〇論文設計テンプレート

太字：問題文抜粋箇所

１．　CSAの目的、対象範囲、実施方法

１．１　CSAの目的

〇〇システム

└個人情報セキュリティに含む機密情報の取り扱い

情報セキュリティに関わるリスクの低減

リスクに対するコントロールの順守状況を評価する必要性

・監査効率向上

・業務特有のリスクを発見

・教育効果

１．２　CSAの対象範囲、実施方法

・対象範囲

〇〇システムに関連するサービスも含む

関連するサービス：〇〇画面(約1万加盟店登録)

・実施方法

(1)運用担当者が質問書に回答

(2)ワークショップで議論

 

２．　CSAの適切性を監査する場合の監査手続

※監査要点も含めて記載

２．１　CSAの実施方法の適切性の監査

(1)質問書

質問書の適切性(内容)

└セキュリティポリシ・セキュリティ管理基準に準拠

(2)ワークショップ

ワークショップの議事録を査閲し客観的な視点で議論

出席者が適切か

２．２　CSAの結果の適切性の監査

(1)質問書

運用担当者自己評価の限界⇒サンプリングによる実地調査

(2)ワークショップ

目的に基づくリスク評価が策定及びコントロールの遵守

 

３．　CSAを活用した監査の概要と活用の効果

３．１　CSAを活用した監査の概要

①CSAの実施結果を監査部へ連携

②監査部が実施結果の妥当性を確認

③基準点以下の加盟店には改善策の提出を義務付ける。(翌年度確認対象)

④サンプリング監査の実施

　└質問票の回答内容の妥当性を高める。

 

３．２　CSAを活用の効果

・監査業務の効率向上

・重要なリスクを見逃さない監査の有効性向上

(ワークショップ)

担当システムの教育効果

 

■補足

〇ＣＳＡ導入のメリット

業務に精通した担当者がリスクやコントロールの評価に関与することで、問題の根本原因を発見しやすい。

担当者が「オーナーシップ」を持つように動機付けられることで、是正措置が効果的かつタイムリーなものになる。

内部統制を構築する責任を持つ経営層と担当者間のコミュニケーションを向上させる手段となりうる。

ＣＳＡ参加者のグループとしての意見が採用されることで、自分の意見や提案が評価されていると感じることができ、モラールが向上する。

〇 内部監査における活用方法

リスクを識別することで、よりリスクの高い領域に監査の焦点を絞ることができる。

└監査資源を有効活用できる。

ソフトコントロール(従業員の意欲やコントロールの理解など)の評価に役立つ。

リスクやコントロールの知識の提供や、ファシリテーター・書記などとしての貢献により、内部監査部門の役割を強化できる。

内部監査に対するより好意的な理解を生み出すことができ、内部監査人のモラール向上につながる。