システム監査基準
情報処理技術者試験におけるシステム監査技術者試験(AU : Systems Auditor Examination)の対策のため,システム監査基準についてまとめる。
前文
システム監査とは、監査人が、一定の基準に基づいて IT システムの利活用に係る検証・評価を行い、ガバナンスやマネジメント等について、一定の保証や改善のための助言を行うものであり、システムの信頼性等を確保し、企業等に対する信用を高める重要な取組である。
システム監査が効果的かつ効率的に行われるためには、システム監査のあるべき体制や実施方法等が示される必要がある。この「システム監査基準」は、このニーズに応えるために制定されている。
システム監査の意義と目的
システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいて IT システムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である。
また、システム監査の目的は、IT システムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。
監査人の倫理
システム監査は、監査人の誠実性及び専門的な能力を信頼し依頼されるものであり、監査人はその期待に応え、責任を果たすことが求められ、業務に関する説明責任を果たすこととなる。
さらに、システム監査が結果として、広く社会的な信用につながるには、個々の利用者・依頼人の要請を満たすだけではなく、監査人が独立した立場において、社会的役割を自覚し、自らを律し、かつ社会の期待に応え、公共の利益に資することができなければならない。
IT の進展をはじめ、監査の対象となるシステムを巡る環境変化が激しいこともあり、監査の方法の選択や監査結果の判断に関して、種々の価値観の中で適切な意思決定をするためには、監査人の倫理が重要である。加えて、IT 利活用の高度化により、システム監査においても機密性の高い情報に触れる機会が増加しており、倫理に関して社会的な要請が高まっていることを意識しなければならない。
倫理に関して監査人が守るべき4つの原則を以下に明示する。
誠実性
監査業務において、常に正直な態度を保持し、強い意志をもって適切に行動すること。監査人が誠実であることによって信頼が築かれることから、誠実性は、自らの判断が信用される基礎となる。
客観性
監査業務において、バイアス(先入観等)、利益相反を排し、個人や組織等から不当な影響を受けることなく、監査人としての判断を行うこと。監査人としての判断が不当な影響を受ける場合、当該業務を引き受けてはならない。
監査人としての能力及び正当な注意
監査業務において、必要な知識、技能を習得し、維持すること、及び誤った監査上の判断がないように、システム監査の基準に従って、監査人として当然払うべき注意を払うこと。
秘密の保持
監査業務において、取得した情報の秘密性を尊重し、業務上知り得た秘密を守ること。法令等による守秘義務の解除を除き、依頼人又は所属する組織との関係が終了した後も、秘密の保持が求められる。
システム監査の基準
[1] システム監査の属性に係る基準
【基準1】システム監査に係る権限と責任等の明確化
システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステム監査を行う組織の権限と責任は、文書化された規程等により定められていなければならない。
【基準2】専門的能力の保持と向上
適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能及びその他の能力を保持し、その向上に努めなければならない。
また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシステム監査に必要な知識、技能及びその他の能力を、システム監査を行う組織が総体として備えているか、又は備えるようにしなければならない。
【基準3】システム監査に対するニーズの把握と品質の確保
システム監査の実施に際し、システム監査に対するニーズを十分に把握した上でシステム監査業務を行い、システム監査の品質が確保されるための体制を整備・運用しなければならない。
【基準4】監査の独立性と客観性の保持
システム監査は、監査人によって誠実かつ、客観的に行われなければならない。
さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。
【基準5】監査の能力及び正当な注意と秘密の保持
システム監査は、専門的能力の維持・向上を図るとともに、監査業務において正当な注意を払って実施する監査人によって行わなければならない。また、監査人は秘密の保持をしなければならない。
[2]システム監査の実施に係る基準
【基準6】監査計画の策定
システム監査を効果的かつ効率的に実施するために、適切な監査計画が策定されなければならない。
監査計画は、主としてリスク・アプローチに基づいて策定する。
監査計画は、リスク等の状況の変化に応じて適時適切に見直し、変更されなければならない。
【基準7】監査計画の種類
監査計画は、原則として中長期計画、年度計画、及び個別監査計画に分けて策定されなければならない。
【基準8】監査証拠の入手と評価
適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠を入手しなければならない。
【基準9】監査調書の作成と保管
監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない。
【基準10】監査の結論の形成
監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基づき、監査の結論を導かなければならない。
[3]システム監査の報告に係る基準
【基準11】監査報告書の作成と報告
監査報告書は、監査の目的に応じた適切な形式で作成され、監査の依頼者や適切な関係者に報告されなければならない。
【基準12】改善提案(及び改善計画)のフォローアップ
監査報告書に改善提案が記載されている場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。監査報告書に改善計画が記載されている場合も同様にその実施状況をモニタリングしなければならない。
