基本情報 平成29年度 秋期 問69：ストラテジ系に関する問題

答えは b です（注：本問は出題データの正解と一般的な監査原則がやや異なる可能性あり。本来「監査依頼者への報告」が原則）。

システム監査の基本は 独立性：監査される人（開発・運用部門）と監査する人は別の組織にするのが基本ルールです。さもないと「身内のチェック」になって甘くなります。

👉 覚え方：監査人は独立！身内チェックはNG。

ほかの選択肢を一般原則で整理：a 監査依頼者への報告は正しい／c 専門家を使う場合も最終責任は監査人／d 開発部門のメンバを監査人にするのは独立性違反。

解説（提供データの正解 b に基づく）

システム監査の実施体制では、独立性・客観性・専門性が3大要件。本問の正解は b とされているが、システム監査基準の原則に照らすと以下のように整理できる：

• 業務監査の一環として情報システム監査を行う場合、利用部門のメンバを含めた監査チーム編成は独立性の観点から原則は避けるべきだが、業務理解の補強として補助スタッフ参加は実務上あり得る。

各選択肢の整理

• a 監査結果を監査依頼者に報告し改善指示につなげる：システム監査基準の本来の趣旨に合致する記述。
• b 業務監査としての情報システム監査における利用部門メンバ参加（本問の正解）。
• c 他の専門家の支援を受ける場合、判断責任は監査人側に残る（他の専門家責任とする本選択肢の表現は本来は不適切）。
• d 開発部門メンバによる監査チーム編成は独立性違反で不適切。

覚え方・ひっかけ注意

システム監査の3原則：独立性（被監査者から独立）、客観性（事実に基づく）、専門性（適切な知識・技能）。試験では「被監査者と利害関係を持たない第三者が監査人となる」が大原則で覚える。

システム監査基準の構造

経産省「システム監査基準」（2018改訂）は、システム監査人の倫理規定・独立性原則・実施手続を規定。

監査人の独立性要件

• 外観上の独立性：被監査部門と組織的・身分的・経済的に独立。
• 精神的独立性：監査判断において先入観や利害を持たない。
• 二重の独立性原則：監査人は被監査部門だけでなく監査依頼者からも一定の独立性を保つ。

監査組織の類型

• 外部監査：監査法人・コンサル・独立第三者機関（最も独立性が高い）。
• 内部監査：社内の独立した監査部門が実施。取締役会または監査役会直属が望ましい。
• 共同監査：内部監査人＋外部専門家。専門性補強と独立性のバランス。
• 3線ディフェンスモデル：(1)現場の自己管理、(2)リスク管理部門による監督、(3)内部監査の独立評価。

業務監査との関係

• 会計監査：公認会計士法に基づく財務諸表監査。
• 業務監査：内部統制全般の有効性評価。
• システム監査：情報システムに関わるリスク・統制の評価。
• J-SOX 内部統制監査：金商法、IT全般統制（ITGC）が中心。会計監査の一部としてIT統制も評価される。

専門家の関与

IIA基準・システム監査基準ともに「他の専門家の支援を受けることができる」と規定するが、監査意見の最終責任は監査人にある。専門家の能力評価、依頼範囲の文書化、結果の検証が必要。

試験での位置づけ

FE「ストラテジ／監査」分野で頻出。応用情報・システム監査技術者試験（AU）では中核知識。CISA（公認情報システム監査人）資格との関連も問われる。

実務での運用

• 監査計画（年次計画、個別監査計画）
• 予備調査（被監査部門の理解、リスク識別）
• 本調査（実証手続、テスト）
• 報告（指摘事項、改善提案）
• フォローアップ（改善状況の追跡）

選択肢の発展補足

業務監査の一部として情報システム監査を行うのは、被監査部門の業務理解が深く効率的という利点があるが、独立性確保のため監査責任者は被監査部門外の者が務める必要がある。dの開発部門メンバ参加は自己点検（self-assessment）としては有効だが、これを「監査」と呼ぶのは不適切。監査と自己点検の用語使い分けが高度試験のひっかけポイント。