R3 AU PM2-2 他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について

1.計画したシステム監査の目的・概要及び利用可能と想定した他の監査の概要について

1.計画したシステム監査の目的・概要について
　Z社は、自社開発のネットワーク機器を販売する通信事業者である。Z社では、自社商品の販売を、AIを利用した営業支援システムや、RPAを用いた顧客管理などDXを利活用することで販促につなげる経営戦略を採用している。
　この経営戦略から、Z社では複数の情報システムを利用する。このため、個々の情報システムが情報セキュリティに関するリスクに対応している必要がある。また、同業他社において、複数の情報システムの一部のシステムから情報漏洩が発生するという事案が起きた。これは、一部の情報システムのパスワード設定に関する不備から発生したものであった。
　そこで、Z社内部監査室では、Z社の情報システムを対象として、パスワードに関する取り扱いが情報セキュリティに関するコントロールの有効性の監査（以下、パスワードに関する監査という）を実施することとなった。
　私は、内部監査室に所属するシステム監査人として、上記の監査を実施するものである。
2.利用可能と想定した他の監査手続の概要
　パスワードに関する監査を実施するにあたり、私は他の内部監査が実施した監査手続が利用できないか、を検討した。なぜなら、Z社内部監査室が監査後に実施している被監査部門を対象にしたアンケートにおいて、重複した監査内容に関する意見があり、監査対象部門の負担の軽減が内部監査室の課題であったからである。
　私が利用可能と考えたのは、業務監査が実施した、Z社の情報システムを対象とした、社内セキュリティ規定が求めるパスワードの強度といったルール（以下、パスワードルールという）の準拠性に関する監査である。

2.他の監査手続について、及び利用可能とした理由について

2.1他の監査手続について
　設問アで述べたパスワードルールについての監査を以下に述べる。
　パスワードルールについての監査は、Z社の情報システムで利用されるパスワードについての取り扱いについて、社内セキュリティ規定の準拠性をチェックするものである。業務監査として、例年で実施される。この準拠性のチェックは、Z社が利用するパスワード認証について、全部署を横断し監査を実施する。
　監査手続として、チェックリスト方式で、Z社の社内セキュリティ規定を基準とした項目に基づいて実施し、その準拠性を確認する。また、パスワードに関する従業員の取り扱いを確認するため、クリアデスクなどの実施状況を事業所の視察によって確認したものである。
2.2利用可能とした理由について
　私が、利用可能と想定した理由は、実施予定のパスワードに関する監査が想定する監査対象・監査目的との部分的な一致である。
　監査対象については、パスワードに監査する監査においても、パスワードルールの監査で対象としたZ社で利用する情報システムへの網羅的なチェックを実施する必要があるため、一致する。
　監査目的に関しては、パスワードルールの監査で設定した社内セキュリティ規定の準拠性についても、パスワードに関するコントロールのチェックにおいても確認する必要があるため、部分的に一致していると考えられる。
　以上から、パスワードルールの監査で実施された監査手続、及びその結果をパスワードルールの監査で利用することは、監査効率向上のうえで有用である。また、パスワードルールの監査が、全社横断的に実施された対象範囲の広さは、設問アで述べた内部監査の課題にも十分に資するものである。

3利用できるかどうかを評価するためのポイント及び想定どおりではなかった場合に見直すべき監査の内容について

3.1評価するポイントについて
　設問イで述べたパスワードルールの監査に限定せず、以下に他の監査が利用できるかを評価するためのポイントについて述べる。
　評価のポイントは複数あるが、例えば監査担当者の能力や独立性に関しては、内部監査室が実施している場合、ある程度依拠することは可能である。なぜなら、Z社内部監査室が実施する監査手続は、システム監査基準やシステム管理基準といった、一般に公正妥当と認められる複数の基準に参考としているため、一般的な監査能力を持つものなら十分に利用可能と考えられる。
　利用可能かを評価するポイントについては、監査目的の差異が最も重要と考える。なぜなら、監査目的の差異は、必要とする監査証拠や監査手続にも影響を及ぼすからである。
3.2見直すべき監査の内容について
　監査目的の差異を検討した時、パスワードルールの監査が社内セキュリティ規定の準拠性を設定していたことに対し、パスワードに関する取り扱いが情報セキュリティに関するコントロールの有効性を監査する。この差異は、パスワードの準拠性のみを監査目的とした監査証拠からは、情報セキュリティに関するコントロールの有効性を評価には、十分かつ適切な監査証拠は得られないと考えた。
　そこで、システム監査の計画の内容に以下の追加の監査項目を検討した。
　パスワードに関する情報セキュリティに関するコントロールでは、情報漏洩などのインシデントの予防対応も重要だが、インシデント発生時のコントロールも同様に重要である。この点について、①緊急のパスワード変更の要請など、インシデントの発生時の組織的な対応は問題ないか、②パスワード変更の決定など、インシデント発生時の関連部署への影響は想定されているか、を設定した。
　以上が、私が検討した、見直すべき監査の内容である。