CSA

1. CISA

1.1. 1A-9 CSA

1.1.1. 全てのレベルの従業員

1.1.2. 情報システム監査人の指導

1.1.3. コントロールを識別し評価

1.1.3.1. コントロールをモニタリングする責任の 一部を執行組織のライン管理者に移す

1.1.4. 環境が激しく変化

1.1.4.1. 長期間の監査の有効性、 効率性に対する疑義が生じた。

1.1.4.1.1. 頻度を上げる

1.1.5. 監査との違い

1.1.5.1. 監査

1.1.5.1.1. 参加を制限

1.1.5.1.2. 狭い範囲の利害関係者

1.1.5.1.3. 監査人・専門家

1.1.5.1.4. 運用方針ルールの変更

1.1.5.2. CSA

1.1.5.2.1. 多数の従業員

1.1.5.2.2. 広い範囲の利害関係者

1.1.5.2.3. 全て階層の従業員

1.1.5.2.4. 継続的な改善学習カーブ

1.1.5.2.5. 成功要因

1.1.5.2.6. メリット

1.1.5.2.7. デメリット

2. CIA

2.1. コントロールの自己評価

2.1.1. 概要

2.1.1.1. 業務責任者

2.1.1.1.1. コントロールの有効性を検証・自己評価

2.1.1.1.2. ビジネス目的達成の責任

2.1.1.1.3. 内部統制の構築・維持の責任

2.1.1.2. 内部監査人

2.1.1.2.1. CSAの実施状況を監査

2.1.2. 性質

2.1.2.1. 公式・文書化されたプロセス

2.1.2.2. 経営層と事業体に属する作業チーム

2.1.2.3. 体系的方法

2.1.2.4. 目的

2.1.2.4.1. リスクと残余リスクの識別

2.1.2.4.2. リスク軽減・管理するコントロールプロセスの評価

2.1.2.4.3. リスク軽減の行動計画の策定

2.1.2.4.4. ビジネス目標達成の可能性の判断

2.1.3. CSAプログラムの３つの基本形式

2.1.3.1. しばしば複数のアプローチを組み合わせる

2.1.3.2. ワークショップ

2.1.3.2.1. 事業部門等から選ばれた作業チームから情報収集

2.1.3.3. アンケート

2.1.3.3.1. 「はい／いいえ」「したことがある／したことがない」単純な質問表

2.1.3.3.2. 多くの回答者、ワークショップの参加者が広範囲の場合に利用される

2.1.3.3.3. 情報の収集に費やす時間および発生するコストを最小限にするよう求められる場合

2.1.3.4. 経営者（業務管理者）による自己分析

2.1.3.4.1. 経営者の視点から結果を文書化