Ｗｅｂ教材一覧＞ 法規・基準

システム監査基準（令和５年、２０２３年）

https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf

目次

前文（システム監査基準の活用に当たって）
　　システム監査の意義と目的
　　監査人の倫理
システム監査の基準
［１］システム監査の属性に係る基準
　【基準１】システム監査に係る権限と責任等の明確化
　【基準２】専門的能力の保持と向上
　【基準３】システム監査に対するニーズの把握と品質の確保
　【基準４】監査の独立性と客観性の保持
　【基準５】監査の能力及び正当な注意と秘密の保持
［２］システム監査の実施に係る基準
　【基準６】監査計画の策定
　【基準７】監査計画の種類
　【基準８】監査証拠の入手と評価
　【基準９】監査調書の作成と保管
　【基準１０】監査の結論の形成
［３］システム監査の報告に係る基準
　【基準１１】監査報告書の作成と報告
　【基準１２】改善提案（及び改善計画）のフォローアップ

前文（要旨）

令和５年版の特徴

「基準」と「ガイドライン」に分離

「基準」は経済産業省によるもので、原則(What)、趣旨、解釈指針、達成目標、管理活動の例などを掲げている。
「ガイドライン」は、実施方法(How)、実施・書式の例、管理活動例の着眼点（必要な観点や留意事項）等を記述している。状況に応じて柔軟な対応・改訂が求められ、アドバイスも必要なことから、民間団体（日本システム監査人協会）に委託している。

「監査人の倫理」を基準本文から分離

旧版ではすべてを「監査基準」としていたが、新版では
　①　システム監査実施の前提となる「システム監査の意義と目的」「監査人の倫理」
　②　監査の体制や実施のあり方を示した「システム監査の基準」
に分けて①を前文に続く部分で記述している。
監査人に求められる倫理及びシステム監査に要求される具体的な基準の内容は、「システム監査の意義と目的」に基づいて決まっていく。
監査人が、システム監査に期待されている様々なシステム監査の意義と目的を達成するためには、監査人は高い倫理観が要求される。監査という外面的な行為を導く内面の倫理が監査の品質を担保する根本的な要素となるからである。

「基準」の構成

１２の「基準」から成るのは旧版と同じだが、次の３区分に再編成した。
　・監査の属性に係る基準：基準１～基準５
　・監査の実施に係る基準：基準６～基準１０
　・監査の報告に係る基準：基準１１、基準１２
各基準は、本ページでは青色で表示したに続き＜主旨＞＜解釈指針＞から成る。
＜主旨＞は、各基準の補足的な説明で、重要性と留意点を示している。 ＜解釈指針＞は、実務上の望ましい対応や留意事項で、誰が、何を情報として用い、何に留意し、どのような行動をするかなどを示している。

システム監査の目的

システム監査の目的は、IT システムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。

監査人・監査組織

監査人とは、独立にして客観的な立場から情報システムに係る保証や助言の活動を行う者を指し、ガバナンスの一翼を担う会社法上の監査役（会）等とその補助使用人、内部監査人、組織体からの依頼により監査を行う組織体の外部の第三者が含まれる。

監査役（会）等は、法令の定めるところにより株主からの委任により、取締役の業務執行に対する監査の一環としてシステムに係る監査を行う。したがって、ガバナンスに対する監査を実施することになる。

内部監査人や外部監査人は、取締役会等（取締役会、理事会等）や経営者からの委託により、ＩＴシステムに係る監査を実施し、その結果を報告することによりガバナンス、マネジメント、コントロールに役立つ監査を行うことになる。
なお、取締役会等からの指示や監査役（会）等からの依頼により内部監査人や外部監査人がガバナンスに対する監査を行うこともあり得る。

監査関係者

• ●保証目的の場合
• プロセス・オーナー
  事業体、業務、機能、プロセス、システム若しくはその他の監査対象事項に直接関わる者又はグループ ＝ 監査対象先
• 監査人
  評価を行う者又はグループ ＝ 内部監査人や外部監査人
• 利用者
  評価結果を利用する者又はグループ ＝ 経営者や取締役会等
• ●助言目的の場合
  監査の性格においては、当事者が増加ないし変化する場合がある。
• 監査人
  助言を提供する者又はグループ
  助言目的の場合でも、監査人は、客観性を維持すべきであり、管理者としての職責を負ってはならない。
• 依頼者
  助言を必要として、これを受ける者又はグループ

監査人の倫理 ４原則

誠実性

監査業務において、常に正直な態度を保持し、強い意志をもって適切に行動すること。監査人が誠実であることによって信頼が築かれることから、誠実性は、自らの判断が信用される基礎となる。

客観性

監査業務において、バイアス（先入観等）、利益相反を排し、個人や組織等から不当な影響を受けることなく、監査人としての判断を行うこと。監査人としての判断が不当な影響を受ける場合、当該業務を引き受けてはならない。

監査人としての能力及び正当な注意

監査業務において、必要な知識、技能を習得し、維持すること、及び誤った監査上の判断がないように、システム監査の基準に従って、監査人として当然払うべき注意を払うこと。

秘密の保持

監査業務において、取得した情報の秘密性を尊重し、業務上知り得た秘密を守ること。法令等による守秘義務の解除を除き、依頼人又は所属する組織との関係が終了した後も、秘密の保持が求められる。

目次へ

［１］システム監査の属性に係る基準

【基準１】システム監査に係る権限と責任等の明確化

システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステム監査を行う組織の権限と責任は、文書化された規程等により定められていなければならない。

【基準２】専門的能力の保持と向上

適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能及びその他の能力を保持し、その向上に努めなければならない。
　また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシステム監査に必要な知識、技能及びその他の能力を、システム監査を行う組織が総体として備えているか、又は備えるようにしなければならない。

【基準３】システム監査に対するニーズの把握と品質の確保

システム監査の実施に際し、システム監査に対するニーズを十分に把握した上でシステム監査業務を行い、システム監査の品質が確保されるための体制を整備・運用しなければならない。

【基準４】監査の独立性と客観性の保持

システム監査は、監査人によって誠実かつ、客観的に行われなければならない。
　さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。

【基準５】監査の能力及び正当な注意と秘密の保持

システム監査は、専門的能力の維持・向上を図るとともに、監査業務において正当な注意を払って実施する監査人によって行わなければならない。また、監査人は秘密の保持をしなければならない。

目次へ

［２］システム監査の実施に係る基準

【基準６】監査計画の策定

システム監査を効果的かつ効率的に実施するために、適切な監査計画が策定されなければならない。
　監査計画は、主としてリスク・アプローチに基づいて策定する。
　監査計画は、リスク等の状況の変化に応じて適時適切に見直し、変更されなければならない。

＜解釈指針＞ (3) 「監査は、監査目的に基づき、ガバナンス、マネジメント、コントロール、及びこれらの統合的視点から検証する必要がある。」
　ガバナンスの視点：取締役会等がＩＴシステムの利活用について経営目的や経営戦略に沿うように経営者に対して適切な方向付けを行い監督しているかの監査。
　マネジメントの視点：経営者による方向付けに基づいて、ＰＤＣＡサイクルが確立され、かつ適切に運用されているかに重点を置いた監査
　コントロールの視点：業務プロセス等において、リスクに応じたコントロールが適切に組み込まれ、機能しているかを確認する。

【基準７】監査計画の種類

監査計画は、原則として中長期計画、年度計画、及び個別監査計画に分けて 策定されなければならない。

【基準８】監査証拠の入手と評価

適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠 を入手しなければならない。

【基準９】監査調書の作成と保管

監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠 とするために、監査調書を作成し、適切に保管しなければならない。

【基準１０】監査の結論の形成

監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基 づき、監査の結論を導かなければならない。

目次へ

［３］システム監査の報告に係る基準

【基準１１】監査報告書の作成と報告

監査報告書は、監査の目的に応じた適切な形式で作成され、監査の依頼者や適切な関係者に報告されなければならない。

【基準１２】改善提案（及び改善計画）のフォローアップ

監査報告書に改善提案が記載されている場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。監査報告書に改善計画が記載されている場合も同様にその実施状況をモニタリングしなければならない。

目次へ

システム監査基準ガイドライン
ＳＡＡＪ（特定非営利活動法人日本システム監査人協会）　令和５年

https://drive.google.com/file/d/12MK9CRbSVyWsDQoSSqL4RRUCG8mzvG1q/view

システム監査基準ガイドラインの活用に当たって

・システム監査基準ガイドライン策定の趣旨

本ガイドラインは、その「基準」及びその趣旨、着眼点が述べている事項をより具体的に説明し、監査の際に用いる手法等を例示することにより、「基準」を利用するに当たって参考となるように策定されている。
　したがって、本ガイドラインの項目・内容については、網羅的に各項目を適用するよりも、監査対象の状況や監査の目的等を踏まえて、適切に取捨選択・調整を行ったうえで適用することが望ましい。

システム監査基準とシステム監査基準ガイドラインとの関係

システム監査にとって普遍的な内容は「基準」に記述し、ＩＴシステム及びシステム監査を取り巻く環境の変化により適時適切に対応していくべき事項や「基準」の示されている事項のより具体的な内容については、「ガイドライン」で取り扱っている。