システム監査(13)　基準9　監査調書の作成と保管

【システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない】

監査手続きを実施し、監査証拠を入手した後、システム監査人は監査の結果をとりまとめます。リスクに対応したコントロールが存在しているか、そのコントロールが適切に実行されているか、実行結果がレビューされてPDCAサイクルが回っているか、などの点です。監査手続きを通して判断された、システム監査人の所見も、重要な監査証拠となります。

とりまとめ結果は、監査調書として文書化します。監査調書には、一般的に下記のような事項を記載します。

• 監査実施者及び実施日時監査の目的
• 実施した監査手続
• 入手した監査証拠
• システム監査人が発見した事実（事象、原因、影響範囲など）
• 発見事実に関するシステム監査人の所見

監査調書は、適切に保管する必要があります。組織の重要情報や機密情報などが含まれますので、電子媒体などで保管する場合は、アクセス権限を制限したフォルダに保管するなどの工夫が必要です。また、バックアップや、改竄防止などの施策も必要となります。