https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf
前文(システム監査基準の活用に当たって)
システム監査の意義と目的
監査人の倫理
システム監査の基準
[1]システム監査の属性に係る基準
【基準1】システム監査に係る権限と責任等の明確化
【基準2】専門的能力の保持と向上
【基準3】システム監査に対するニーズの把握と品質の確保
【基準4】監査の独立性と客観性の保持
【基準5】監査の能力及び正当な注意と秘密の保持
[2]システム監査の実施に係る基準
【基準6】監査計画の策定
【基準7】監査計画の種類
【基準8】監査証拠の入手と評価
【基準9】監査調書の作成と保管
【基準10】監査の結論の形成
[3]システム監査の報告に係る基準
【基準11】監査報告書の作成と報告
【基準12】改善提案(及び改善計画)のフォローアップ
システム監査の目的は、IT システムに係るリスクに適切に対応しているかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。
監査人とは、独立にして客観的な立場から情報システムに係る保証や助言の活動を行う者を指し、ガバナンスの一翼を担う会社法上の監査役(会)等とその補助使用人、内部監査人、組織体からの依頼により監査を行う組織体の外部の第三者が含まれる。
監査役(会)等は、法令の定めるところにより株主からの委任により、取締役の業務執行に対する監査の一環としてシステムに係る監査を行う。したがって、ガバナンスに対する監査を実施することになる。
内部監査人や外部監査人は、取締役会等(取締役会、理事会等)や経営者からの委託により、ITシステムに係る監査を実施し、その結果を報告することによりガバナンス、マネジメント、コントロールに役立つ監査を行うことになる。
なお、取締役会等からの指示や監査役(会)等からの依頼により内部監査人や外部監査人がガバナンスに対する監査を行うこともあり得る。
システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステム監査を行う組織の権限と責任は、文書化された規程等により定められていなければならない。
適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能及びその他の能力を保持し、その向上に努めなければならない。
また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシステム監査に必要な知識、技能及びその他の能力を、システム監査を行う組織が総体として備えているか、又は備えるようにしなければならない。
システム監査の実施に際し、システム監査に対するニーズを十分に把握した上でシステム監査業務を行い、システム監査の品質が確保されるための体制を整備・運用しなければならない。
システム監査は、監査人によって誠実かつ、客観的に行われなければならない。
さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。
システム監査は、専門的能力の維持・向上を図るとともに、監査業務において正当な注意を払って実施する監査人によって行わなければならない。また、監査人は秘密の保持をしなければならない。
システム監査を効果的かつ効率的に実施するために、適切な監査計画が策定されなければならない。
監査計画は、主としてリスク・アプローチに基づいて策定する。
監査計画は、リスク等の状況の変化に応じて適時適切に見直し、変更されなければならない。
<解釈指針> (3) 「監査は、監査目的に基づき、ガバナンス、マネジメント、コントロール、及びこれらの統合的視点から検証する必要がある。」
ガバナンスの視点:取締役会等がITシステムの利活用について経営目的や経営戦略に沿うように経営者に対して適切な方向付けを行い監督しているかの監査。
マネジメントの視点:経営者による方向付けに基づいて、PDCAサイクルが確立され、かつ適切に運用されているかに重点を置いた監査
コントロールの視点:業務プロセス等において、リスクに応じたコントロールが適切に組み込まれ、機能しているかを確認する。
監査計画は、原則として中長期計画、年度計画、及び個別監査計画に分けて 策定されなければならない。
適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠 を入手しなければならない。
監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠 とするために、監査調書を作成し、適切に保管しなければならない。
監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基 づき、監査の結論を導かなければならない。
監査報告書は、監査の目的に応じた適切な形式で作成され、監査の依頼者や適切な関係者に報告されなければならない。
監査報告書に改善提案が記載されている場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。監査報告書に改善計画が記載されている場合も同様にその実施状況をモニタリングしなければならない。
https://drive.google.com/file/d/12MK9CRbSVyWsDQoSSqL4RRUCG8mzvG1q/view
本ガイドラインは、その「基準」及びその趣旨、着眼点が述べている事項をより具体的に説明し、監査の際に用いる手法等を例示することにより、「基準」を利用するに当たって参考となるように策定されている。
したがって、本ガイドラインの項目・内容については、網羅的に各項目を適用するよりも、監査対象の状況や監査の目的等を踏まえて、適切に取捨選択・調整を行ったうえで適用することが望ましい。
システム監査にとって普遍的な内容は「基準」に記述し、ITシステム及びシステム監査を取り巻く環境の変化により適時適切に対応していくべき事項や「基準」の示されている事項のより具体的な内容については、「ガイドライン」で取り扱っている。