• cbsync

IT監査対応への考え方について

こんにちは、CB部(コーポレートブランディング部)のandoです。 今回はIT監査への対応について、気をつけているポイントをいくつかご紹介させていただきます。

IT監査は監査法人が実施する法定監査の一環として行われるもので、「財務報告の適正性」に関して監査法人が意見を述べることを目的として行われます。監査の範囲は1事業年度(1年)となるため、1年に複数回の監査手続が実施されますが、監査を受ける側の立場で、いくつか説明をさせていただきます

IT監査の重要性


監査対象について


課金システムの正当性


予防的統制と発見的統制


実際のシステム利用者の立場からすると、「予防的統制」のアプローチを採用したシステムは、まず申請をして承認を得る手続が必要となるため、手続が増え、煩雑となります。 逆に「発見的統制」のアプローチをとったシステムは、事前の制約が限定的であるため、利用者側の負担は軽いのですが、システム管理者の立場からすると、システムのログを適切に取得・管理するためのシステム構築・運用が必要となります。場合によりますが、システムが分散していて連携が不可能である場合、準備するコスト・手間が多く、ログの取得が実質的に困難となる場合には、「発見的統制」のアプローチを採用したくても出来ず、事前承認のためのワークフローを利用するなど、「予防的統制」のアプローチを採用することになります。 会社によりIT統制に関するポリシーや、どのようなITシステムを使用しているかが異なるため、双方のアプローチを適宜組み合わせで運用していくことになります。

発見的統制のためのログ


まとめ


個々人を識別して、事前または事後での不正検知のための仕組みを用意し、運用していれば、仮に不正やエラーがあったとしても、事前で防止する「予防」と事後的に検出して是正する「発見」が可能、という、システムの正確性を担保することが期待されていると考えます。

参考リンク

  1. システム監査とIT監査の違いって?監査のポイント教えます。

  2. * IT統制監査の基礎知識

  3. * J-SOX法と会社法の比較

  4. OSSで始めるセキュリティログ収集

#IT #対応 #監査 #考え方

0回の閲覧
HRsync
  • Facebookの - ホワイト丸

© 2019 AltPlus Inc.