統制のテスト

プロジェクトの利用で、統制のテストに関わるすべてのタスクを容易にかつ効果的に整理することができます。1 つのプロジェクト内では、テスト ラウンドの回数の指定、統制の整備状況の評価、テスト計画の準備、および統制の有効性の評価を行うことができます。

究極的には、プロジェクトでのテスト結果は、組織の総合的な保証のスコアにロール アップでき、これで、組織がどの程度リスクを軽減しているかのリアルタイムの概念が得られます。

シナリオ

あなたは、IT 一般統制レビュー(IA コンテキスト)プロジェクト全体を所有する監査部門長です。以前に、プロジェクト テンプレートからプロジェクトを作成しました。ここで、物理的セキュリティ目標で統制の 1 つをテストし、その整備状況と運用状況の有効性を評価する必要があります。

プロジェクトで各統制の整備状況と運用状況の有効性をテストする場合、あなたはリアルタイムで組織がどの程度上手にリスクの軽減を行っているかをベンチマークできることを望んでいます。最終監査レポートを準備する段になると、この情報が役に立つでしょう。

プロジェクトを作成する

このチュートリアルでは、統制をテストするタスクに関係する、プロジェクトでの重要なエリアについて学びます。

始めるには、テンプレートからプロジェクトを作成します。プロジェクトを作成する際に、プロジェクトで行うテストラウンドの数を決めます。

  1. プロジェクトを作成するための適切なアクセス許可があることを確認します。

  2. Launchpad ホームページ (www.highbond.com) からプロジェクト アプリを選択して開きます。

    すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してプロジェクト アプリに切り替えることができます。

  3. IT 一般統制レビュー(IA コンテキスト) プロジェクトテンプレートを使用して、新しいプロジェクトの作成を開始します。
  4. プロジェクトでテストラウンドを何回実行する必要があるかを決定します。この場合、1回を選択し、[ロールフォワード]をクリックします。

    メモ

    最初にプロジェクトを作成またはロールフォワードするときは、選択するテストラウンド数は固定されます。プロジェクトを保存した後はテストラウンド数を変更できません。

    結果プロジェクトを、統制の運用有効性の確認のために使用されるテストラウンドを1つ含めて作成しました。プロジェクトで定義する各統制について、テスト計画、ウォークスルー、および単一のテスト ラウンドが自動的に作成されます。

保証を有効化する

プロジェクトを設定して始めましょう。レポート目的でテスト結果を集約できるように、第 1 の手順は保証の有効化に関わることです。

  1. IT 一般統制レビュー (IA の文脈) プロジェクト内の右上隅で[設定]をクリックします。
  2. 設定]サブタブで[保証]を有効化します。

結果 プロジェクトで保証を有効化しました。ここでは、テスト結果がそのプロジェクトで自動的に集約され、リアルタイムで保証についてレポートすることができます。

統制の整備状況を評価する

素晴らしく、プロジェクトがすべて設定され、準備ができた状態です。ここで、ウォークスルーを実行して、実際の作業を開始し、統制の設計を評価できます。

  1. IT 一般統制レビュー(IA コンテキスト)プロジェクト内で、[実地調査 ]タブをクリックします。
  2. 物理的セキュリティー]の目標の横で、[開く]をクリックし、[ウォークスルー]を選択します。
  3. PS-001 の横で[表示/編集]をクリックし、次の詳細を入力して[保存]をクリックします。

    • ウォークスルーの結果

      ポリシーが存在していて従業員に伝えられているかどうかを確かめるよう、<日付> に Mark Manning(部門長)から求められました。問い合わせどおり、ポリシー文書は従業員に配布されており、定期的な物理的セキュリティ トレーニング セッションが半年に 1 度行われ、従業員が責任を認識していることを確かめます。

    • 統制は適切に整備されていますか?整備状況は適切

結果 統制の整備状況を評価しました。統制のウォークスルーは "合格" と定められています。

テスト計画を準備する

ここでウォークスルーを実行したため、リスクの軽減のために統制がどのように整備されているかをよく理解できるようになります。統制の有効性のテストを始める前に、統制を どのようにテストするのかを特定するテスト計画を準備する必要があります。

  1. 実地調査]タブをクリックし、[物理的セキュリティ]目標の横にある[開く]をクリックし、[テスト計画]を選択します。
  2. PS-001 の横にある[計画の編集 ]をクリックし、次の詳細を入力して、[保存]をクリックします。
    • テスト方法 検査

    • 合計サンプル サイズ 1

      メモ

      合計サンプル サイズ]は、テスト計画が初めて生成されるときに自動的に設定されます。これは、統制を作成する際に行われます。合計サンプル サイズは、頻度種類の 2 つの統制属性フィールドに基づいています。

    • テスト手順/テスト属性

      1. 組織の物理的セキュリティ ポリシー ドキュメントのコピーを入手します。
      2. 次のことについてドキュメントを評価します。
        1. 組織の計画と手続きの重要な部分の対象範囲
        2. インシデントのドキュメント

結果 テスト方法、合計サンプル サイズ(テスト ラウンド間の分割)、および統制のテストを実行するために必要なテスト手順を定義しました。

統制の有効性を評価する

テスト方法、およびテスト計画の手順を記録したため、統制をテストする方法が分かっています。最終ステップは、統制の運用状況の有効性を評価するテストを実行することです。

  1. テスト計画]ページから、[テスト]のリンクをクリックします。

  2. 次の詳細を入力し、[保存]をクリックします。

    • このテスト ラウンドの一環としてこの統制をテストしますか? はい
    • 指定ユーザー あなたの名前

    • テスト結果

      正式に記録され、通知された物理的セキュリティ ポリシーと、統制の構成が設定されています。

    • この統制は有効に運用されましたか? 運用状況は有効

結果 統制の運用状況の有効性を評価しました。統制のテストは "合格" と定められます。

ディスカッション

統制をテストしたため、次の手順について学び、統制のテストがどのように保証に関係しているかについて理解します。

次の手順

結果でステートメントを裏付けるためには、ファイルをアップロードしたり、リザルト アプリから証拠をリンクさせたりして、ウォークスルーとテストにサポート ドキュメントを追加することができます。

このシナリオでは、統制のウォークスルーと統制テストの両方が合格しました。統制のウォークスルーまたは統制テストのいずれかが不合格になった場合に、問題を記録して、例外について注意することができました。[問題]パネルで[問題を追加]をクリックして、問題を記録できます。

問題の記録の詳細については、問題の記録を参照してください。

アカデミーのコースを受講する

アカデミー コースを受講して、引き続き本チュートリアルで紹介されたコンセプトを習得してください。

詳細については、コース カタログを参照してください。

統制評価の自動化

統制評価の実行は、時間を要する、手動のプロセスである場合があります。効率を上げるためには、評価ドライバーを作成し、統制評価を自動化することができます。こうして、変化により素早く対応し、適時に適切な人に情報を提供することができます。

詳細については、「統制評価の自動化」を参照してください。

より大きな概念は何ですか?

以前に、保証と呼ばれる設定を有効化しました。この設定により、レポート目的でプロジェクトに総合的な保証の値(% で表示)を表示できます。保証により、組織がどの程度よくリスクの軽減を行っているかをベンチマークできます。

ウォークスルーとテストを実行する場合は、プロジェクトは、アクティブなプロジェクトからのテスト結果と問題を自動的に集約し、リアルタイムで保証を計算します。

保証がどのように機能するかの詳細については、リスク保証の使用開始方法を参照してください。

リアルタイムでの保証の計算

IT 一般統制レビュー(IA の文脈)プロジェクトで、[結果]タブをクリックすると、[総合的な保証]が 2% であることがわかります。

これは、組織の統制ではリスクがほとんど効果的に軽減されていないことを意味します。すなわち、現時点では、テストした統制のみが効果的に動作しています。

ウォークスルーとテストに合格すると、保証が高くなります。失敗する、またはテストされないウォークスルーとテストは、"失敗" とみなされ、保証スコアは低くなります。