📋 システム監査基準

具体的な環境変化やニーズの多様化

• AIの発展とDXの普及
• サイバー攻撃の高度化・複雑化等による新たなリスクの発生
• システム・マネジメントの基となるガバナンスの重要性増加
• スリー・ラインズ・モデル等でいわれる各種のモニタリング活動とシステム監査の連携の重要性増加
• システム監査における品質管理等の有効性への期待の高まり
• アジャイル型監査の普及等監査方法の多様化

システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である。

また、システム監査の目的は、ITシステムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。

監査人が守るべき4つの原則

○ 誠実性

監査業務において、常に正直な態度を保持し、強い意志をもって適切に行動すること。監査人が誠実であることによって信頼が築かれることから、誠実性は、自らの判断が信用される基礎となる。

○ 客観性

監査業務において、バイアス（先入観等）、利益相反を排し、個人や組織等から不当な影響を受けることなく、監査人としての判断を行うこと。監査人としての判断が不当な影響を受ける場合、当該業務を引き受けてはならない。

○ 監査人としての能力及び正当な注意

監査業務において、必要な知識、技能を習得し、維持すること、及び誤った監査上の判断がないように、システム監査の基準に従って、監査人として当然払うべき注意を払うこと。

○ 秘密の保持

監査業務において、取得した情報の秘密性を尊重し、業務上知り得た秘密を守ること。法令等による守秘義務の解除を除き、依頼人又は所属する組織との関係が終了した後も、秘密の保持が求められる。

システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステム監査を行う組織の権限と責任は、文書化された規程等により定められていなければならない。

適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能及びその他の能力を保持し、その向上に努めなければならない。

また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシステム監査に必要な知識、技能及びその他の能力を、システム監査を行う組織が総体として備えているか、又は備えるようにしなければならない。

システム監査の実施に際し、システム監査に対するニーズを十分に把握した上でシステム監査業務を行い、システム監査の品質が確保されるための体制を整備・運用しなければならない。

システム監査は、監査人によって誠実かつ、客観的に行われなければならない。

さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。

システム監査は、専門的能力の維持・向上を図るとともに、監査業務において正当な注意を払って実施する監査人によって行わなければならない。また、監査人は秘密の保持をしなければならない。

システム監査を効果的かつ効率的に実施するために、適切な監査計画が策定されなければならない。

監査計画は、主としてリスク・アプローチに基づいて策定する。

監査計画は、リスク等の状況の変化に応じて適時適切に見直し、変更されなければならない。

監査計画は、原則として中長期計画、年度計画、及び個別監査計画に分けて策定されなければならない。

適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠を入手しなければならない。

監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない。

監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基づき、監査の結論を導かなければならない。

監査報告書は、監査の目的に応じた適切な形式で作成され、監査の依頼者や適切な関係者に報告されなければならない。

監査報告書に改善提案が記載されている場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。監査報告書に改善計画が記載されている場合も同様にその実施状況をモニタリングしなければならない。