今回はシステム監査の話っすが、「監査」と聞くと不正を摘発することだと考える人が多いと思うっす。
違うの?僕も今までそうだと思ってた。
監査の種類にもよるっすが、少なくともシステム監査は不正の摘発を目的としたものではないんすよ。
目標 | ・システム監査の意義,目的,考え方,対象を理解する。 ・システム監査の基本的な流れを理解する。 |
説明 | ・企業などにおける監査業務について,目的と主な種類を理解する。 ・情報システムを対象に実施するシステム監査について,意義,目的及び基本的な流れを理解する。 |
監査業務
監査とは、ある事象・対象に関し、遵守すべき法令や社内規程などの基準に照らして、業務がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査人が客観的な立場で検証・評価・報告することをいいます。
主な監査業務としては次のようなものがあります。
会計監査:独立した外部の監査人(公認会計士や監査法人)による企業の経理・会計についての監査。
業務監査:会計以外の企業の諸活動の内容や組織、制度に対する監査。
情報セキュリティ監査:情報セキュリティに対する監査。
システム監査:情報システムに対する監査。
このうちITパスポート試験では、システム監査がメインで出題されます。
システム監査の目的
システム監査の目的は、情報システムにまつわるリスクに適切に対応しているかどうかを、高い倫理観の下、独立かつ客観的な立場のシステム監査人が検証・評価し、もって保証や助言を行うことを通じて、組織の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことにあります。
要するに、システム監査の目的は不正や違法行為等の摘発にあるのではなく、組織が目標を達成できるように、情報システムの信頼性、安全性、効率性の向上を図ることにあるといえます。
一般的に、システム監査には経済産業省が公表しているシステム監査基準を用います。
システム監査が効果的かつ効率的に行われるために、システム監査のあるべき体制や実施方法等を示したもので、システム監査人の行為規範となるものです。
システム監査基準は、システム監査の意義と目的、監査人の倫理、システム監査の基準(システム監査の属性・実施・報告)から構成されています。
システム監査の流れ
システム監査は、①監査計画の策定、②監査の実施、③監査報告という流れで行われます。
①監査計画の策定
外部のシステム監査人がわずか1年間で、その会社のシステムをすべて把握して評価するのは困難です。そこで、複数年度にわたる中長期計画書を作成し、中長期計画書に基づいて各年度ごとの基本計画書を作成します。さらに、基本計画書に基づいて監査項目ごとの個別計画書を作成します。
②監査の実施
予備調査の実施
適切な監査を行うためにはまず、数多くある複雑な会社のシステムを把握することから始めなければなりません。
そこで、本調査の前に事前準備として予備調査を行います。予備調査では円滑な監査を行えるように対象資料を収集、分析し、チェックリストの作成、調査項目の洗い出し、必要に応じて個別計画書の修正を行います。
また、予備調査終了後は本調査の手順を示した監査手続書を作成します。
本調査の実施
本調査では、監査手続書に従って、関連する記録や資料の調査、担当者へのインタビューなどを行い、監査対象の評価の裏付けとなる監査証拠を入手します。
③監査報告
本調査で入手した十分かつ適切な監査証拠に基づいて、依頼人への結果説明のためのシステム監査報告書を作成し提出します。
システム監査報告書の提出先は、依頼人であるその会社の経営者層っす。監査対象部門の責任者などではないっすよ。
システム監査報告書には、監査の実施状況、監査対象についての評価、指摘事項などを記述し、緊急性があるものは改善勧告として報告します。また、その後も改善の実施状況をモニタリングしてフォローアップ(改善指導)を行います。
システム監査人の役割は監査報告書において指導や勧告を行うことであり、監査人が直接、担当部門に指示を行ったり改善活動にかかわることはありません。
確認○×問題
監査役が行う監査を、会計監査、業務監査、システム監査、情報セキュリティ監査に分けたとき、業務監査に関する説明として、最も適切なものはaである。
a | 財務状態や経営成績が財務諸表に適正に記載されていることを監査する。 |
b | 情報資産の安全対策のための管理・運用が有効に行われていることを監査する。 |
c | 情報システムを総合的に点検及び評価し、ITが有効かつ効率的に活用されていることを監査する。 |
d | 取締役が法律及び定款に従って職務を行っていることを監査する。 |
(出典:平成30年度秋期分 問45一部改変)
答え:×
a.会計監査 | 財務状態や経営成績が財務諸表に適正に記載されていることを監査する。 |
b.情報セキュリティ監査 | 情報資産の安全対策のための管理・運用が有効に行われていることを監査する。 |
c.システム監査 | 情報システムを総合的に点検及び評価し、ITが有効かつ効率的に活用されていることを監査する。 |
d.業務監査 | 取締役が法律及び定款に従って職務を行っていることを監査する。 |
システム監査の目的は、情報システムが設置されている施設とその環境を総合的に企画、管理、活用することである。
(出典:令和6年度春期分 問55一部改変)
答え:×
設問はファシリティマネジメントの説明です。システム監査の目的は、情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与することにあります。
情報システム部がシステム開発を行い、品質保証部が成果物の品質を評価する企業がある。システム開発の進捗は管理部が把握し、コストの実績は情報システム部から経理部へ報告する。現在、親会社向けの業務システムの開発を行っているが、親会社からの指示でシステム開発業務に対するシステム監査を実施することになり、社内からシステム監査人を選任することになった。次の4人の中で、システム監査人として最も適切な者は「監査経験がある経理部の担当者」である。
- 監査経験がある開発プロジェクトチームの担当者
- 監査経験がある経理部の担当者
- 業務システムの品質を評価する品質保証部の担当者
- システム開発業務を熟知している情報システム部の責任者
(出典:平成30年度秋期分 問53一部改変)
答え:〇
システム監査基準(基準4)では、監査の独立性と客観性の保持について以下のように規定しています。
システム監査は、監査人によって誠実かつ、客観的に行われなければならない。さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。
設問の4人のうち、監査対象となる活動(システム開発・品質保証)から独立の立場にあるのは経理部の担当者のみです。
経理部は情報システム部からただ報告を受けるだけで、直接業務に携わっているわけではないので、独立の立場にあると考えられます。
システム監査は、法令に基づき結合テスト、システムテスト、運用テストの手順によって実施しなければならない。
(出典:令和3年度春期分 問38一部改変)
答え:×
正しくは、「システム監査は、監査計画に基づき予備調査、本調査、評価・結論の手順によって実施しなければならない。」となります。
なお、結合テスト、システムテスト、運用テストの手順によって実施するのは、システム開発におけるテスト工程であり、また法令に基づいて実施されるものでもありません。
委託に基づき他社のシステム監査を実施するとき、システム監査人の行動として、委託元の経営者にとって不利にならないように監査を実施し、システム監査を実施する上で知り得た情報は、全て世間へ公開しなければならない。
(出典:令和2年度秋期分 問48一部改変)
答え:×
システム監査は、十分かつ適切な監査証拠を基に結論を評価・判断しなければなりません。
システム監査は、依頼人にとって有利になるか不利になるかではなく、誠実かつ客観的に行う必要があります。また、監査人には守秘義務があるため、業務上知り得た事項を正当な理由なく他に開示したり、自らの利益のために利用したりしてはいけません。
以下の記述において、システム監査人の役割として適切なものは2つある。
a | 監査手続の種類、実施時期、適用範囲などについて、監査計画を立案する。 |
b | 監査の目的に応じた監査報告書を作成し、社内に公開する。 |
c | 監査報告書にある改善提案に基づく改善の実施を監査対象部門に指示する。 |
d | 監査報告書にある改善提案に基づく改善の実施状況をモニタリングする。 |
(出典:令和6年度春期分 問42一部改変)
答え:〇
設問の記述中、システム監査人の役割として適切なものはaとdの記述の2つです。
bの記述:監査報告書を作成するのはシステム監査人の役割ですが、監査報告書を公開するか否かは依頼人(経営者など)が決定するのであり、システム監査人の役割ではありません。
cの記述:改善の提案・指導・勧告を行うのはシステム監査人の役割ですが、対象部門へ直接指示したり、直接的に改善活動に関与することはしません。