IT監査対応への考え方について

こんにちは、CB部（コーポレートブランディング部）のandoです。 今回はIT監査への対応について、気をつけているポイントをいくつかご紹介させていただきます。

IT監査は監査法人が実施する法定監査の一環として行われるもので、「財務報告の適正性」に関して監査法人が意見を述べることを目的として行われます。監査の範囲は１事業年度（１年）となるため、１年に複数回の監査手続が実施されますが、監査を受ける側の立場で、いくつか説明をさせていただきます

IT監査の重要性

監査対象について

課金システムの正当性

予防的統制と発見的統制

実際のシステム利用者の立場からすると、「予防的統制」のアプローチを採用したシステムは、まず申請をして承認を得る手続が必要となるため、手続が増え、煩雑となります。 逆に「発見的統制」のアプローチをとったシステムは、事前の制約が限定的であるため、利用者側の負担は軽いのですが、システム管理者の立場からすると、システムのログを適切に取得・管理するためのシステム構築・運用が必要となります。場合によりますが、システムが分散していて連携が不可能である場合、準備するコスト・手間が多く、ログの取得が実質的に困難となる場合には、「発見的統制」のアプローチを採用したくても出来ず、事前承認のためのワークフローを利用するなど、「予防的統制」のアプローチを採用することになります。 会社によりIT統制に関するポリシーや、どのようなITシステムを使用しているかが異なるため、双方のアプローチを適宜組み合わせで運用していくことになります。

発見的統制のためのログ

まとめ

個々人を識別して、事前または事後での不正検知のための仕組みを用意し、運用していれば、仮に不正やエラーがあったとしても、事前で防止する「予防」と事後的に検出して是正する「発見」が可能、という、システムの正確性を担保することが期待されていると考えます。

参考リンク

1. * システム監査とIT監査の違いって？監査のポイント教えます。

2. * IT統制監査の基礎知識

3. * J-SOX法と会社法の比較

4. * OSSで始めるセキュリティログ収集

#IT #対応 #監査 #考え方