基本情報 令和元年度 秋期 問58：マネジメント系に関する問題

答えは d「監査人は情報システム部にも経理部にも所属しない者」 です。

監査人は「独立した第三者」じゃないと意味がありません。

例えると、自分のテストを自分で採点したらアマアマになりますよね。だから、関係ない人にチェックしてもらうのが鉄則。

👉 覚え方：監査人は身内じゃダメ、独立性が命。

ほかの選択肢：a 公認会計士限定＝過剰／b 経理部長直属＝独立性なし／c 情報システム部長直属＝独立性なし。

なぜこれが正解か

正解は d。システム監査の最重要原則は独立性（Independence）。監査対象（情報システム部・経理部）に所属する者は利害関係があり、客観的な監査ができない。経営者直属または外部監査法人に依頼するのが標準。

各選択肢の解説

• a 公認会計士に限定：会計士は会計監査の専門家だが、システム監査には情報技術の専門性が必要。資格限定は不適切。
• b 経理部長直属：経理部の業務を監査するのに経理部長直属では独立性なし。利害相反。
• c 情報システム部長直属：情報システム部を監査するのに同部長直属では独立性なし。

覚え方・ひっかけ注意

システム監査人の3要件：

1. 独立性：監査対象から組織的・身分的に独立

2. 専門性：システム監査に必要な知識・スキル

3. 客観性：偏見なく事実に基づく判断

「監査人は誰の直属か」を見て、監査対象部署と関係があれば即誤り。経営者直属または外部監査が正しい配置。

理論的背景

システム監査の根拠は経済産業省システム監査基準／システム管理基準（2018改訂）。独立性は監査人の能力・適格性とともに最重要要件で、外観上の独立性（第三者から見て利害関係なし）と精神的独立性（実態として偏見なし）の両方が求められる。国際的にはISACA（情報システム監査統制協会）のCISA（Certified Information Systems Auditor）資格、ITAF（IT Audit Framework）が標準。

監査の種類

• 内部監査：自社内の監査人（独立性確保のため経営者直属・取締役会直属が標準）
• 外部監査：監査法人・コンサルティング会社
• 会計監査：公認会計士による財務諸表監査
• 業務監査：業務プロセスの妥当性監査
• 情報セキュリティ監査：ISMS、Pマーク、PCI-DSS等の認証審査
• システム監査：情報システム全般

監査プロセス（システム監査基準）

1. 監査計画：監査範囲、目的、リソース、スケジュール

2. 予備調査：監査対象の概要把握

3. 本調査：証跡収集（インタビュー、文書レビュー、ログ分析、システム動作確認）

4. 評価・結論：基準との比較、不備の特定

5. 監査報告：監査報告書作成、経営者への提出

6. フォローアップ：是正措置の実施確認

監査証拠と監査手続

• 証跡（Evidence）：監査人が結論の根拠とする情報
• CAAT（Computer Assisted Audit Techniques）：データ抽出ツール（ACL、IDEA）、ログ分析、自動化
• 継続的監査（CCM／Continuous Auditing）：リアルタイム異常検知
• 3線防衛モデル：①現業（自己統制）②リスク管理・コンプライアンス③内部監査

日本企業のガバナンス

• 金融商品取引法（J-SOX）：上場企業に内部統制報告書を義務付け
• コーポレートガバナンス・コード：東証上場企業向け原則
• 監査役会／監査等委員会／監査委員会：会社法上の機関
• 経営者の責任：内部統制構築・運用・評価責任

試験での位置づけ

基本情報・応用情報・システム監査技術者・公認情報システム監査人（CISA）で必須。直近はサイバーセキュリティ経営ガイドライン、サプライチェーン監査、DXガバナンス・コードと絡めて出題。

選択肢の発展補足

外部監査法人の選定では、監査品質・専門性・独立性を評価。コンサルティングと監査の両立は「利益相反」リスクのため、SOX法やJ-SOX法で厳格な分離が求められる（同一監査法人が監査と非監査業務を同時提供する範囲は制限）。クラウド利用拡大に伴い、SOC 1／SOC 2 Type II報告書（AICPA SSAE 18）、ISO/IEC 27001／27017／27018認証等の第三者保証が、自社監査の補完として活用される。