リスクベースの監査

1）リスクベース監査（RBA）の本質)

• 確率と影響の組み合わせが最大である優先度。
• 固有のリスク（制御なし）および残存リスク（制御を含む）の評価。
• リスク状況（製品、市場、規制、インシデント）の変化に応じて評価を継続的に見直します。

2）利用規約とフレームワーク

監査ユニバース-プロセス、システム、ロケーション、サプライヤー、および規制責任のカタログが監査の対象となる可能性があります。
リスクのヒートマップ-「確率×影響」優先順位によるグラデーションによる可視化。
リスクアペタイト/許容-指定された範囲内でリスクを受け入れるという同社の表明された意思。
制御レベル-予防/探偵/矯正；設計および運用効率。
保護ライン-第1（ビジネスおよび業務）、第2（リスク/コンプライアンス）、第3（内部監査）。

3）監査宇宙の構築

• プロセス：支払い、KYC/KYB、 AML監視、インシデント管理、DSAR、保持。
• システム：トランザクションコア、DWH/datalake、 IAM、 CI/CD、クラウド、DLP/EDRM。
• 管轄とライセンス、主要ベンダーとアウトソーサー。
• KPI/KRI、インシデント/違反履歴、外部調査結果/制裁。
• 金融および評判の影響、規制当局の批判（GDPR/PCI/AML/SOC 2）。

4）リスクアセスメントの方法論

1.固有のリスク（IR）：プロセスの複雑さ、データ量、キャッシュフロー、外部依存性。
2.制御設計（CD）：可用性、適用範囲、ポリシー・アズ・コードの成熟度、自動化。
3.運用効率（OE）：実行安定性、MTTD/MTTRメトリクス、ドリフトレベル。

4.残留リスク（RR）： 'RR=f （IR、 CD、 OE）'-スケールで正規化する（例：1-5).

5.修正要因：規制の変更、最近のインシデント、過去の監査の結果、スタッフのローテーション。

影響規模の例：財政的損害、規制上の罰金、SLAのダウンタイム、データ損失、評判の結果。
確率尺度の例：イベント頻度、暴露、攻撃/虐待の複雑さ、歴史的傾向。

5）優先順位付けと年間監査計画

残留リスクと戦略的重要性によって監査ユニットをソートします。
周波数を割り当てる：毎年（高）、2年に1回（中）、監視/トピックによって（低）。
テーマ別チェックを含める（例：データの削除と匿名化、義務の分離（SoD）、 PCIセグメンテーション）。
リソースを計画する：スキル、独立性、利益相反を避ける。

6） RACIと役割

（R-責任がある；A-説明責任がある；C-コンサルティング）

7）テストコントロールへのアプローチ

ウォークスルー：「end-to-end transaction 「/dataのフローをトレースします。
設計の有効性：ポリシー/コントロールの存在と適切性をチェックします。
操作の有効性-一定期間の実行の選択的なチェック。
再性能：CaCルールによる計算/信号の再現。
CAAT/DA（コンピュータ支援監査テクニック/データ分析）：SQL/pythonスクリプト、コンプライアンスショーケースへの制御要求、IaC ↔実際の構成の比較。
継続的監査-イベントバス（ストリーム/バッチ）に制御テストを埋め込む。

8）サンプリング

統計的：ランダム/層別、自信のレベルと許可されたエラーによってサイズを決定します。
ターゲット（判断）：高価値/高リスク、最近の変更、例外（免除）。
異常：アナリティクス（アウトライア）、ニアミスインシデント、「トップバイオレータ」からの結論。
エンドツーエンド（100％）：可能であれば、配列全体の自動検証を使用します（例：SoD、 TTL、制裁審査）。

9）分析および証拠の源（証拠）

アクセスログ（IAM）、変更トレース（Git/CI/CD）、インフラストラクチャ構成（Terraform/K8s）、 DLP/EDRMレポート。
「コンプライアンス」ショーケース、リーガルホールドジャーナル、DSARレジストリ、AML （SAR/STR）レポート。
ダッシュボードのスナップショット、CSV/PDFエクスポート、ハッシュ固定、WORM/不変性。
面接プロトコル、チェックリスト、発券/エスカレーションのアーティファクト。

10）監査： SOP

1.予備評価：目標、基準、境界、所有者を明確にします。
2.データ要求：アップロード、アクセス、構成、サンプリング期間のリスト。
3.フィールドワーク：ウォークスルー、制御テスト、分析、インタビュー。
4.結論のキャリブレーション：リスクアペタイトと比較し、規制やポリシーと比較してください。
5.調査結果の形成：事実→基準→影響→理由→推薦→所有者→用語。
6.クロージングミーティング-事実の和解、ステータスと修復計画。
7.レポートとフォローアップ：リリース、評価、終了日、再検証。

11）調査結果の分類とリスク評価

重要度：Critical/High/Medium/Low（セキュリティ、コンプライアンス、ファイナンス、オペレーション、評判への影響へのリンク）。
可能性：頻度/可能/まれ。
リスクスコア：行列または数値関数（例：1-25）。
テーマタグ：IAM、データプライバシー、AML、 PCI、 DevSecOps、 DR/BCP。

12）リスク監査のための指標とKRI/KPI

カバレッジ：年にカバーされる監査宇宙のシェア。
オンタイム修復：時間通りの修正の％（重大度による）。

リピート調査結果： 12か月のリピートの割合

MTTR調査結果：閉鎖までの期間中央値。
Control Effectiveness Trend：期間ごとに合格/失敗したテストの割合。
監査準備時間：証拠を収集する時間。
リスク低減指数：修復後の総リスク率の∆。

13）ダッシュボード（最小セット）

リスクヒートマップ：プロセス×確率/影響×残留リスク。
調査結果パイプライン：ステータス（オープン/進行中/期限切れ/閉鎖）×所有者。
トップテーマ：頻繁な違反カテゴリー（IAM/プライバシー/PCI/AML/DevSecOps）。
老化とSLA：非行と接近期限。
繰り返しの問題：コマンド/システムによる再現性。
制御テスト結果：パス率、傾向、探偵規則のためのFPR/TPR。

14）アーティファクトパターン

監査スコープ

目的と基準（標準/ポリシー）。

範囲： システム/期間/拠点/サプライヤー

方法：サンプリング、分析、インタビュー、ウォークスルー。
例外と制限（もしあれば）。

カードの検索

ID/件名/重大度/可能性/スコア。
不適合の事実と基準の説明。
リスクと影響（ビジネス/規制/安全）。
推薦および行動計画。
所有者と期日。
証拠（リンク/ハッシュ/アーカイブ）。

監査報告書（構成）

1.エグゼクティブサマリー。
2.コンテキストとスコープ。
3.方法論とデータソース。
4.結論と制御の評価。
5.調査結果と優先順位。
6.修復計画とフォローアップ。

15）連続的な監視（CCM）およびコンプライアンスとしてコードとのコミュニケーション

リスクアセスメントと監査計画の入力としてCCM結果を使用します。
Policies-as-codeを使用すると、テストを監査人によって再実行し、再現性を高めることができます。
利用可能なテレメトリーを備えた高リスク領域の継続的な監査を実施します。

16） Antipatterns

「均一な」リスクのない監査→焦点とリソースの損失。
測定可能な推奨事項と所有者なしのレポート。
不透明なリスク評価方法。
プロバイダとサービスチェーンを無視します。
フォローアップなし-問題が返されます。

17） RBA成熟度モデル（M0-M4）

M0ドキュメンタリー：ワンタイムチェック、手動サンプリング。
M1カタログ：監査宇宙と基本的なヒートマップ。
M2ポリシーとテスト：標準化されたチェックリストとフォローアップリクエスト。
M3統合：CCM、 SIEM/IGA/DLPデータ、半自動証拠収集との通信。
M4連続：継続的な監査、リアルタイムの優先順位付け、自動化された改革。

18）実践的なアドバイス

ビジネスとコンプライアンスに関わるリスク・スケールをキャリブレーション-リスクの単一の「通貨」。
透明性を維持します：ドキュメントの方法と重み、変更履歴を維持します。
監査計画を戦略とリスクアペタイトと整合させます。
プロセス所有者のトレーニングを組み込む-将来のインシデントを節約するための監査。
アナリティクスで「ノイズ」を低減：層別化、除外ルール、ダメージによる優先順位付け。

19）関連するwiki記事

コンプライアンス継続監視（CCM）

コンプライアンスとレポート作成の自動化

法的保留とデータの凍結

データの保存と削除のスケジュール

DSAR： データのユーザー要求

PCI DSS/SOC 2の制御および証明

事業継続計画（BCP）とDRP

［結果］

リスクベースの監査は、最も重要な脅威に焦点を当て、コントロールの有効性を測定し、是正措置を加速します。その強みは、データと透明な方法論にあります。優先順位付けが理解されると、テストは再現可能であり、推奨事項は時間通りに測定可能で閉鎖されます。