「ID申請書に修正事項を入力し、営業部長の承認を得て(システム管理者が)ID管理台帳及び権限マスタデータを更新している。」という流れだと思いますが、営業部長はID申請書しか承認していないので、承認されていない「ID管理台帳」と「権限マスタデータ」を突合しても意味ないのではないかと思いますがその辺はどう解釈するべきなのでしょうか？(システム管理者がID申請書を元にID管理台帳及び権限マスタデータを作成していますが、両方とも同じように入力ミスしている可能性があり、その場合、突合しても誤りを発見できないので、突合する意味がない。)

(2)②の利用者ID棚卸リストのレビューの中で
ID管理台帳のとの付け合わせや訂正事項の反映の確認も実施しているのではないかと思います。

ID管理台帳が正であることが担保されていない状態で(2)③を実施しても
>両方とも同じように入力ミスしている可能性があり、その場合、突合しても誤りを発見できない
となりますので、
(2)②にてID管理台帳が正であることを担保し、その上で(2)③を実施しているのではないかと思います。

気になったので3種類の午後解説本を見比べたのですが、解説の着眼点が2:1で割れていました。
片方はコピー作成元（台帳）と更新後のマスタに対する差異を監査人が確認する観点、もう片方は承認後シス管が2点への更新作業に対する差異を監査人が確認する観点、で記載あります。
前者では、シス菅のミスでコピー作成後（棚卸リスト）に不備があった場合、マスタにその不備が反映されてしまうので、台帳とマスタとの比較、
また、後者では、シス菅が更新した2点を改めて営業管理部長が再チェックしてないので、そこを監査人が比較、という解説の流れでした。

質問文を見る限り「両方とも同じように入力ミスしている可能性」と書かれていますが3冊どれもその点には言及が見当たらず、本文中に書いてない範囲まで深読みしたことによる質問者様の解釈違いになっているかもしれません。
参考になれば幸いです。

突合によって片方だけにミスがあるというリスクは減らせますし、リスクをゼロにするのは難しいので、両方にミスがあると発見できないというリスクは無視しているのだと思います。
リスクを減らせれば突合する意味はあります。

スレ主です。解答していただいた方々本当にありがとうございます。中には参考書3冊も見比べていただいたり等、自力では追求しきれないレベルまで調べてくれた方もいるようで、本当に助かりました。

今回の質問は「ID管理台帳が正しいことが確定しないと、実際の権限の付与状況(権限マスタデータ)と突合しても意味がない」「ID管理台帳が正しいことが確定しないなら、正しいことが確定しているID申請書と権限マスタデータを突合した方が正しい結果が得られるのではないか。(ただし監査の手間は激増しますが…)」という考えから質問させていただきました。

利用者ID棚卸リストのレビューという一文は完全に見落としてましたし、知識不足により利用者ID棚卸リストのレビューがどういうものなのか、それでID管理台帳の正しさを担保できるものなのかもよくわかってないのでもう少し調べてみようと思います。

>助けてくださいさん

>知識不足により利用者ID棚卸リストのレビューがどういうものなのか
その企業・団体によって差異は有ると思いますが、半期又は四半期に1度位の頻度で利用部門に対し、利用者のID一覧を提示し、異動がないか確認してもらう作業が発生します。異動があればそこで追加・変更・削除の申請もして頂くことになります。

利用部門が確認した結果と新たな申請内容をもとに、マスタ及びID管理台帳の内容を最新化し、その証跡を取得します。

そして、利用者ID一覧・申請書・取得した証跡を根拠に、マスタと台帳に差異が無いことを確認するのがID棚卸リストの確認レビューになります。

IT統制が機能していればマスタと台帳に差異は無い筈ですが、実際の人員異動に追随できていないこともあるので、この機会を設けることが求められています。

スレ主です。調べようと思っていたら、模範解答が返信されててビックリしました。解答していただいた方、ありがとうございました。