基本情報 平成25年度 春期 問60：マネジメント系に関する問題

答えは b です。

システム監査のヒアリングでは「話を聞くだけで信じない」のが鉄則。聞いた内容を裏付ける書類やログを入手してこそ、正しい監査になります。

たとえば「ちゃんとパスワードを定期変更しています」と言われても、本当にそうかは記録を見ないと分かりませんよね。

👉 覚え方：「ヒアリング＋裏付け資料＝信頼できる監査証拠」。

ほかの選択肢：a 管理者のみは偏りリスク／c その場で改善指示は監査人の役割を逸脱（指摘するだけ、改善は被監査側）／d 1人で行うと記録ミスや漏れが起きやすい。

なぜこれが正解か

正解は b。システム監査のヒアリングでは、被監査部門から得た情報を裏付ける文書や記録を入手することで、口頭情報を客観的事実として確認する。これにより監査証拠の信頼性が確保される。

各選択肢の解説

• a 管理者の中からヒアリング対象を選ぶ → 管理者偏重では実態把握が困難（現場担当者からも幅広く聞くのが原則）。
• b ヒアリング情報を裏付ける文書・記録の入手 → 正解。客観的事実への昇格。
• c ヒアリング中に発見した不備にその場で改善指示 → 監査人の独立性を逸脱（改善は被監査側の責任、監査人は指摘・助言まで）。
• d 1人のシステム監査人がヒアリング → 客観性確保のため複数人体制が望ましい（記録漏れ・主観混入防止）。

覚え方・ひっかけ注意

「ヒアリングは情報収集の入口、書面・ログで裏付け、複数人で実施、その場で指示しない」が4原則。監査人と被監査人の役割分離が独立性確保の核心。「監査人が改善指示」は典型的誤答で、監査人の独立性を侵すため厳禁。

理論的背景

システム監査基準（経済産業省、最新2023年改訂）および日本内部監査協会の基準では、システム監査の独立性・客観性・正当な注意・専門能力が原則として明文化されている。ヒアリング（質問）は監査手続6種（質問・観察・閲覧/検査・再実施・分析的手続・確認）の一つで、補完的な手続として位置づけられる。口頭証言の証拠力は最も低いため、裏付ける書面・電子記録・システムログとの突合が必須。

実務での使われ方

ヒアリング実施のベストプラクティス：

1. 事前準備：質問項目リスト（インタビューガイド）作成、過去資料・前回監査結果のレビュー

2. 対象者選定：管理者と現場担当者の両方、複数部門にまたがる場合は各部門代表

3. 複数人体制：主査+補助監査人で実施（記録漏れ防止、解釈の合議化）

4. オープン質問→クローズド質問の順で深掘り

5. 議事録作成：双方確認のうえ署名/捺印（後の異議申立防止）

6. 裏付け資料の要求：規程文書、運用ログ、システムスクリーンショット、電子証跡

7. 指摘事項は監査報告書へ集約（その場での改善指示は避ける、独立性確保）

試験での位置づけ

FE・APマネジメント分野およびシステム監査技術者試験で頻出。監査計画→予備調査→本調査→監査報告→フォローアップの一連プロセス、監査証拠（十分性・適切性）、監査調書、CAATs（Computer Assisted Audit Techniques）、SOC報告書、内部統制報告制度（J-SOX）と関連付けて出題。

関連事項・発展補足

監査人の役割境界が頻出ひっかけポイント。監査人は「指摘・助言」、被監査人は「改善実行」が原則で、これを侵すと監査の独立性（independence）と客観性（objectivity）が損なわれる。COBIT、IIA国際内部監査基準、INTOSAI（最高会計検査機関）基準、AICPA監査基準でも同じ原則。3線ディフェンスモデル（1線=業務部門、2線=リスク管理・コンプライアンス、3線=内部監査）でも、3線の独立性が組織防御の要。デジタル時代はリモート監査・継続的監査（Continuous Auditing）が普及し、ログ分析の自動化、SIEM連携、AIによる異常検知活用が進む。本問は監査人の倫理・スキル・手続の総合理解度を測る典型問題で、実務でも頻繁に発生する判断局面を反映している。