Comments
Description
Transcript
監査証拠復習 - Isaca
特集記事 Ookeditse Kamau氏 (CISA、CIA)は、5年以 上の IT 監査の経験を 監査証拠復習 積み、Deloitte社で上 監査証拠は、監査プロセス中に監査人の結論を ワードコントロールが強力なものに設定されてい めてきました。氏は サポートします。 これは、管理者が正しい手続に従 るかどうかをテストする場合、パスワードポリシー 最近、Office of Auditor って、IT環境内での内部統制に従っていることを (パスワードの最小長、パスワードの最低有効日数 証明します。監査証拠を検討する場合、最初に思 など)をレビューするだけでは、 おそらく、 このコント 級IT監査人として勤 General Botswana社 に入社し、そこで主 席監査人( IT 監査)と して勤務しています。 い浮かぶ2つの考え方は、専門家としての懐疑的 ロールの十分な証拠にはなりません。 なぜなら、パ な態度(額面どおりに受け取らない)と、詳細に対し スワードポリシーはサーバーレベルで設定されて て注意を払うことという2つです。 いますが、 システム管理者が各ユーザーのパスワ 監査証拠は、監査プログラム実施プロセスの ード設定を変更する権限を持っているからです。 一要素ですが 1、 このプロセスは、図1に示すよう 可能な変更としては、パスワードなしでネットワー に、監査の目的の特定、 コントロールの選択、監査 クにアクセスできるユーザーを設定したり、決して 手続(コントロールのテスト)の文書化、および監査 有効期限の切れないユーザーのパスワードを設 証拠の評価から始まるのです。 定するなどがあります。 このような変更は、サーバ ーレベルで設定された方針に優先します。 したが 図1—監査プログラム実施プロセス 監査目的の特定 コントロールの選択 って、パスワードポリシーのレビュー以外に、情報 システム(IS)監査人追加レビューをする必要があ るのです。 •パスワードのないユーザー •決して有効期限の切れないようにパスワードが 設定されているユーザー コントロールに対処する証拠を十部集められ 監査手続 るように企業のパスワード変更ポリシーを定めて いても、 しばらくパスワードを変更していない、 ま たはログオンしていないユーザーはこのポリシー 監査証拠の評価 を逸脱しています。 別の種類の監査証拠が、監査プロセス中に集 められます3。 36 ISACAジャーナル VOLUME 3, 2012 監査証拠の品質は、その妥当性、信頼性、およ •質問—質問単独では、信用性の最も低い監査 び十分性で決まります 2。妥当性は証拠の適用可 証拠と見なされます。 これは、情報源が、質問の 能性に関連します。 たとえば、証拠がレビュー中の 対象である機能を実行または監督している監査 期間(たとえば年末)のものである場合、文書を受 対象である場合に特に当てはまります。質問が け取ったときに、 コンテンツをレビューし、日付に 証拠を得る唯一の方法である場合は、独立性を 注意を払うことは不可欠です。 また、情報源を確認 保つ情報源への質問で裏付けることをお勧めし する必要もあり、署名がある場合は、誰の署名か ます。自社開発ソフトウェアを監査しているとき を問い合わせる必要があります。信頼性は、簡単 に、IT責任者がソースコードにアクセスできず、 に言えば、証拠がどれだけ信頼できるかというこ レビューの年に実行されたアップグレードがな とです。書面の情報は、口頭の情報より信頼性は かったことをシステム構成から実証できない場 高く、原本の文書は複写したものより信頼性は高 合に、アプリケーションのユーザーへの質問で くなります。十分性は、証拠がコントロールアクテ 裏付けることができます。 コントロールの適切性 ィビティにどの程度完全に対応しているかを示し テストを実行するときには質問の信用性は低い ます。 たとえば、Windows 2003 Serverでのパス ですが、計画段階では十分だと考えられます。 •確認—独立性を保った外部のソースから得られた監査証拠 は、内部のソースから得られた証拠より信用性は高くなりま す。ほどんどの財務監査人は、銀行やベンダーなど、独立性を 保った外部のソースに確認書簡を送ることによって、バラン ス(貸方のバランスや借方のバランスなど)を確認します。 し かし、ほどんどのIT監査では、監査証拠はシステム構成から 導き出されます。監査人がシステムを監察したり、信頼できる 監査ソフトウェアツールで得た構成は、監査対象から受け取 るデータよりも信頼性に優れています。 •記録の検査—記録の信頼性はソースによります。 システムか ら直接得られた情報は、 システムから得た後に監査対象の手 でカスタマイズされた情報よりも信頼性に優れています。 たと えば、ほとんどのシステム管理者は、 システム能力のために、 バックアップステータス結果を3か月ごとに破棄したいと考え ています。 その目的はサーバーの領域を解放することです。 シ ステム管理者は通常、 スプレッドシートにバックアップステー タスを記録して、 コントロールが年間を通じて機能してきたこ とを示すためにこのスプレッドシートを保持します。 この形式 の例を図2に示しています。 この記事は役に立ちましたか? • ナレッジセンターでIS監査の基準、ガイドライ ン、ツールおよび技法について詳しく学習、ディ スカッション、およびコラボレーションを行いま しょう。 www.isaca.org/knowledgecenter 図2の情報は、 システム管理者が結果をPDF形式でフォルダ に保存し、監視目的にのみデータを記録した場合よりも、信 頼性は低くなります。図2を使用すると、記録を確認できるよ うになります。 •有形資産の検査—このタイプの証拠には、資産の存在と資産 の状態の確認含まれます。資産の名前またはモデル、 シリアル 番号、 または製品IDを記録し、 それを資産台帳と比較すること が重要です。 •観察—観察は2人の監査人で行うことをお勧めします4。 これ は、監査人が観察したものを裏付けるためであり、管理者が 観察の所見を否定するような事態を避けるためです。 さらに、 観察は、職務分離を確立する場合に重要になります。監査時 図2—コントロール運用形式の例 月: ごす必要があります。監査人は、 これを通じて、何が起きてい 2012年2月 るべきかではなく、何が起きているかを正確に把握する機会 が得られます。 毎日のバックアップ結果 日 に、可能な場合は、監査人はある程度の時間、監査対象と過 •再実施—この形式の監査証拠では、実行された手続を再実 ステータス コメント 施することによってアクティビティを確認します。 たとえば、監 査人は、 システム管理者が復旧手続を再実施しているときに 1 成功 なし システム管理者を観察して、その結果を記録することにより、 2 失敗 バックアップできなかったフ ァイルはユーザーフォルダ用 のものであったため、影響は ありませんでした。 システムが正しくバックアップを復旧できることを確認できま 3 成功 なし 4 成功 なし 5 成功 なし タスクの実行担当者:BK タスクのレビュー担当者:RS す。 この形式の監査証拠は、 コントロールの適切性を確認する ときに使用できます。 •再計算—この形式の監査証拠は、監査人が独立して計算を 実行して、監査対象と同じ結論に達するので、信頼できます。 監査人が、可能な場合は外部の第三者を使用して計算式を 確認することが重要です(たとえば、政府のウェブサイトを使 用して、源泉徴収方式[PAYE]の計算を確認するなど)。 •スキャン—この形式の監査証拠では、大きなまたは異常な項 目を検索してエラーを検出します。 たとえば、最大または最小 の融資額がある場合、貸付記入帳をスキャンして、定められた 範囲を超える金額がないかどうかを調べられます。 ISACAジャーナル VOLUME 3, 2012 37 監査証拠を集める技法 理ツール] > [Active Directoryユーザーとコンピュータ] > [ビ 監査証拠を集める技法として可能なものは以下のとおりです。 ルトイン] > 管理者を選択する > 右クリック > プロパティを選 •インタビュー—これは、IS担当者に公開および非公開の質問 択する > メンバーを選択する。 を尋ねることによってデータを収集する対話式のプロセスで す。監査対象の領域のプロセスについて知識のある適切なイ サンプリング ンタビュー相手を特定することが重要です。 サンプリングは、母集団の100%未満の対象をテストする監査 •アンケート—これは、IS担当者に事前に定められた質問に回 手続です7。IS監査人が、監査の目的と、特定された危険率に対 答してもらうことによってデータを収集するプロセスです。 こ 応する証拠を十分に集めるために利用できる、 さまざまなサン の技法は、通常、監査の計画フェーズ中にデータを収集する プリング方法があります。サンプリング方法は統計的な場合も 場合に使用されます。 このプロセスを通じて収集された情報 統計的でない場合もあります。統計的サンプリングでは、サンプ は、追加のテストで裏付ける必要があります。 ルを定量的に取得します。一般的に使用される統計的方法は、 •ベンチマーキング—これは、類似の組織、 または業界で十分 ランダムサンプリングと統計的サンプリングです。非統計的サ 認められた標準とIS部門を比較するプロセスです。ベンチマ ンプリングには、サンプルを定性的に取得することが含まれま ーキングの証拠の例としては、ITILプロセス成熟度フレーム す。一般的に使用される非統計的方法は、任意抽出の判断サン ワーク(PMF)レポート 、COBIT 成熟度モデルアセスメント、 プリングです。 5 ® および新しく導入されたCOBIT®アセスメントプログラム6レポ ートの比較があります(ただし、 これらに限られません)。 •データ解読—これは、通常はコンピュータ支援監査ツール 適用されるサンプリングのサイズは、 テストするコントロール のタイプ、 コントロールの頻度、 コントロールの設計および導入 の効果によって異なります。 (CAAT)を利用して、データを分析するプロセスです。汎用監 査ソフトウェアは、 アプリケーション内に埋め込んで取引をそ コントロールのタイプとサンプルサイズ の処理中にレビューすることができ、逸脱行為や異常を示す 次に2種類のコントロールを示します。 例外事項報告書が作成され、その後の監査の調査に使用さ •自動コントロール—自動コントロールは通常、1つのサンプ れます。最も一般的に使用されるCAAT方法では、 アプリケー プログラムがタスクを実行でき(従業員 ルを必要とします8。 ションからデータをダウンロードし、 そのデータをACLやIDEA の給料の基本率に基づいて、 自動車手当を正しく計算するな などのソフトウェアで分析します。 テストには、 ジャーナルテス ど)、 プログラムコードが変更されていなければ、システムは ト、 アプリケーション入力および出力完全性チェック(重複した 残りの母集団にも同じ式を適用すると想定されます。 したが 番号など)、請求書/発注書でのギャップ、 および支払金額によ って、1つの場合をテストすれば残りの母集団にとって十分で るベンダーの集計などがあります。 す。逆の場合も同じことが当てはまります。 システムが手当を •システムパラメータの抽出—これは、手作業またはユーティリ ティツール/スクリプトを使用してシステム構成およびユーザ ーアカウント詳細をレビューするプロセスです。 これらは、 オン 38 間違って計算した場合、残りの母集団にもエラーが起こると 推定されます。 •手動コントロール—IS監査人がサンプルサイズの計算にどの ラインで無料で入手することも、社内で開発することも、市販 サンプリング方法を使用するかに応じて、次の要素を考慮し の既製品を購入することもあります。利用できるソフトウェア てサンプルサイズを決める必要があります9。 には、Microsoft Baseline Security Analyzer (無料)、Dumpsec 1. コントロールに置かれた信頼 (無料)、Sekchek、IDEA examiner、ACL CaseWare、社内開発 2. コントロールに関連するリスク したVisual Basicスクリプトなどがありますが、 これらにとどま 3. コントロールの発生頻度 りません。あるいは、IS監査人は、監査しているシステムのシ 手動コントロールの例には、監査ログ監視のレビュー、ユー ステムマニュアルを読んで、 システム構成とユーザーアカウン ザー権限アクセスフォームのレビュー、日常のIT手続、サーバ トを手作業で取得する方法についてガイダンスを得ることが ー監視手続、およびヘルプデスク機能のレビューなどがありま できます。 たとえば、Windows 2003 Serverの管理者アクセス す。図3では、ITコントロール、証拠の収集に使用できる技法、 お を得るには、IS監査人は次の手続に従います。[スタート] > [管 よび使用できるサンプリング方法を示しています。 ISACAジャーナル VOLUME 3, 2012 図3—コントロール、証拠収集技法、収集された証拠、およびサンプリング方法の例 コントロール 証拠収集技法 収集された証拠 サンプリング方法 データ所有者が、 システム • インタビュー でのユーザーアクセスとユ • シ ステムパラメータの抽出 ーザー権限を認可する。 (自動/手動) • ユーザーのポリシーおよび手続 • ユーザー作成日を含んだユーザ ーリストレポート • 管理承認を示すユーザーアクセ ス要求フォーム/電子メール ランダム選択 ユーザーは一意のIDを所 有している。 • 適切なIS担当者のインタビ ュー • システムパラメータの抽出 • データインタロゲーション • ユーザーのポリシーおよび手続 • システムからのユーザーリスト レポート • 得られた結果を示したACL/IDEA レポート • 得られた結果を示した手入力の Excelシート ランダムサンプリング、 または IS 監査人が、CAAT (ACL/IDEA) を使用して重複したユーザID を見つけることによって、母集 団の100%のレビューを実行 する。 システムは強力なパスワ ードで保護されている。 • インタビュー • システムパラメータの抽出 • ユーザーのポリシーおよび手続 • システム構成/パスワード方針の 画面印刷 これは自動コントロールなの でサンプリングはありません( 前述のように、 システムによっ ては追加テストが必要です)。 特権のある役割(管理者) が適切な担当者に与えら れている。 システムパラメータの抽出 • ポリシーと手続 • ユーザリスト/役割レポート職務 記述 • CAAT (ACL/IDEA)を使用して管 理者権限を持つユーザーを 抽出することによる母集団の 100%レビュー • ランダムサンプリング 結論 5 Holtby, Adam著『The ITIL process maturity framework 監査プロセス中に質の高い証拠を収集できれば、遂行してい can help identify improvement opportunities』 る作業全体の質が高まり、監査リスクが軽減します。質の高い Ovum, 2012年2月3日(http://ovum.com/2012/02/03/ 証拠を集められないと、監査人または企業が訴訟、評判の低 the-itil-process-maturity-framework-can-help-identify- 下、得意先の喪失に直面する事態を招く場合があります。監査 対象から得られた監査証拠が高品質で、ITコントロール環境の improvement-opportunities/) 6 理解に役立つことを確認することが重要です。 ISACA, COBIT Assessment Programme(www.isaca.org/ Knowledge-Center/cobit/Pages/COBIT-AssessmentProgramme.aspx) 後注 1 7 Cascarino, Richard E.著『Auditor’s Guide to Information Tools and Techniques for Audit and Assurance and Control Professionals』2010(www.isaca.org/standards) System Auditing』John Wiley & Sons, 2007 2 3 American Institute of Certified Public Accountants 8 Rajamani, Baskaran著『Certifying Automated (AICPA), AU Section 326 Audit Evidence(www. Information Technology Controls:Common Challenges aicpa.org/Research/Standards/AuditAttest/ and Suggested Solutions』Deloitte(www.deloitte. DownloadableDocuments/AU-00326.pdf) com/view/en_CA/ca/services/ceocfocertification/ Aasmund, Eilifsen著『Auditing and Assurance Services』 第2版, Forlag:McGraw-Hill, 122~127ページ 4 ISACA, G10 Audit Sampling『IT Standards, Guidelines, and Gleim, Irvin N.著『CIA Part 2』第13 版, 2009 th c1fcfa9d452fb110VgnVCM100000ba42f00aRCRD.htm) 9 African Organization of English-speaking Supreme Audit Institutions (AFROSAI-E)著『Regularity Audit Manual』2010 ISACAジャーナル VOLUME 3, 2012 39