システム監査基準（令和5年）

システム監査基準の令和5年版をまとめました。
相変わらずですが、内容は保証できないので原文¹をご確認ください。

そもそもの話として

今回のシステム監査基準から、監査にとって普遍的な内容はシステム監査基準に記載し、実施方法などの具体的な内容については、日本システム監査人協会 (SAAJ) が整備したシステム監査基準ガイドライン²に記載されるようになりました。システム監査を巡るIT環境の継続的な変化や、システム監査に対するニーズの多様化に対応するため、普遍的な内容はシステム監査基準に記載し、具体的な内容はガイドラインに記載して、技術革新や社会情勢等への変化に迅速に対応できるようにしています。

保証を目的とした監査と助言を目的とした監査

今回のシステム監査基準では、前文で、保証を目的とした監査と助言を目的とした監査について定義されています。

保証を目的とした監査では、監査対象先のプロセスオーナーについて、監査人が入手した証拠を評価し、監査人の意見や結果を監査結果の利用者に提供します。
助言を目的とした監査では、助言を必要とする依頼者に対して、依頼者と合意した範囲と内容をもとに、助言に加えて提案や相談の提供を行います。

システム監査の意義と目的

システム監査とは、専門性と客観性を備えた監査人が、ITシステムの検証・評価を行い、ガバナンス、マネジメント、コントロールの適切性などに対する保証を与えたり、改善の助言を行う監査です。

• ガバナンス
  • 組織の目標達成を保証する仕組み。ステークホルダーのニーズを明確にして対応し、リスク等を評価し、期待する効果への対応とリスクへの対処を指示し、パフォーマンス情報をモニタリングする。
• マネジメント
  • ガバナンスによって設定された方向に組織の目標を達成させるために PBRM の活動を行う。 PBRM は、Plan (計画)、 Build(構築)、 Run(運営)、 Monitor(モニタリング)。
• コントロール
  • ガバナンスから示された組織体の目的・目標達成に関し、発生する可能性のある事象や状況を識別、評価、コントロールするプロセス。

監査人の倫理

システム監査は監査人の誠実性及び専門的な能力を信頼して依頼されます。
また、監査人は独立した立場において、社会的役割を自覚し、自らを律し、社会の期待に答えて公共の利益に資することができなければいけません。
監査人が適切な意思決定をするためには監査人の倫理が重要であり、ITの進展や高度化により社会的な要請も高まっています。
監査人は以下の4つの原則を守る必要があります。

• 誠実性
• 客観性
• 監査人としての能力及び正当な注意
• 秘密の保持

［１］システム監査の属性に係る基準

【基準１】システム監査に係る権限と責任等の明確化

効果的かつ効率的なシステム監査のための体制整備として、監査人の権限と責任を明文化して明確にし、組織全体に周知する必要があります。
内部監査の場合は内部監査規定等に、外部監査を依頼する場合には契約書に明記します。

注意点としては、監査を外部に委託する場合は、外部委託先と特別な利害関係がないようにします。何らかの利害関係がある場合は、システム監査に影響を及ぼさないように適切な措置を講じる必要があります。

【基準２】専門的能力の保持と向上

システム監査を実施するためには、システム監査に関する専門的な知識や技能だけでなく、対象となるITシステムや監査対象の知識や、論理的思考能力、コミュニケーション能力等も求められます。
また、システム監査の目的や対象範囲によって必要な知識や技能は異なるため、一人一人の監査人にすべてが要求されるわけではなく、システム監査を行う組織が総体として知識や技能を備えることを求められます。
システム監査人には新しい知識や技能を習得し続けることも求められます。特にITシステムに係るリスクの変化についての認識を高めることは重要です。

【基準３】システム監査に対するニーズの把握と品質の確保

システム監査は法令などで義務付けられた監査ではないので、利用者又は依頼者のニーズを把握することが重要です。システム監査では、ニーズに見合ったシステム監査の目的と対象が決定されます。

ニーズによるシステム監査の目的の決定

• ITシステムのマネジメントが有効に機能していることを確かめたい⇒ITシステムのマネジメントの状況を検証・評価
• システム開発管理に重大な不備がある恐れがあり、改善の具体的なニーズを知りたい⇒システム開発管理の状況を検証・評価

ニーズによるシステム監査の対象の決定

• 経営戦略とIT戦略との整合性、ITシステム利活用の有効性、IT戦略の合理性についての保証又は助言を得たい⇒マネジメントを対象
• サービスレベルの維持や情報システムの維持管理、プライバシー規制等への対応状況について保証又は助言を得たい⇒マネジメントを対象
• 機能要件の維持管理が業務要件の変化に応じて適切に行われているかの保証又は助言を得たい⇒コントロールを対象

【基準４】監査の独立性と客観性の保持

精神的独立性と外観的独立性

システム監査は客観性、誠実性を保持するために、客観的な立場で公正な判断を行う精神的な態度で行わなければなりません。（精神的独立性）
さらに、監査対象から独立した立場で行われる必要があります。（外観的独立性）

【基準５】監査の能力及び正当な注意と秘密の保持

監査人は、独立性と客観性を保持しながら正当な注意を払い監査を行う必要があります。
客観的な立場で公正な判断を行うために、専門的な知識・技能を有する監査人が、監査人としての能力をもって適切な判断をすることが求められます。
また、監査人は正当な注意を払い、正当な猜疑心によって標準的な監査人が同様の監査を行った場合に見逃すことのないリスクを的確に識別することが重要です。監査を実施する組織体の倫理や価値観だけで判断を行うのではなく、デジタル技術やシステム開発手法の変化によるリスクに注意を払い、社会的な視点からみて公正な判断を行うことが望まれます。
また監査人は、業務上知り得た事項を正当な理由なく他に開示したり、自らの利益のために利用したりしてはならないことが求められます。

［２］システム監査の実施に係る基準

【基準６】監査計画の策定

監査計画の必要性

システム監査で効果的・高効率な監査を実施するためには、適切な監査計画を策定する必要があります。
適切な監査計画とは、監査の基本方針を策定し、具体的な内容を定めたものです。
具体的な内容には監査の目的・目標、実施時期、適用範囲、監査の方法等を含みます。
監査の適用範囲としては、監査対象領域の利活用に関わる領域となります。システム監査ではこの適用範囲が、組織体にとって受容できないリスクや重大なリスクが存在する可能性がある範囲を全て含んでいると、合理的に説明できなければなりません。
システム監査は監査目的に基づき、下記の視点により検証されることになります。

1. ガバナンスの視点
   経営目的や経営戦略に沿うように取締役会が指示、監督を行っているか
2. マネジメントの視点
   経営者による方向性に基づいてPDCAサイクルが確立され、適切に運用されているか
3. コントロールの視点
   リスクに関するコントロールが適切に組み込まれ機能しているか
4. 統合的視点
   組織体の目的達成を効果的かつ効率的に支援するためにガバナンス、マネジメント、コントロールが体系的に統合され有効に機能しているか

リスク・アプローチ

リスク・アプローチとはリスクの大きさに応じて監査の人員や時間を割り当て、効果的かつ効率的に監査を行う方法です。リスクの大きさとはリスク発生可能性とリスクの影響道の組み合わせで表されます。
リスク・アプローチによる監査の前提として、監査対象に対する適切なリスクアセスメント（識別、分析、評価）と、監査実施に係る適切なリスクアセスメントがあります。
システム監査における監査対象に対するリスクとは、ITシステムの利活用が果たすべき目標（あるべき姿）と現状とのギャップの可能性と影響の大きさです。監査対象に対するリスクは下記のものがあります。

1. 固有リスク
   コントロールが存在しないと仮定した場合にITシステムに係るリスク
2. 統制リスク
   コントロールの不備・不足により発生の防止や発見、是正がされないリスク
3. 残存リスク
   コントロールを実施したあとも残っているリスク

保証を目的としたシステム監査では、固有リスクと統制リスクは結合して評価した方が望ましい場合が多いです。助言を目的とした監査では、統制リスク評価に基づく監査を行うのか、残存リスク評価に基づく監査を行うのかは、依頼者と合意した内容に基づいて決定されます。

監査実施に係るリスクとは、リスクを発見できないなど監査の目的が達成できない可能性を、合理的な水準まで抑えられないリスクです。
監査計画策定の流れは以下の通りです。

【基準７】監査計画の種類

監査計画はリスク・アプローチにより策定されます。監査計画は以下の3つがあります。

• 中長期計画
  • システム監査の中長期（3〜5年）に関する計画で、情報システムの中長期計画と整合性を取りながらシステム開発・更改計画やIT基盤の構築・更改などを踏まえて策定する
• 年度計画（基本計画）
  • 中長期計画に基づいて、年間スケジュールを計画する
• 個別監査計画
  • 年度計画に基づいて、ここのシステム監査対象毎に具体的な監査スケジュールを計画する

【基準８】監査証拠の入手と評価

監査証拠とは監査手続の実施の結果として得られたものです。
監査手続は予備調査と本調査に分かれ、本調査で得られた証拠が監査証拠になります。
予備調査は監査対象の実態を把握するためのプロセスで、ドキュメントの閲覧や関連部署へのインタビューを行い実態を把握します。
本調査では、証拠としての量的十分性と、確かめるべき事項に適合した説得力のある監査証拠を入手します。
収集した監査証拠により、監査の結論が形成されます。

【基準９】監査調書の作成と保管

実施した監査手続、入手した監査証拠、及び監査人が到達した結論の記録を監査調書と呼びます。監査調書は監査の結論の合理的な根拠となり、容易に参照、活用できるように適切な保管が求められます。

【基準１０】監査の結論の形成

監査人は監査調書に基づいて監査の結論を導く必要があります。監査の結論は合理的な根拠に基づき導かなければなりません。
監査の結果、ガバナンス、マネジメント、コントロールに不備や不足があった場合には、残存リスクの大きさを評価し、指摘事項として改善が必要か否かを判断する必要があります。指摘事項にすべての不備・不足を入れる必要はありません。また、指摘事項は残存リスクの大きさに基づいて優先順位付けを行います。
監査対象先に事実確認を行った結果、指摘事項とするべきと判断したものに関しては、意見交換会や監査講評会により事実確認に相違がないか最終確認を行ってください。

［３］システム監査の報告に係る基準

【基準１１】監査報告書の作成と報告

監査報告書は監査の目的に応じた適切な形式で作成し、監査の依頼者や関係者に理解しやすい方法で報告します。敵対的な表現を避け、建設的なものとなるように心がけます。
監査報告書は正確性、客観性、簡潔性、明瞭性、理解利用性、適時性に留意します。
保証を目的とする監査では、監査の目的と範囲、結果を監査報告書に記載する必要があります。
助言を目的とする監査では、依頼者と同意した依頼内容に適した監査報告書とする必要があります。

【基準１２】改善提案（及び改善計画）のフォローアップ

監査報告書に改善提案または改善計画を記載した場合、監査人は適切かつ適時に改善が行われているかの実施状況を確認する必要があります。
改善計画や改善の実施は監査人が行うのではなく、あくまで監査対象の組織が行い、監査人はその活動をフォローアップし、取締役会等に報告します。監査人は改善の状況を事後確認し、独立性と客観性を損なわないようにします。その上で、改善が不十分であったり問題が改善しない場合は、該当部門に再度の改善対応を要請します。
監査対象先から提出された改善実施報告書を確認し、追加的な検証や次回以降の監査に反映すべき点がないかを検討した方がよいです。
フォローアップ完了後、フォローアップ報告書を作成し、監査対象部門や関係先に回付します。

参考

• システム監査基準

• システム監査・管理ガイドラインについて

  • 公表ガイドライン
    • システム監査基準ガイドライン

1. システム監査基準 ↩

2. システム監査基準ガイドライン ↩