〇論文設計テンプレート
太字:問題文抜粋箇所
1. CSAの目的、対象範囲、実施方法
1.1 CSAの目的
〇〇システム
└個人情報セキュリティに含む機密情報の取り扱い
情報セキュリティに関わるリスクの低減
リスクに対するコントロールの順守状況を評価する必要性
・監査効率向上
・業務特有のリスクを発見
・教育効果
1.2 CSAの対象範囲、実施方法
・対象範囲
〇〇システムに関連するサービスも含む
関連するサービス:〇〇画面(約1万加盟店登録)
・実施方法
(1)運用担当者が質問書に回答
(2)ワークショップで議論
2. CSAの適切性を監査する場合の監査手続
※監査要点も含めて記載
2.1 CSAの実施方法の適切性の監査
(1)質問書
質問書の適切性(内容)
└セキュリティポリシ・セキュリティ管理基準に準拠
(2)ワークショップ
ワークショップの議事録を査閲し客観的な視点で議論
出席者が適切か
2.2 CSAの結果の適切性の監査
(1)質問書
運用担当者自己評価の限界⇒サンプリングによる実地調査
(2)ワークショップ
目的に基づくリスク評価が策定及びコントロールの遵守
3. CSAを活用した監査の概要と活用の効果
3.1 CSAを活用した監査の概要
①CSAの実施結果を監査部へ連携
②監査部が実施結果の妥当性を確認
③基準点以下の加盟店には改善策の提出を義務付ける。(翌年度確認対象)
④サンプリング監査の実施
└質問票の回答内容の妥当性を高める。
3.2 CSAを活用の効果
・監査業務の効率向上
・重要なリスクを見逃さない監査の有効性向上
(ワークショップ)
担当システムの教育効果
■補足
〇CSA導入のメリット
業務に精通した担当者がリスクやコントロールの評価に関与することで、問題の根本原因を発見しやすい。
担当者が「オーナーシップ」を持つように動機付けられることで、是正措置が効果的かつタイムリーなものになる。
内部統制を構築する責任を持つ経営層と担当者間のコミュニケーションを向上させる手段となりうる。
CSA参加者のグループとしての意見が採用されることで、自分の意見や提案が評価されていると感じることができ、モラールが向上する。
〇 内部監査における活用方法
リスクを識別することで、よりリスクの高い領域に監査の焦点を絞ることができる。
└監査資源を有効活用できる。
ソフトコントロール(従業員の意欲やコントロールの理解など)の評価に役立つ。
リスクやコントロールの知識の提供や、ファシリテーター・書記などとしての貢献により、内部監査部門の役割を強化できる。
内部監査に対するより好意的な理解を生み出すことができ、内部監査人のモラール向上につながる。