R4 AU PM2-1 情報システムの個別監査計画と監査手続について

1.携わった情報システムの概要及びその特徴とそのシステム監査の概要

　Z社は、自社開発のネットワーク機器を販売し、それらのサポートデスク対応や運用支援を実施している。Z社では、競合他社との差別化を図る為、サポート対応や運用支援（以下、顧客サポートという）に特に力を入れ、同社のコアコンピタンスの一つとしている。
　顧客サポートは、主に技術部によって執り行われる。顧客サポートでは、主に電話を中心とした入電から、口頭による対応を内勤者が実施する。内勤者による対応ではサポート対応が完了しなかった場合、外勤者によるエスカレーションが実施され、顧客先に外勤者が訪問し、サポート対応を完了する。
　サポート対応には、顧客の取引のあるネットワーク機器や保守契約の状態及び過去のサポート対応を参照できるサポートDBシステムである「R」（以下、Rという）を利用する。
　Rは、機密情報が含まれている為、内勤者はZ社の社内環境から利用し、外勤者はZ社が支給するデバイスを利用する。しかし、外勤者からは利用に制限が多い会社支給端末ではなく、扱いなれた個人所有の端末からRを利用する要望があった。
　そこで、Z社ではサポート対応の強化の一環でRを個人所有の端末を利用するR2システムを稼働させた。
2.R2システムの個別監査計画について
　Z社では、経営戦略上、顧客サポート対応向上の適切性が重要といえる。この為、Z社内部監査部もこのITガバナンスに関わる監査テーマを決定し、個別監査実施計画において、開始したR2システムの利用状況のリスク及びそのコントロールについて監査を実施する。
　私は、Z社内部監査部に所属するシステム監査人の立場で、個別監査実施計画を立案することとなった。
721-1421

R2システムの個別監査計画で設定した重点項目・着眼点及び想定した監査上の制約について

1.個別監査計画で設定した重点項目・着眼点について
　私は、個別監査実施計画を立案にあたり、重点項目・着眼点の設定においては、R2システムの特徴、リスク評価結果、経営層の期待を踏まえて検討する必要があると考え、それぞれを内部資料を査閲し、以下の事実を確認した。
1.1　R2システムの特徴、リスク評価結果、経営者の期待について
・R2システムの特徴
　R2システムは、Z社外勤者の約100名が利用をしている。利用を希望する者は、上長の確認印を要する指定の申請処理を実施する。また、勤怠システムと連動し、勤務時間以外の利用が不可になるよう出勤時に発行されるワンタイム・パスワードを利用する。また、利用の際には、Z社指定のMAM（Mobile Application Management）「A」(以下、Aという)をインストールする。
・リスク評価結果
　R2システムは、機密情報が含まれている為、発生した場合の被害損額が最も大きいリスクと考えられるのは、情報漏洩である。情報漏洩は、大きく分けて故意によるものと過失によるものがある。R2システムで発生する可能性が高いものは過失と考えらる。これは、十分に制御や監視が可能な会社支給端末と違い、制御及び監視が不十分な複数の個人所有の端末となるためである。ただし、顕在するリスクとしては、物理的な管理が困難であることから故意による情報漏洩も十分に考えられる。
・経営層の期待
　R2システムを利用することで顧客サポートの品質が向上することは、経営戦略的にも合致しているため期待も高い。このため、R2システムでは、リスクマネジメントが適切に図られ、不足のないコントロールは無論ではあるが、さらに活用の阻害がないような過剰なコントロールがないことも求められる。
1.2　設定した重要項目・着眼点
　以上から、私は、R2システムの個別監査計画の立案において、重要項目としてZ社が規定するR2システム運用規定（以下、運用規定という）の妥当性及び準拠性を設定した。着眼点として、以下を設定した。
（1）R2システム運用の責任部署であるZ社技術部は漏れなくR2システムを利用する個人所有端末を把握し、管理しているか。
（2）R2システムを管理するAの運用は適切か。
（3）運用規定は情報漏洩に対して適切に対応しているか。また、利用者に周知徹底されているか。
2.監査上の制約について
　私は、重点項目・着眼点を設定し、さらに、監査実施における監査上の制約についてを検討した。監査上の制約は、監査対象の一部に個人所有が含まれているため、それらの全数を対象とした監査が困難な点である。
1847-2547

想定した監査上の制約を踏まえて、実施できない監査手続及びそれによって生じる監査リスク、並びに監査リスクに対応するために作成した監査手続について

1.実施できない監査手続及びそれにより生じる監査リスクについて
　私は、設問イで想定した全数検査が困難な点から、監査の結論を誤る監査リスクを明確にする必要があると考えた。例えば、着眼点の（1）において、R2システムを利用する個人所有端末の管理の網羅性を挙げた。この証明には、本来は全数に対しR2システムの利用申請書との突合を要する。これにより、管理の網羅性の有無を証明し、もって全数が管理されているコントロールの有効性が評価できる。この全数が管理されているコントロールは、別のコントロール、例えばAを利用した端末操作の有効性の根拠にもなるため、監査の結論を誤る監査リスクとなりうる。
2.監査リスクに対応するために作成した監査手続について
　私は、監査の結論を誤る上記の監査リスクを低い水準に抑える対応方法を以下のように検討した。
（1）R2システムの利用申請書とAの管理画面に表示される登録端末情報の突合を実施する。この監査手続により、全数を実査する監査手続の補完として、管理下の個人端末の網羅性を証明する監査証拠を得る。
（2）R2システムのアクセスログから、Aに登録外のアクセスの有無を確認する。この監査手続により、全数を実査する監査手続の補完として、管理外の個人端末の有無を証明する監査証拠を得る。
（3）可能な限りの試査を実施する。ただし、全数への実査との代替と考えた場合、その選定も十分に検討する必要がある。併せて、個人利用端末であることから、監査対象の負担にならないように留意する。この監査手続により、管理された個人端末の網羅性の一部を証明する監査証拠を得る。
　私は、上記の対応方法を実施することで得られる監査証拠を、全数を実査することに代えても十分性と適切性を保ちうると考えた。上記の監査手続をまとめ、個別監査計画を策定した。