コントロールセルフアセスメント (CSA) とシステム監査
平成24年度 春期 システム監査技術者試験 午後Ⅱ 問題 問1「コントロールセルフアセスメント (CSA) とシステム監査」についてである。
問題文
今日,CSA を導入する組織が増えている。その背景には,組織全体の内部統制や情報セキュリティなどに関わるリスク,及びリスクに対するコントロールの遵守状況を評価する必要性が高まっているという状況がある。CSA は,各業務に従事する担当者が質問書に回答したり,ワークショップで議論したりして,業務に関わるリスクの評価及びコントロールの遵守状況を評価する手法である。
CSA では,業務の担当者が自ら評価を行うので,当該業務における特有のリスクを発見しやすい。また,評価を通じて自らが遵守すべきコントロールを理解できるといった教育的な効果も期待できる。しかし,自己評価であることにより回答が甘くなってしまったり,業務に精通しているがゆえに客観的な評価が難しかったりする問題もある。したがって,CSA の実施方法や結果が適切かどうかを監査で確認する必要がある。
一方,監査では,監査要員,監査時間などの制約によって,監査対象の全てに対して監査手続を実施するのは難しい。そこで,適切な CSA が実施されている場合には,重要なリスクを見過ごしたり,誤った指摘を行なったりしないように,その実施結果を監査に活用することができる。あわせて,CSA の結果を活用して,監査業務の効率を向上させることもできる。
あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。
設問ア
あなたが関係する組織において実施された情報システムに関連する CSA について,その目的,対象範囲,実施方法を 800 字以内で述べよ。
設問イ
設問アで述べた CSA の実施方法や結果の適切性を監査する場合の監査手続について,監査要点を含めて 700 字以上 1,400 字以内で具体的に述べよ。
設問ウ
設問アで述べた CSA を活用して監査を実施する場合の監査の概要及び CSA の活用の効果について,700 字以上 1,400 字以内で具体的に述べよ。