基本情報 平成27年度 春期 問58：マネジメント系に関する問題

答えは a「監査結果は監査依頼者に報告する」です。

システム監査は「会社の通信簿」みたいなもの。

依頼者（経営者など）が「うちのITは大丈夫？」と監査人にチェックを頼みます。監査人は調べた結果を依頼者に報告し、依頼者がそれをもとに改善を指示します。

👉 覚え方：監査人＝検査する人、依頼者＝結果を見て直す人。

ほかの選択肢：b 利用部門で監査チーム＝独立性なし／c 専門家責任で判断＝監査人の責任放棄／d 開発部門で自分を監査＝独立性違反。

なぜこれが正解か

正解は a。システム監査基準では、システム監査人は監査結果を監査依頼者に報告し、依頼者が改善指示を行う体制が原則。これにより監査の独立性と改善の実効性を両立する。

各選択肢の解説

• b 誤り：利用部門のメンバが監査チームを編成すると、被監査側と監査側が同一となり独立性違反。
• c 誤り：他専門家の支援を受ける場合でも、監査結果の判断はシステム監査人自身の責任で行う。専門家任せにはできない。
• d 誤り：情報システム部門のメンバが自部門を監査するのは自己監査となり独立性違反。

覚え方・ひっかけ注意

システム監査の3原則：(1) 独立性（被監査側から独立した監査人）、(2) 専門性（監査に必要な知識・技能）、(3) 慎重性（職業的専門家としての注意義務）。「自分が自分を監査」は全パターン×と覚える。

理論的背景

システム監査基準（経済産業省2018年改訂）は、システム監査人の倫理・独立性・専門性・慎重性を定めた規範。COSOフレームワーク・COBIT・ISO/IEC 27001（ISMS）・SSAE 18（SOC1／SOC2）等の国際フレームワークと整合的に設計されている。監査主体は (1) 内部監査（社内監査部）、(2) 外部監査（独立した監査法人）、(3) 委託監査（特定範囲を専門家に委託）に分類される。

実務での使われ方

監査プロセスは「計画→予備調査→本調査→評価・結論→報告→フォローアップ」の6ステップ。証拠収集手法は (1) 観察、(2) 質問・インタビュー、(3) 査閲（文書確認）、(4) 突合（突き合わせ確認）、(5) 再計算、(6) 再実施。CAATs（Computer-Assisted Audit Techniques：コンピュータ支援監査技法）の活用が現代的トレンド。継続的監査（Continuous Auditing）・AI活用監査も普及中。

試験での位置づけ

システム監査分野の頻出論点。基本情報・応用情報・システム監査技術者・公認内部監査人（CIA）で頻出。最近はクラウド監査（CSA STAR）、AI監査、データプライバシー監査（GDPR・APPI）まで出題範囲が拡大。

選択肢の発展補足

• 独立性の確保：(1) 組織上の独立（被監査部門と異なるレポートライン）、(2) 精神上の独立（バイアスのない判断）。
• 内部監査人と外部監査人の連携：「依拠（Reliance）」と「協働（Coordination）」のバランス。
• 監査委員会（Audit Committee）：取締役会に直属し、内部統制・財務報告・コンプライアンスを監督。
• J-SOX（金融商品取引法に基づく内部統制報告制度）における「IT全般統制（ITGC）」「IT業務処理統制（ITAC）」の概念も併せて押さえる。