Click here to visit our sponsor 


----------------------------------------------------------------------

(システム監査における監査調書の作成と整備について)

----------------------------------------------------------------------

----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.監査目的及び監査目標について
----------------------------------------------------------------------
1.1私が携わった業務の概要
----
 私は半年前より会計監査法人のシステム監査担当部署
においてシステム監査を担当している。前職がSEであっ
たため、会計システム以外の監査も担当しており、今回
は衣料品輸入販売会社の A社に関してシステム監査の依
頼を受けた。

  A社は従来より店舗販売における衣料品販売データを
ホストによるバッチシステムにて管理してきたが、新規
にネット通販事業を始めるにあたり、 Webベースによる
リアルタイム販売システムを構築する事となった。本シ
ステムは販売、決裁までをオンラインで行うものであり、
現在は通販部門独自のシステムであるが、最終的には既
存のホストによる店舗販売管理システム及び在庫の受払
システム等、社内の基幹システムを Webシステムに統一
する為の第一段階と位置づけられた重要なシステムであ
る。

----
1.2監査目標
----
 本システムにおける監査目的は以下の2点である。

(1) 最終的に会計システムと連携するデータのインテグ
  リティが確保されているか確認する

(2) オンライン販売特有のリスクへの対策が検討されて
  おり、有効な対策が実装されているかを確認する

  A社としての Webシステム開発は始めての試みであり、
本番稼働前の時点において、レガシーシステムとの連携
及び、会計システムへのデータ連携に係るデータインテ
グリティは重要事項となる。

 また、 Webシステムは使いやすいシステムが構築でき
る反面、そのセキュリティの脆弱性は頻繁に指摘される
所であり、今回のシステムでも不正アクセスなどを防止
するセキュリティ対策が適切にとられてているか、障害
対策は適切か等のチェックを厳重に行う事とした。


----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.監査調書を作成する上での留意すべき点
----------------------------------------------------------------------
2.1インテグリティの監査と監査調書
----
 インテグリティの監査では主に以下の 2つの監査を実
施した

(1) 各段階においてテストが正確かつ網羅的に実施され
  ているか

(2) データ移行に関わる手順及び確認方法が確立されて
  いるかを確認した。

 まず全体的なスケジュール及び進捗管理表を閲覧して
余裕を持ったスケジュールが作成されている事、進捗状
況に応じて柔軟なリスケジュールが行われている事を確
認した。

(1) テストに関する確認
 単体テスト、統合テスト、システムテストのテスト仕
様書及び結果報告を入手閲覧し、どのようなデータでど
のような条件でテストが実施されているかを確認した。
ここで留意した点は、ベンダーが作成した仕様書及び結
果報告書を顧客である A社の情報システム部及び販売部
門が適切に確認しており、その内容を理解しているかと
いう事である。 A社では情シスと販売部門がプロジェク
トチームにアサインされており、各成果物を承認する立
場にあった。システムテストの仕様書及びデータを販売
部門が検収テストにて使用していたため、特にシステム
テストの仕様について両部門が理解している必要がある
と考えられた為である。

(2) データ移行及びデータ連携に関して問題が無いか
 これに関しても結合テストにおけるテスト仕様書及び
ベンダーが作成したデータ移行確認ツール仕様書を査閲
し、監査項目に合致した手続きが行われている事を確認
した。特に、システム間連携に関してはデータシートの
印刷物にチェックを入れただけのテスト結果であったた
め、テスト結果は数字が羅列されているだけであった。
その数字がどのような理由で選択されているのか、境界
条件や科目等の観点から確認し、監査チームにおいては
確認すべき項目がすぐに分かる形にデータシートの
チェックポイント一覧を作成して監査証憑として添付し
た。

----
2.2リスク対策の監査と監査調書
----
 リスク対策に関する監査手続は以下の3つに大別して
実施した

(1) 設計書などの文書閲覧による確認
(2) 実際にテストを行っての確認
(3) インタビューによる確認

(1) 設計書などの文書閲覧による確認
 文書による確認を実施した際には立証性を担保する為
に文書のバージョンやページ数、章数などの情報を含め、
出来る限り根拠が明確になるように調査結果を記述した。
また、これにより再実施性も高まったと考える。

(2) 実際にテストを行っての確認
 実際のテストについては以下の項目を実施する事とし
た。また期間・費用・業務への影響を考慮し、一部の手
続きにおいて第 3者機関による試験実施結果等を利用し
た。いずれの場合にも立証性を担保する為監査の根拠が
明確に残るように実施した。

 (i) 障害回復のテスト
  想定されるいくつかのテストケースにおいてどのよ
 うなテストを実施したか、テスト環境も含めて詳細に
 記述した。障害からの回復状況についてはシステムロ
 グを保管すると同時に、回復後のオペレーション結果
 も残し、障害回復の SLAに基づいた目標時間内に正常
 に回復している事の証拠を残すようにした。

 (ii) 機密保護関係のテスト
  このテストでは外部への情報漏洩の可能性及び、外
 部からの侵入についての試験を実施する事とした。テ
 ストを行うにあたり、どのような作業を行ったか作業
 手順及びログを詳細に残す事にした。例えば、DBへの
 直接のアクセス試験に当たってはパスワードアタック
 のログ及びポリシーに従い運用担当者に警告メールが
 送信される事、一定時間のパスワードロックを確認し
 た。但し、侵入試験に関しては数ヶ月前に第 3者機関
 が実施したペネトレーション試験の結果を入手査閲し、
 テスト手順などについて監査手続欄に記載する為に必
 要な内容を問い合わせ、上記のテストと合わせて記載
 した。

(3) インタビューによる確認
 インタビューによる確認を実施する際には予め監査
チームにて質問項目を用意し、それに対する回答を記述
するようにした。5W1Hに注意し誰がいつ発言したか、誰
が誰に対して実施したかなどを詳細に記録し、さらに内
容を回答者にメールして内容を確認した旨の返信メール
送信を依頼した。また回答の根拠が明確ではないもの、
こちらの記載ミスなどを調査し、追加のインタビューや
実地調査を行った場合はバージョン管理等により結果を
保存した。


----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.次回以降の監査に向けての留意点
----------------------------------------------------------------------
 今回の監査においては本番稼働直前に試験を行ったが
このシステムの重要性とリスクの大きさを考慮すると今
回の監査において指摘した事項がどのように改善されて
いるか、今後の運用がどのように行われているかを定期
的に確認する必要があると判断される。次回以降の監査
において参考となるように、また再実施性についても考
慮した監査調書の整備を行う為以下の点を留意した。

(1) ツールを使用したデータ移行・連携テストに関して
 データ連携に関して、旧来より使用している在庫シス
テムは販売店が使用することを目的としており、 Webシ
ステムにて在庫の引き当て、払出をする際はロットや
ダース単位を個別に直す為の算出等を行っており、今後
も保守・変更が予想された。そのため今後のツール継続
利用を考慮して今回設定したパラメータを記録して試験
の再実施性を確保すると共に、状況の変化に対応する為
にツールの仕様書を監査調書の一部として保管し、今後
パラメータを変更して利用できるようにした。

(2) 障害回復・機密保護に関して
 システム自体が持つ障害回復機能や機密保持対策につ
いてはシステムに変更が無い場合は大きな変化がないと
判断し、基本的なテスト項目をキー項目として抜き出し
て継続試験項目とした。また、今回監査チームにて実施
したテストに関しては環境の構築方法や手順を詳細に記
載し、次回の監査人が容易にテストが行えるようにする
と共に、出力される結果ログに関しても監査証拠として
みるべきポイントを理由と共に調書に記載した。さらに
今後の技術変化なども考慮して第三者機関による試験結
果を参考にする際は最新の物を使用するように、監査時
期の会計期間内のテスト結果を出来るだけ参考にするよ
うにとの注記を手続きに記載した。
[ 戻る ]