【システム監査】（第４回）

監査手続きには、１「予備調査」と２「本調査」がある。

１「予備調査」は、監査対象の実態を把握するため、対象の情報システムや業務等の詳細、事務手続きやマニュアル等、業務分掌の体制などを把握する。

　資料・情報の入手方法には、閲覧やインタビューなどがある。

２「本調査」は、口頭証拠だけでなく、現物の写しなど、客観的で確証的な証拠を入手する。

　手続きでの技法

　チェックリスト法

　ドキュメントレビュー法

　インタビュー法

　ウオークスルー法

　突合・照合法

現地調査法

コンピュータ支援監査技法

テストデータ法

監査モジュール法

ペネトレーションテスト法（サイバー攻撃を想定：アタック試み）

など

※アジャイル手法での開発プロジェクトでは、監査証拠の入手には、相手に負荷をかけない工夫が必要。（自動化ツールや打ち合わせのスケッチ画像、付箋など）

※クラウドサービスでは、監査困難なケースあり。

※委託先監査では、第三者評価の採用検討が必要。