手順としては、通常予備調査と本調査の２段階に分けて実施します。
予備調査は、監査対象システムに関する情報や、事務手続き・マニュアルなどを通した業務プロセスに関する情報、情報システムの開発・保守体制に関する情報により、監査対象の実態を把握します。
本調査は、予備調査に基づいて必要と判断された監査証拠を、入手するプロセスです。監査証拠は、インタビュー等の口頭証拠だけではなく、客観的・確証的な証拠を入手するように心がけるべきです。

5.1.2.  監査手続きの方法
監査手続きの方法としては、いくつかの方法があります。
チェックリスト法
システム監査人が予め監査対象のために作成した質問形式のチェックリストに対して、対象者・関係者から回答を求める方法です。
ドキュメントレビュー法
対象システムに関連する資料・文書類を入手し、システム監査人がレビューする方法です。
インタビュー法
システム監査人が対象者・関係者に口頭で質問し、回答を得る方法です。
ウォークスルー法
システムの入力・処理・出力の一連の流れを、具体的な業務に沿って実施するものです。
突合・照合法
入手した資料間の突合せをし、整合性などを確認する方法です。
現地調査法
システム監査人が現地に赴き、業務とシステムの流れを観察・調査するものです。
コンピュータ支援監査技法
CAAT(Computer Assisted Audit Techniques)を利用して、監査対象ファイルの検索・抽出・計算などを行うものです。

5.1.3.  留意点
監査手続きの実施には、被監査会社の協力が不可欠ですが、クラウドコンピューティングサービスを利用している場合、サービス内部の情報が開示されない場合も少なくなく、実施が困難な場合もあります。
また、監査手続きは、上記の各技法の組み合わせで行われることも少なくありません。システムのアクセス権の監査では、規程類のドキュメントレビュー、実際の運用のウォークスルーを実施する、などのケースです。

システム監査の有効に実施するために、適切な監査手続きを実施し、必要かつ十分な量の監査証拠を入手することが肝要です。