J-SOXのシステム監査を始めるにあたっての心構え（ITELCやITGC）

こんばんは。
ベンチャー企業や新興企業ですと、内部統制を考えるにあたって
いきなり「システムわかるんだから、内部統制もやってよ」
と上長から言われるケースがあると思います。

ただ、IT統制はエンジニアの考え方と多少異なることがあります。

やらないといけないことは、ITELCとITGCの二つに区分されると思います。（ITACはどちらかというとPLCなので。。。）

両方とも共通していることは、RCMのひな型を最速で入手して、まずはシステムごとに機械的にあてはめをしていくことが重要です。
RCMのひな型ついては、監査法人ごとに作法があるようで、入手については交渉してみてください。もしなければ、コンサルから提供してもらうという手段もあります。

コツとしては、深みにはまらないことです。

一例として、
内容・・・不要なIDや使用していないIDがないか、確認できる手段が敷かれているか
統制例・・・ユーザー部門の責任者からの申請により、システム部門はIDの作成を行っている。
従業員に異動や退職が発生した場合は、ユーザー部門の責任者よりID削除の申請を受けてIDを削除している。
また、システム部門は半年ごとにIDの棚卸を行い、社員名簿にない従業員のIDや、一定期間の利用実績のないID、降格・異動したユーザーを検知した場合は、ユーザー部門に確認を行い削除を行っている。

監査結果・・・以下の資料を閲覧することによって、統制が有効であることを確認した
添付ファイル・・・従業員名簿・ユーザー一覧・当期分のユーザーID申請書類一覧

上記で見ていただくと、システム屋さんというか文系のロジック構築の世界になると思います。
RCMが入手したら、ひたすら統制目標に向かって、どうやったら統制を敷くことができるのかを考える作業を行うのがIT統制の真髄です。

どうやって考えることができるようになるか

これは公認情報システム監査人（CISA）を取っていただくのが最速ルートです。ITのガバナンスや監査の手法を一度頭に叩き込んで試験でアウトプットしたほうが良いと考えています。

システム監査技術者もありますが、問題の下敷きになるシステム監査基準などを覚えても、その基準で監査をやったところで財務諸表監査の重要な虚偽報告リスクのリスク評価に代替できないという記載があります(ＩＴ委員会研究報告第 42 号)
また、資格の取得を考えたときに、午前１のハードルが高すぎる点が問題となってきます。

エンジニアの考え方では技術にのめりこむ傾向がありますが、結構文系脳でやったほうがすんなりいくような気がしています。
（後日追記します）