No,ネタ,監査目的,監査テーマ,リスクの背景（監査対象の特徴）,リスク要因,リスク,コントロール,監査項目,監査要点,監査手続,監査証跡 -,-,"監査を実施することによって達成しようとする事項または状態。 監査目的とは、一つまたは複数の『監査テーマ』への取組を通し、その監査で達成しようとする事項または最終的な状態をいう。 例：「当社情報システムは経営に役立っているかを確かめる」または「謄写情報システムを経営に役立たせる」 ※「監査目標」は、監査目的をブレイクダウンし具体化したもの ★監査目的、目標、テーマの違いが判らん・・・","『監査目的』実現のために、何処に焦点をおき監査するかを表した、具体的な監査の主題。 監査テーマとは、『監査目的』に基づき定められた、その監査で具体的に評価しようとする監査の主題である。そして、監査テーマが、監査人が監査報告書において意見表明する具体的ターゲットとなる。 例：「管理会計システムの安全性/有効性を確かめる」「管理会計システムは、タイムリーかつ適切な情報を経営者に提供できているかを確かめる」",-,,,,"監査項目は、『監査テーマ』への取組のために、『監査範囲』の中から監査人によって抽出された、『監査手続』を適用する個々の対象である。 例：システム運用実態、システム設計書等","監査要点は、『監査テーマ』への取組のために、『監査項目』について、監査人が評価、確認する内容であり、その監査における、『監査項目』の判断の尺度である。 例：会計システムはタイムリーかつ適切な情報を経営者に提供できているか","監査手続とは、監査人が、『監査要点』に対する合理的な評価、結論を得るために、その十分な証拠の収集を目的として『監査項目』に対して行う、監査技術の選択、及びその適用の具体的手順である。 例：システム設計書の査閲により、ユーザの承認の記録を確認する",各コントロール機能が情報システムの信頼性、安全性、効率性、有効性の確保に結び付いていることを事後に実証するための手段。情報システムに関する様々な事象の発生から最終結果に至るまでの過程及びその逆方向の追跡が出来る仕組み。 ,,,,,,・品質管理のための体制が不適切,"・品質管理を支えるプロジェクト体制がシステム開発標準において規定されている ・該当規程を順守してプロジェクト体制が構築されている",プロジェクト体制,・プロジェクト体制は適切か,"・システム開発標準の査閲 ・プロジェクト体制図、役割分担表のシステム開発標準への準拠状況の確認 ・プロジェクト管理チームのアウトプットの確認、および品質管理メンバへのヒアリング", ,,,,,,・品質管理プロセスが不適切,"・品質管理に必要なプロセスがシステム開発標準で規定されている。 ・該当規程を順守して品質管理プロセスが構築、運用されている",品質管理プロセス,・品質管理プロセスは適切か,"・品質管理会議の議事録の査閲による評価指標の精査 ・PMへのインタビューによる前工程にさかのぼった品質の再レビューの実施実績の確認", 1,"午後2 平成23年 問3",★原価管理システム再構築プロジェクトのシステムテストの妥当性評価,★原価管理システム再構築プロジェクトのプロジェクト管理の監査,"システム間連携が多いため、システム間連携テストの計画と実施が困難。 具体的には、会計、購買管理、販売管理、在庫管理、生産管理システムなどとのシステム間連携がある。",スケジュールに遅れが生じた場合に、システム間連携テストが十分にできない,システム間連携に不整合が生じて、原価管理システムの月次処理が遅れるリスク,・EVMによる定量的でリアルタイム性の高い評価,・EVMによる進捗評価,・EVMによる評価が有効に働いているか,"・要件定義段階でのEVMの評価結果とプロジェクトの実際の進捗の突合によるEVMの妥当性を評価する 【監査人の考え】 EVMでは、進捗を入力する際の基準があいまいであったり、雑であったりすると、SPIやSVの値の精度を確保できない。そのため、十分な精度があるかを確定事実と突き合わせて検証することが重要である。そこで、要件定義の終了直前におけるSPIの値の動きに、帳尻合わせなどの不自然さがないことを確認した。",・EVMの評価結果とプロジェクト進捗との突合結果 2,"午後2 平成23年 問3",★原価管理システム再構築プロジェクトのシステムテストの妥当性評価,★原価管理システム再構築プロジェクトのプロジェクト管理の監査,システム間連携が多いため、システム間連携テストの計画と実施が困難,スケジュールに遅れが生じた場合に、システム間連携テストが十分にできない,"【リスク要因】 スケジュールに遅れが生じた場合に、システム間連携テストが十分にできない 【リスク】 システム間連携に不整合が生じて、原価管理システムの月次処理が遅れるリスク",・プロジェクトの遅れの兆候の察知,・プロジェクトの遅れの兆候の察知,・プロジェクトの遅れの兆候を察知する手段を施策を実施しているか,"・プロジェクトの遅れの兆候を察知する方法をプロジェクトマネージャにヒアリングを行う。 【監査人の考え】 EVMによる定量的な評価は重要であるが、数値に表れた状態では手遅れという状況が考えられる。進捗の遅れの兆候を察知して、問題にならないうちに、対処することがスケジュールの遅れを予防するには重要である。",・プロジェクトマネージャへのヒアリング結果 3,"午後2 平成23年 問3",,,正確性が要求される情報システムのため、並行テスト期間の確保が必須,,"【リスク要因】 利用者部門の参画が不十分などの理由により、並行テスト期間中に十分な検証ができない 【リスク】 本稼働後も重大なバグが残留して月次決算の正確性が損なわれるリスク","★利用者部門の要員のテスト参画の計画の明示 ⇒利用者部門の要員に、いつごろテストに参画してもらうかを明示し、スケジュールに組み込んでもらう",・利用者部門の要員のテスト参画への準備状況,・利用者部門の参画が重要な並行テスト期間中に、テストに参画する利用者部門の要員が確実にテスト資料を検証できるか。,"・利用者部門の要員と直上監督者に作業期間、作業量、作業内容に関するヒアリングを行う。 【監査人の考え】 並行テスト期間中は、利用者部門の要員は、定常業務に加えて、検証作業を実施する必要がある。その準備が不足していると、並行テストが不十分な状況で終了することになる。そこで利用者部門の要員における準備の度合を確認する必要があると考えた。",・利用者部門の要員と直上監督者に対するヒアリング結果 4,"午後1 平成25年 問3",,,顧客から正式な注文書を受領する前にプロジェクトの作業に着手する必要があるときは、仮発番を行って作業に着手できる。,,"【リスク要因】 仮発番のまま、顧客から正式な注文が得られない 【リスク】 作業に着手したが、注文が得られなかった結果、売上が上がらず、損益が悪化する","・仮プロジェクト番号の有効期間は、仮プロジェクト番号発行後2週間 ・仮発番から2週間を過ぎると警告が表示される機能",・プロジェクトマスタ管理（仮発番機能）,・仮発番のままである案件の注意喚起を行うコントロールがあるか,・作業実績管理サブシステムの機能一覧の閲覧,同左 5,"午後1 平成25年 問3",,,・開発部門及び品質管理部門の技術者の作業実績を作業実績管理サブシステムで管理する,,"【リスク要因】 ①技術者が正しく作業時間実績を登録しない（誤登録） 【リスク】 プロジェクトの収支が正しく把握できない","①-1プロジェクトメンバとして登録されていない者は、作業時間を入力できない ①-2プロジェクトの開始日前及び終了日後には、作業時間を入力できない ①-3プロジェクト管理者による作業時間実績の確認・承認",・作業実績管理,・技術者の作業実績時間登録の確認・承認行為があるか。,"・作業実績時間登録手順書の閲覧 ・技術者、承認者へのヒアリング",同左 6,"午後1 平成25年 問3",,,プロジェクトの売上・損益の規模、及び計画と実績との差異は、プロジェクト責任者及びプロジェクト管理者の業績評価の項目となっている,,"【リスク要因】 ①技術者が実際の作業時間通り作業時間実績を登録しない（意図的） →プロジェクト管理者（責任者）がプロジェクトの業績を良く見せるために技術者に指示する 【リスク】 プロジェクトの収支が正しく把握できない",なし（監査手続の定期的実施orシステム化）,・作業実績管理,・技術者が登録した作業実績時間は客観的に正しいか,作業実績管理サブシステムの作業時間と勤怠管理システムでの実働時間を突合する, 7,"午後1 平成25年 問3",,,,,"【リスク要因】 各種プロジェクト遂行リスク 【リスク】 プロジェクトが予定の利益を確保できない","・プロジェクト原価の実績額の累計が当初の予定原価総額を超えた場合、プロジェクト管理者及びプロジェクト責任者に対して、電子メールでアラームを自動送信する。プロジェクト管理者は、原価超過の理由と今後の対策内容について、プロジェクト責任者の承認を得て、業務部へ連絡する。 【監査人の考え】 現状のコスト管理は予定原価総額を超えて初めてアラームが上がるので、それでは遅い。プロジェクト管理者は毎月原価を見直しているため、この内容を責任者が承認する（＝見通しを確認する）ことで、原価超過を早期に発見できる。",・プロジェクトコスト管理,"・プロジェクトの当初予定原価を超えた際の対策は妥当か。 →プロジェクトのコスト管理は妥当か。 ",・原価超過の理由と今後の対策の内容を業務部に確認する。,原価超過の理由と今後の対策の報告書 8,"午後2 平成26年 問1","PCサーバからパブリッククラウド型の事務システムへの全面移行に伴うシステム監査 ★違うかも","パブリッククラウド型の事務システムの安全性の評価 ★違うかも","・PCサーバからパブリッククラウド型の事務システムへの全面移行 ・学校法人という事業の特性から、非常に多くの個人情報を取り扱う",,"【リスク要因】 パブリッククラウド型事務システムからの個人情報漏洩 【リスク】 学校法人の信頼性を大きく損なう","①パブリッククラウド提供業者の機密情報漏洩対策や体制の評価 ②パブリッククラウド提供業者の機密保持の仕組みや体制の定期的なチェック",,"①パブリッククラウドを提供するB社の機密情報漏洩対策や体制は十分か検討したか。 ②パブリッククラウドを提供するB社の機密保持の仕組みや体制に問題がないか定期的にチェックする仕組みはあるか","①新システムの導入計画やシステム選定会議の議事録や補足資料から、どのような判断資料を元に検討が行われたか、また、その検討内容が十分であったかを確認する。 ②B社とシステム監査結果の内容の一部を開示してもらう契約が結ばれているか。その結果をチェックする仕組みがA法人にあるか","①導入計画や選定会議の議事録、補足資料 ②B社との契約書、A法人のシステム運用規約" 9,"午後2 平成26年 問1","PCサーバからパブリッククラウド型の事務システムへの全面移行に伴うシステム監査 ★違うかも","パブリッククラウド型の事務システムの安全性の評価 ★違うかも","・PCサーバからパブリッククラウド型の事務システムへの全面移行 ・学校事務システムは、基本的にはほとんどの処理がコンピュータ上で行われている",,"【リスク要因】 パブリッククラウド型事務システムのデータ消失 【リスク】 業務を継続することが不可能になり、学生にも多大な迷惑を掛けてしまう","①パブリッククラウド提供業者のデータ消失対策や体制の評価 ②パブリッククラウド提供業者のデータ消失対策の仕組みや体制の定期的なチェック ③定期的なバックアップと遠隔地での保存",,"①パブリッククラウド提供業者のデータ消失対策や体制の評価を評価したか ②パブリッククラウド提供業者のデータ消失対策の仕組みや体制の定期的にチェックする仕組みはあるか ③バックアップは定期的にとられており、サーバのある拠点とは別の拠点で同時に被害にあう可能性がない場所に保管されているか","①新システムの導入計画やシステム選定会議の議事録や補足資料から、どのような判断資料を元に検討が行われたか、また、その検討内容が十分であったかを確認する。 ②B社とシステム監査結果の内容の一部を開示してもらう契約が結ばれているか。その結果をチェックする仕組みがA法人にあるか ③バックアップの安全性について、パブリッククラウド提供業者に対してインタビューや提出資料から確認しているか","①導入計画や選定会議の議事録、補足資料 ②B社との契約書、A法人のシステム運用規約 ③同上" 10,"午後2 平成26年 問1","PCサーバからパブリッククラウド型の事務システムへの全面移行に伴うシステム監査 ★違うかも","パブリッククラウド型の事務システムの安全性の評価 ★違うかも","・PCサーバからパブリッククラウド型の事務システムへの全面移行 ・新学校事務システムでは学生が直接インターネットを介して、各種の入力や照会を行う仕組みを取り入れている",,"【リスク要因】 パブリッククラウド型事務システムの障害回復時間、レスポンスなどのサービスレベルの低下 【リスク】 事務処理の遅延","①必要なサービスレベルの十分な検討 ②自社サービスレベルを上回るかの評価 ③不十分なサービスレベル箇所の対策の実施 ④サービスレベルの定期的な測定",,"①A法人としてどのようなサービスレベルが必要となるかが十分に検討されていること ②提示されたサービスレベルが、自社が作成したサービスレベルと同等かそれを超えていることを確認していること ③サービスレベルが不十分だった場合には、それを補う対策が取られていること ④提示されたサービスレベルの状況を測定する仕組みがあること。また、その検討が実際に行われていること","①新システムの導入計画やシステム選定会議の議事録や補足資料から確認する。 ②新システムの導入計画で確認する。 ③新システムの導入計画やシステム選定会議の議事録や補足資料から確認する。 ④自社のシステム運用規約、及び毎年の運用報告で確認する。","①システム選定会議の議事録、補足資料 ②新システムの導入計画 ③新システムの導入計画、選定会議の議事録、補足資料 ④自社のシステム運用規約、運用報告" 11,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,★予算登録を各部で実施する,,"【リスク要因】 ★登録の抜け漏れ、誤登録 【リスク】 ★不正確な予算に基づいた誤った経営判断による会社の損失発生",★予算登録内容の部門責任者である部長を交えたレビューの実施,適切な予算登録・修正,"【監査要点①a】 予算が適切に登録されるように検討しているか ※各部での予算登録の網羅性をチェックする機能が組み込まれているかどうか留意する。",★予算策定結果のレビューを部長を交えて実施しているか。,★レビュー記録 12,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,★業務負荷軽減のため、一定金額未満の予算修正時は部門責任で予算の修正を可能としている。,,"【リスク要因】 意図的、非意図的な一定金額以上の予算修正の実施 【リスク】 一定金額以上の不適切な予算修正に伴う経営への影響による損失の発生",一定金額以上の予算修正が入力できないようにする。,適切な予算登録・修正,"【監査要点①b】 予算が不適切に修正されないように検討しているか。 ※軽微な予算修正を統制するための機能が、予算管理システムに組み込まれているかどうか留意する。",一定金額以上の予算修正が入力できないようになっているか、機能仕様書の査閲により確認する。,★機能仕様書 13,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,新予算管理システムでの高度な情報管理の実現,,"【リスク要因】 新予算管理システムへの必要なデータの連携漏れ 【リスク】 適切なデータを新システムに連携できないことにより、以下の業務要件が満たせなくなる ①現行と比較し、より詳細な情報管理 ②部門別管理のほか、製品カテゴリ別業績管理を含めた、現状よりも詳細な予算・実績管理",予算管理システムが必要とするデータ項目と連携予定データの突合せ確認,予算実績データの適切な収集,"【監査要点②a】 必要な実績データを取り込めるように検討しているか。 ※会計システムの勘定科目・部の見直しが予算項目と一致しているか、会計システムの変更要件に留意する。","・会計システムの勘定科目・部の見直しが予算項目と一致しているか、会計システムの変更要件を確認する。 ・予算項目に対応した会計データを基幹システムから全て取り込めるよう計画しているか、設計書を確認する。","★変更要件一覧 ★設計書" 14,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,,,"【リスク要因】 情報提供タイミングの検討漏れ 【リスク】 利用者が希望するタイミングで情報提供が出来ず、システム再構築のメリットを最大化できない。",ユーザレビューにおける情報提供タイミングの妥当性確認依頼。,予算実績データの適切な収集,"【監査要点②b】 利用者を考慮した実績データの取り込みを検討しているか。 ※実績の取込が月次決算確定後でよいかどうか十分な検討が行われていない可能性があるので、その妥当性に留意する。",情報提供タイミングをユーザに確認した上で決定していることを設計書、及びユーザに確認する,"★設計書 ★ユーザへのヒアリング" 15,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,操作方法に関する利用者向けの研修だけが、プロジェクト計画に盛り込まれている。,予算管理システムのレポート機能の理解不足,予算・実績情報を予算管理システム構築時に見込んだレベルで活用できない。,予算・実績情報の活用方法の教育実施。,予算・実績情報の適切な利用・管理,"【監査要点③a】 予算・実績情報を有効に利用できるように検討しているか。 ※プロジェクト計画で検討されている研修計画では、研修内容として不十分な可能性があるので、その妥当性に留意する。",★予算・実績情報を活用するための教育を適切に実施していることを教育実施記録、及び教育対象者に対するヒアリングで確認する。,"★教育実施記録 ★教育対象者へのヒアリング" 16,"午後1 平成26年 問2",★予算管理システムの設計内容は経営に資するのに妥当な内容で構築されているか,★予算管理システム構築に伴う設計内容の妥当性監査,★経営者から各部の主任レベルまでの幅広く、柔軟な利用がを可能とする参照権限の付与,★悪意をもった要員による予算・実績情報へのアクセス,★予算・実績情報の外部への漏えい,情報の機密レベルと要員の職務に応じた適切な参照権限の付与。,予算・実績情報の適切な利用・管理,"【監査要点③b】 予算・実績情報を適切に管理できるように検討しているか。 ※利便性を重視し、情報管理の面からアクセス管理について十分に検討されていない可能性があるので、その妥当性に留意する。",権限マトリックスを閲覧し、職務と参照可能な情報の機密レベルの設定が妥当であるか確認する。,★権限マトリックス確認結果 17,午後2_ソフトウェアパッケージを利用した基幹系システムの再構築の監査について,パッケージを利用した基幹系システムの再構築におけるプロジェクト体制、パッケージ選定、契約、追加開発、運用・保守設計、テストなどが適切かどうかを調べる。,基幹系システムのERPパッケージによる再構築の適切性の監査,★各現場は、これまで培ってきた業務プロセスに一定の誇りを持っている。その業務プロセスについて、パッケージの標準プロセスに合わせると一部のプロセスについては非効率になることも想定される。その部分が会社の強みであるならばカスタマイズも検討する必要があるが、そうでない部分はパッケージの標準プロセスに合わせてもらうことになるため、業務プロセスの変更等の負荷が発生する。,"・プロジェクト体制にベンダ企業の要員が専任で入っていない、要員のスキルレベルが低い ★各部門の権限が強く、パッケージの標準プロセスに合わせることに非協力的になる。","標準化された業務プロセスを徹底して活用できないリスクにより、最終的に追加開発部分が肥大化して、パッケージの導入のメリットを享受できない。 パッケージ導入のメリットとしては、短期間での再構築や、コストの削減効果などがある。","・適切なプロジェクト体制の構築 ★パッケージの標準プロセスへの適合について社長からのトップダウンの宣言、周知徹底 ★担当役員、部長等管理者クラス主導によるパッケージの標準プロセスへの現場業務を整合することの合意形成",,★プロジェクト体制の妥当性評価,プロジェクト計画書を入手してプロジェクト体制を精査する。さらにPMおよび各チームのリーダにベンダ企業の要員のスキルレベル、兼任か専任か、についてヒアリングを行う。,"・プロジェクト計画書 ・ベンダ企業の要員のスキルレベルやプロジェクトへの参画の度合" 18,午後2_ソフトウェアパッケージを利用した基幹系システムの再構築の監査について,パッケージを利用した基幹系システムの再構築におけるプロジェクト体制、パッケージ選定、契約、追加開発、運用・保守設計、テストなどが適切かどうかを調べる。,基幹系システムのERPパッケージによる再構築の適切性の監査,,・パッケージ選定の際に、複数のパッケージに対して、パイロット的なフィット＆ギャップ分析を実施していない,・採用したパッケージを基に詳細なフィットギャップ分析を実施した結果、ギャップが想定した以上に大きくなるリスク,"★選定候補のパッケージベンダを交えたパッケージ選定 →パッケージベンダに評価させることで、フィット＆ギャップの精度を向上させる。 ★オンプレミスを含め、複数のパッケージのプロコン実施",,,・システム企画書にあるパッケージ選定に関する資料を入手する。その上で、複数のパッケージを評価した妥当な選択であることを評価したか確認する。,・パッケージ選定結果報告資料 19,午後2_ソフトウェアパッケージを利用した基幹系システムの再構築の監査について,パッケージを利用した基幹系システムの再構築におけるプロジェクト体制、パッケージ選定、契約、追加開発、運用・保守設計、テストなどが適切かどうかを調べる。,基幹系システムのERPパッケージによる再構築の適切性の監査,・プログラムの著作権は、原始的にプログラム開発者に帰属するのが基本原則である。したがって、特別な取り決めがない限り、パッケージの追加プログラムであっても、追加プログラム作成会社に著作権が帰属する。,・追加開発したプログラムの著作権がA社側にあることを契約書に明記していない,・追加開発したプログラムをA社側が自由に改造できない,★契約書に追加開発プログラムの著作権をB社からA社に譲渡する旨を明記する。,,追加プログラムの著作権がA社に帰属するような契約が取り交わされているか。,A社とB社の間で取り交わした契約書を確認し、プログラムの著作権がA社に帰属する旨が明記されていることを確認する。,A社とB社の契約書 20,,,,,,,,,,, 21,,,,,,,,,,, 22,,,,,,,,,,, 23,,,,,,,,,,, 24,,,,,,,,,,, 25,,,,,,,,,,, 26,,,,,,,,,,, 27,,,,,,,,,,, 28,,,,,,,,,,, 29,,,,,,,,,,, 30,,,,,,,,,,, 31,,,,,,,,,,, 32,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,,