U過去問を解いていて「情報システム監査って、普通の会計監査と何が違うんだろう?」と手が止まりました。調べてみると、チェックする対象がそもそも全然違うと分かって、一気に整理できました。
情報システム監査とは、企業の情報システムが適切に設計・運用されているかを客観的に評価・検証することです。経済産業省が「情報システム監査基準」と「システム管理基準」を策定しており、これが試験の根拠となります。
会計監査が「帳簿の数字は正しいか」をチェックするのに対し、情報システム監査は「そのシステム自体が信頼できるか、セキュリティは大丈夫か、内部統制は機能しているか」を問います。
目次
保証型と助言型:監査の2つのスタイル
保証型監査
ASSURANCE
情報システムの信頼性・安全性・有効性について、第三者として客観的な評価・意見を表明する
外部監査人や独立した内部監査が行う
監査報告書に「適切である/問題がある」の意見を表明
独立性・客観性が最重要
助言型監査(コンサルティング型)
CONSULTING
情報システムの改善・強化のために専門家として具体的なアドバイスを提供する
「どこを改善すべきか」を提言するスタイル
被監査部門との協働あり
内部監査部門が行うことが多い
監査の手順:4ステップで理解する
01
予備調査
監査対象のシステムや業務の概要を把握します。組織図・業務フロー・システム構成図などの資料を収集し、監査計画の精度を高めます。
02
本調査
実際の監査手続きを実施します。インタビュー・文書閲覧・実地確認・ログ分析などにより監査証拠を収集します。収集した証拠は監査調書として記録・保管します。
03
評価・結論
収集した監査証拠をもとに、情報システムの状態を評価します。問題点・改善点を整理し、監査意見をまとめます。
04
報告
監査報告書を作成し、経営者・監査委員会等に提出します。改善勧告を含む場合は、その後のフォローアップも行います。
情報システム監査の主体:内部 vs 外部
| 項目 | 内部監査 | 外部監査 |
|---|---|---|
| 実施者 | 組織内の内部監査部門 | 組織外の独立した監査人(監査法人など) |
| 独立性 | 相対的独立性(組織に属する) | 完全独立(組織と利害関係なし) |
| 目的 | 内部統制の有効性評価・改善提言 | 第三者保証・信頼性確保 |
| 特徴 | 継続的・日常的に実施可能 | 高い客観性・信頼性 |
監査人の独立性がなぜ重要か
もし監査人がシステム開発にも関与していたら、自分の仕事を自分でチェックすることになります。これでは客観的な評価ができません。「開発・運用と監査の分離」は内部統制の基本原則であり、試験でも問われる重要論点です。
U「監査人が開発も担当したらダメ」という理由が分かると、内部統制の概念全体がつながって見えてきます。職務分掌の原則と同じ発想ですね。
根拠となる基準:情報システム監査基準とシステム管理基準
| 基準名 | 内容 |
|---|---|
| 情報システム監査基準 | 監査人が遵守すべき行動規範・手続きを定めたもの。監査の実施方法・報告方法を規定(経産省策定) |
| システム管理基準 | 企業が情報システムを適切に管理するための基準。監査人はこれを尺度として評価を行う |
覚え方のポイント
「情報システム監査基準」=監査人が守るルール、「システム管理基準」=監査される企業が満たすべき基準——主語が違うと整理すると混乱しません。
試験頻出ポイントのまとめ
- 情報システム監査の目的:信頼性・安全性・有効性の評価と保証
- 保証型:客観的意見の表明(独立性重要)/助言型:改善アドバイスの提供
- 監査の流れ:予備調査→本調査(監査証拠収集・監査調書作成)→評価・結論→報告
- 監査人の独立性:開発・運用担当者が自らの業務を監査することは禁止
- 情報システム監査基準(監査人のルール)とシステム管理基準(企業のルール)は別物
- 所管:経済産業省(両基準とも経産省が策定)
