監査証拠復習 

 
Download Article

監査証拠は、監査プロセス中に監査人の結論をサポートします。これは、管理者が正しい手続に従って、IT環境内での内部統制に従っていることを証明します。監査証拠を検討する場合、最初に思い浮かぶ2つの考え方は、専門家としての懐疑的な態度(額面どおりに受け取らない)と、詳細に対して注意を払うことという2つです。

図1監査証拠は、監査プログラム実施プロセスの一要素ですが1 、このプロセスは、図1に示すように、監査の目的の特定、コントロールの選択、監査手続(コントロールのテスト)の文書化、および監査証拠の評価から始まるのです。

監査証拠の品質は、その妥当性、信頼性、および十分性で決まります2。 妥当性は証拠の適用可能性に関連します。たとえば、証拠がレビュー中の期間(たとえば年末)のものである場合、文書を受け取ったときに、コンテンツをレビューし、日付に注意を払うことは不可欠です。また、情報源を確認する必要もあり、署名がある場合は、誰の署名かを問い合わせる必要があります。信頼性は、簡単に言えば、証拠がどれだけ信頼できるかということです。書面の情報は、口頭の情報より信頼性は高く、原本の文書は複写したものより信頼性は高くなります。十分性は、証拠がコントロールアクティビティにどの程度完全に対応しているかを示します。たとえば、Windows 2003 Serverでのパス ワードコントロールが強力なものに設定されているかどうかをテストする場合、パスワードポリシー (パスワードの最小長、パスワードの最低有効日数など)をレビューするだけでは、おそらく、このコントロールの十分な証拠にはなりません。なぜなら、パスワードポリシーはサーバーレベルで設定されていますが、システム管理者が各ユーザーのパスワード設定を変更する権限を持っているからです。可能な変更としては、パスワードなしでネットワークにアクセスできるユーザーを設定したり、決して有効期限の切れないユーザーのパスワードを設定するなどがあります。このような変更は、サーバーレベルで設定された方針に優先します。したがって、パスワードポリシーのレビュー以外に、情報システム(IS)監査人追加レビューをする必要があるのです。

  • パスワードのないユーザー
  • 決して有効期限の切れないようにパスワードが設定されているユーザー

コントロールに対処する証拠を十部集められるように企業のパスワード変更ポリシーを定めていても、しばらくパスワードを変更していない、またはログオンしていないユーザーはこのポリシーを逸脱しています。

別の種類の監査証拠が、監査プロセス中に集められます3

  • 質問—質問単独では、信用性の最も低い監査証拠と見なされます。これは、情報源が、質問の対象である機能を実行または監督している監査対象である場合に特に当てはまります。質問が証拠を得る唯一の方法である場合は、独立性を保つ情報源への質問で裏付けることをお勧めします。自社開発ソフトウェアを監査しているときに、IT責任者がソースコードにアクセスできず、レビューの年に実行されたアップグレードがなかったことをシステム構成から実証できない場合に、アプリケーションのユーザーへの質問で裏付けることができます。コントロールの適切性テストを実行するときには質問の信用性は低いですが、計画段階では十分だと考えられます。
  • 確認—独立性を保った外部のソースから得られた監査証拠は、内部のソースから得られた証拠より信用性は高くなります。ほどんどの財務監査人は、銀行やベンダーなど、独立性を保った外部のソースに確認書簡を送ることによって、バランス(貸方のバランスや借方のバランスなど)を確認します。しかし、ほどんどのIT監査では、監査証拠はシステム構成から導き出されます。監査人がシステムを監察したり、信頼できる監査ソフトウェアツールで得た構成は、監査対象から受け取るデータよりも信頼性に優れています。
  • 記録の検査—記録の信頼性はソースによります。システムから直接得られた情報は、システムから得た後に監査対象の手でカスタマイズされた情報よりも信頼性に優れています。たとえば、ほとんどのシステム管理者は、システム能力のために、バックアップステータス結果を3か月ごとに破棄したいと考えています。その目的はサーバーの領域を解放することです。システム管理者は通常、スプレッドシートにバックアップステータスを記録して、コントロールが年間を通じて機能してきたことを示すためにこのスプレッドシートを保持します。この形式の例を図2に示しています。

    図2

    図2の情報は、システム管理者が結果をPDF形式でフォルダに保存し、監視目的にのみデータを記録した場合よりも、信頼性は低くなります。図2を使用すると、記録を確認できるようになります。
  • 有形資産の検査—このタイプの証拠には、資産の存在と資産の状態の確認含まれます。資産の名前またはモデル、シリアル番号、または製品IDを記録し、それを資産台帳と比較することが重要です。
  • 観察—観察は2人の監査人で行うことをお勧めします4 。これは、監査人が観察したものを裏付けるためであり、管理者が観察の所見を否定するような事態を避けるためです。さらに、観察は、職務分離を確立する場合に重要になります。監査時に、可能な場合は、監査人はある程度の時間、監査対象と過ごす必要があります。監査人は、これを通じて、何が起きているべきかではなく、何が起きているかを正確に把握する機会が得られます。
  • 再実施—この形式の監査証拠では、実行された手続を再実施することによってアクティビティを確認します。たとえば、監査人は、システム管理者が復旧手続を再実施しているときにシステム管理者を観察して、その結果を記録することにより、システムが正しくバックアップを復旧できることを確認できます。この形式の監査証拠は、コントロールの適切性を確認するときに使用できます。
  • 再計算—この形式の監査証拠は、監査人が独立して計算を実行して、監査対象と同じ結論に達するので、信頼できます。監査人が、可能な場合は外部の第三者を使用して計算式を確認することが重要です(たとえば、政府のウェブサイトを使用して、源泉徴収方式[PAYE]の計算を確認するなど)。
  • スキャン—この形式の監査証拠では、大きなまたは異常な項目を検索してエラーを検出します。たとえば、最大または最小の融資額がある場合、貸付記入帳をスキャンして、定められた範囲を超える金額がないかどうかを調べられます。

監査証拠を集める技法

監査証拠を集める技法として可能なものは以下のとおりです。

  • インタビュー—これは、IS担当者に公開および非公開の質問を尋ねることによってデータを収集する対話式のプロセスです。監査対象の領域のプロセスについて知識のある適切なインタビュー相手を特定することが重要です。
  • アンケート—これは、IS担当者に事前に定められた質問に回答してもらうことによってデータを収集するプロセスです。この技法は、通常、監査の計画フェーズ中にデータを収集する場合に使用されます。このプロセスを通じて収集された情報は、追加のテストで裏付ける必要があります。
  • ベンチマーキング—これは、類似の組織、または業界で十分認められた標準とIS部門を比較するプロセスです。ベンチマーキングの証拠の例としては、ITILプロセス成熟度フレームワーク(PMF)レポート5 、COBIT 成熟度モデルアセスメント、および新しく導入されたCOBIT アセスメントプログラム6 レポートの比較があります(ただし、これらに限られません)。
  • データ解読—これは、通常はコンピュータ支援監査ツール (CAAT)を利用して、データを分析するプロセスです。汎用監査ソフトウェアは、アプリケーション内に埋め込んで取引をその処理中にレビューすることができ、逸脱行為や異常を示す例外事項報告書が作成され、その後の監査の調査に使用されます。最も一般的に使用されるCAAT方法では、アプリケーションからデータをダウンロードし、そのデータをACLやIDEA などのソフトウェアで分析します。テストには、ジャーナルテスト、アプリケーション入力および出力完全性チェック(重複した番号など)、請求書/発注書でのギャップ、および支払金額によるベンダーの集計などがあります。
  • システムパラメータの抽出—これは、手作業またはユーティリティツール/スクリプトを使用してシステム構成およびユーザーアカウント詳細をレビューするプロセスです。これらは、オンラインで無料で入手することも、社内で開発することも、市販の既製品を購入することもあります。利用できるソフトウェアには、Microsoft Baseline Security Analyzer (無料)、Dumpsec (無料)、Sekchek、IDEA examiner、ACL CaseWare、社内開発したVisual Basicスクリプトなどがありますが、これらにとどまりません。あるいは、IS監査人は、監査しているシステムのシステムマニュアルを読んで、システム構成とユーザーアカウントを手作業で取得する方法についてガイダンスを得ることができます。たとえば、Windows 2003 Serverの管理者アクセスを得るには、IS監査人は次の手続に従います。[スタート] > [管 理ツール] > [Active Directoryユーザーとコンピュータ] > [ビルトイン] > 管理者を選択する > 右クリック > プロパティを選択する > メンバーを選択する。

サンプリング

サンプリングは、母集団の100%未満の対象をテストする監査手続です7 。IS監査人が、監査の目的と、特定された危険率に対応する証拠を十分に集めるために利用できる、さまざまなサンプリング方法があります。サンプリング方法は統計的な場合も統計的でない場合もあります。統計的サンプリングでは、サンプルを定量的に取得します。一般的に使用される統計的方法は、ランダムサンプリングと統計的サンプリングです。非統計的サンプリングには、サンプルを定性的に取得することが含まれます。一般的に使用される非統計的方法は、任意抽出の判断サンプリングです。

適用されるサンプリングのサイズは、テストするコントロールのタイプ、コントロールの頻度、コントロールの設計および導入の効果によって異なります。

コントロールのタイプとサンプルサイズ

次に2種類のコントロールを示します。

  • 自動コントロール—自動コントロールは通常、1つのサンプルを必要とします8 。プログラムがタスクを実行でき(従業員の給料の基本率に基づいて、自動車手当を正しく計算するなど)、プログラムコードが変更されていなければ、システムは残りの母集団にも同じ式を適用すると想定されます。したがって、1つの場合をテストすれば残りの母集団にとって十分です。逆の場合も同じことが当てはまります。システムが手当を間違って計算した場合、残りの母集団にもエラーが起こると推定されます。
  • 手動コントロール—IS監査人がサンプルサイズの計算にどのサンプリング方法を使用するかに応じて、次の要素を考慮してサンプルサイズを決める必要があります9
    1. コントロールに置かれた信頼
    2. コントロールに関連するリスク
    3. コントロールの発生頻度

手動コントロールの例には、監査ログ監視のレビュー、ユーザー権限アクセスフォームのレビュー、日常のIT手続、サーバー監視手続、およびヘルプデスク機能のレビューなどがあります。図3では、ITコントロール、証拠の収集に使用できる技法、および使用できるサンプリング方法を示しています。

図3

結論

監査プロセス中に質の高い証拠を収集できれば、遂行している作業全体の質が高まり、監査リスクが軽減します。質の高い証拠を集められないと、監査人または企業が訴訟、評判の低下、得意先の喪失に直面する事態を招く場合があります。監査対象から得られた監査証拠が高品質で、ITコントロール環境の理解に役立つことを確認することが重要です。

後注

1 Cascarino, Richard E.著『Auditor’s Guide to Information System Auditing』John Wiley & Sons, 2007
2 American Institute of Certified Public Accountants (AICPA), AU Section 326 Audit Evidence (www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00326.pdf)
3 Aasmund, Eilifsen著『Auditing and Assurance Services』 第2版, Forlag: McGraw-Hill, 122~127ページ
4 Gleim, Irvin N.著『CIA Part 2』第 13th 版, 2009
5 Holtby, Adam著『 The ITIL process maturity framework can help identify improvement opportunities』 Ovum, 2012年2月3日 (http://ovum.com/2012/02/03/the-itil-process-maturity-framework-can-help-identify-improvement-opportunities/)
6 ISACA, COBIT Assessment Programme (www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Assessment-Programme.aspx)
7 ISACA, G10 Audit Sampling 『IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals』 2010 (www.isaca.org/standards)
8 Rajamani, Baskaran著 『Certifying Automated Information Technology Controls:  Common Challenges and Suggested Solutions』 Deloitte (www.deloitte.com/view/en_CA/ca/services/ceocfocertification/c1fcfa9d452fb110VgnVCM100000ba42f00aRCRD.htm)
9 African Organization of English-speaking Supreme Audit Institutions (AFROSAI-E)著 『Regularity Audit Manual』2010

Ookeditse Kamau氏 (CISA、CIA) は、5年以上のIT監査の経験を積み、Deloitte社で上級IT監査人として勤めてきました。氏は最近、Office of Auditor General Botswana社に入社し、そこで主席監査人(IT監査)として勤務しています。