【実務思考】【AU-R03-1-PM2-Q2】他の監査や評価として実施された手続とその結果を利用したシステム監査の計画

🍀概要

　システム監査技術者試験 令和3年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
　本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセスや問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問（AU-R03-1-PM2-Q1）

　出典：情報処理推進機構 システム監査技術者試験 令和3年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
　他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について
■内容
　企業におけるITの利活用は，経営や業務に幅広い影響を与えている。そこで，システム監査以外に，社内規程に基づく業務監査，法令に基づく内部統制の経営者評価，認証取得・維持のための内部監査などにおいて，ITに関する様々な監査や評価が実施されている。このような監査や評価として実施された手続とその結果（以下，他の監査等という）をシステム監査で利用することは，システム監査の効率向上だけではなく，監査対象部門の負担を軽減する上でも有効である。
　他の監査等を利用する場合には，システム監査の計画策定時に，当該システム監査の目的に照らして利用可能な他の監査等があるかどうかを検討する必要がある。
　その上で，他の監査等が利用できるかどうかを検討し，利用可能と想定される他の監査等の範囲を特定する。
　また，他の監査等を実施した担当者の能カ・独立性，実施された手続の適切性，指摘事項のフォローアップの妥当性などを踏まえて，他の監査等が当該システム監査の目的に照らして想定どおり利用できるかどうかを評価することが重要になる。
　評価した結果，例えば，システム変更後の業務が含まれていなかったり，想定外の新たな指摘事項が発見されたりなど，想定どおりではなかった場合には，当該システム監査の計画を見直す必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

📗設問

■設問ア
　あなたが携わった組織において，計画又は実施したシステム監査の目的・概要，及び利用可能と想定又は利用した他の監査等の概要を，800字以内で述べよ。
■設問イ
　設問アで述べた他の監査等について，システム監査で利用可能と想定した理由を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べた他の監査等が利用できるかどうかを評価するためのポイント，及び想定どおりではなかった場合に見直すべきシステム監査の計画の内容について， 700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
　企業のIT利活用は，企業のビジネスプロセス，コンプライアンス，他社や個人に提供するサービス品質など，多様な影響を与える。したがって，システム監査に限定されず，ITに係る様々な監査，評価などが実施されていることが多い。そこでシステム監査の計画・実施においては，システム監査の効率向上や監査対象部門の負担軽減のために，システム監査人は他の監査や評価によって実施された手続とその結果を理解し，システム監査で利用可能であるかどうか検討することが望まれる。
　本問では，システム監査人として，他の監査や評価によって実施された手続とその結果についてシステム監査において利用可能であるかどうかについて適切に検討できる知識・能力などを問う。
■採点講評
　＜全問共通＞システム監査技術者試験では，問1 で監査手続の作成について，問2 でシステム監査計画の策定について，システム監査人としての知識と能力・見識を問うているが，問題文の趣旨と設問の内容を踏まえずに論述している解答が散見された。また，システム担当者の立場で論述している解答も目立った。システム監査人の立場から，どのようなリスクを想定し，コントロールの適切性などをどのように確かめればよいと考えるか，経験と考えに基づいて，具体的に論述するように心掛けてほしい。
　＜問2＞問2では，システム監査において利用できる他の監査・評価として実施された手続とその結果について論述することを求めたが，公開又は社内のテンプレートや手続書の利用などに関する論述が散見された。また，論述している他の監査・評価に関する具体的な論述及びその理由についても，利用できる範囲や手続が明確でなかったり，設問アで論述したシステム監査の目的に対して利用する他の監査等の論述が一般論に終始したりする論述が目立った。特に，他の監査・評価がセキュリティやプライバシー全般に及ぶ場合には，利用できる範囲は全てではないことが多いはずである。設問イについては，設問ウの“利用できるかどうかを評価するためのポイント”を記載し，結果的に設問イの内容が論述されていないような解答が散見された。問題文の趣旨と設問の内容を理解して，設問ア，イ，ウを通じて一貫性のある論述を心掛けてほしい。

🪄詳細分析(AI)

📝3行まとめ

1. 【背景】企業内にはシステム監査以外にも多様なIT関連監査や評価が実施されており、重複や非効率が課題となっています。
2. 【監査視点】システム監査では、他の監査結果の信頼性・適用範囲・実施担当者の独立性を評価し、効果的な監査計画立案を求められます。
3. 【行動・着眼点】監査人は、アシュアランスマップ等で監査の重複と漏れを可視化し、他の監査結果の有効活用と計画見直しを柔軟に行うべきです。

🧭他の監査や評価として実施された手続とその結果を利用したシステム監査の計画についての考察

1. 問題の背景と現状分析

• 現状の課題・問題点:
  • 企業内では、システム監査以外にも、ITに関する様々な監査や評価が、異なる目的・異なる部署によって実施されている。（例：業務監査、内部統制評価（J-SOX）、ISO認証の内部監査、委託先監査など）
  • これらの監査・評価は、対象範囲や着眼点が重複していることが多く、被監査部門は、何度も同じような質問に答え、同じような資料を提出するという、多大な負担を強いられている（監査疲弊）。
  • 監査を実施する側も、他の部署が既に実施した評価結果という「宝の山」があるにも関わらず、それを活用せずにゼロから評価を行い、組織全体として非効率な活動になっている。
  • 他の監査等の結果を利用しようとしても、その品質や信頼性が不明であったり、評価の観点が異なっていたりして、うまく活用できない。
• 変化の必要性の背景:
  • 監査資源の制約と効率化の要求: 限られた監査資源で、増大・複雑化するリスクに効率的に対応するため、組織内の監査・評価活動の重複を排除し、連携を強化する必要性が高まった。
  • 被監査部門の負担軽減: 過度な監査負担は、被監査部門の反発を招き、監査への協力が得られにくくなる。監査部門は、組織全体への貢献という視点から、被監査部門の負担軽減にも配慮する必要がある。
  • 3つのディフェンスラインの連携強化: 内部監査（第三線）が、第一線（現場部門）や第二線（リスク管理・コンプライアンス部門）が行ったリスク評価や自己点検の結果を信頼し、活用する（依拠する）という、3つのディフェンスラインの連携モデルが、リスク管理の標準的な考え方として定着した。

2. 理想像の抽出と具体化

• あるべき理想的な状態:
  • 統合的なアシュアランス計画: 組織内の全ての監査・評価活動（アシュアランス活動）が、重複や漏れのないよう、全社的な視点で調整・計画されている。「アシュアランスマップ」のようなツールを用いて、どのリスクを、どの部門が、いつ、どのように評価するかが可視化・共有されている。
  • 他の監査等を利用するための明確なプロセス: システム監査部門が、他の監査等の結果を利用する際の、明確な判断基準とプロセスを定めている。これには、①利用可能な他の監査等の特定、②その信頼性の評価、③利用範囲の決定、④追加で実施すべき監査手続の計画、といったステップが含まれる。
  • 信頼性のデューデリジェンス: 他の監査等を利用する前提として、その評価を実施した担当者の専門能力、客観性・独立性、そして評価プロセスの妥当性を、事前に厳格に評価（デューデリジェンス）する。この評価結果に基づき、どの程度その結果を信頼（依拠）できるかを判断する。
  • ダイナミックな監査計画の見直し: 他の監査等の結果を評価した結果、当初の想定と異なっていた場合（例：想定外の重大な不備が発見された）、自部門のシステム監査計画を、躊躇なく、かつ迅速に見直すことができる、柔軟な計画プロセスを持っている。
• 克服すべき障壁:
  • 部門間の壁と情報共有の欠如: 各監査・評価部門が、自らの職掌に閉じこもり、他の部門との情報共有や連携に消極的である（セクショナリズム）。
  • 品質への懸念と不信感: 他の部門が実施した評価の品質に対して、監査部門が「専門性が低い」「客観性がない」といった不信感を持ち、利用をためらう。
  • 目的と観点の違い: 他の監査等の目的や評価の観点が、システム監査の目的と異なるため、結果をそのまま利用できない。
  • 評価プロセスの欠如: 他の監査等の結果を利用するための、事前の信頼性評価のプロセスや基準が、監査部門内に確立されていない。
• 利害関係者の視点:
  • 経営層/監査委員会: 組織のリスクが、重複や漏れなく、効率的に監視・評価されているという、全体最適化された保証（アシュアランス）を得られる。
  • 被監査部門: 同じような監査・評価を何度も受ける負担から解放され、本業に集中できる。監査活動全体に対する納得感が高まる。
  • システム監査部門: 他の監査等の結果を活用することで、自部門の監査資源を、より高度で専門的なリスク領域や、他の部門がカバーしていない領域に集中できる。監査の効率性と有効性を飛躍的に高めることができる。

3. 要約

• [200文字]要約:
  組織内では類似の監査・評価が重複し、非効率と負担増を招いている。理想像は、他の監査等の結果を、その信頼性を評価した上で、自らのシステム監査に活用すること。これにより、監査の重複をなくし、限られた資源を重要リスク領域に集中させ、監査の効率と有効性を高める。
• [400文字]要約:
  組織内では、システム監査以外にも様々なIT関連の監査・評価が実施され、重複による非効率が生じている。あるべき理想像は、これらの「他の監査等」の結果を、システム監査で積極的に活用することだ。そのためには、まず他の監査等の信頼性（実施者の能力、プロセスの妥当性など）を評価し、依拠できる範囲を決定する。その上で、自らが実施すべき追加の監査手続を計画することで、監査資源を効率的に配分し、被監査部門の負担も軽減する。
• [800文字]による詳細な考察:
  本問題は、内部監査における「統合的アシュアランス（Integrated Assurance）」という先進的なコンセプトを扱っている。これは、組織内に存在する様々なアシュアランス提供者（第一線、第二線、第三線、外部監査人など）の活動を調整し、経営層や取締役会に対して、重複や漏れのない、全体として最適化された保証を提供しようとする考え方である。システム監査は、この大きなパズルの中の重要なピースとして、他のピースとの連携を求められている。
  • あるべき理想像とは、「Combined Assuranceモデルに基づく、協調的な監査エコシステム」の構築である。このモデルでは、監査委員会や経営層の監督の下、各アシュアランス提供者が、それぞれの活動計画と結果を共有し、連携する。システム監査部門は、このエコシステムの中核的なプレーヤーとして、自らの年度監査計画を策定する際に、まず「アシュアランスマップ」を参照する。マップ上で、どのリスク領域が、既に他のアシュアランス提供者によって、どの程度のレベルでカバーされているかを確認する。そして、他の評価結果を信頼（依拠）できると判断した領域については、自らの監査手続を軽減し、逆に、誰もカバーしていない、あるいは評価が不十分な領域に対して、監査資源を重点的に投入する。
  • 理想像実現へのアプローチとして、システム監査人は、他の監査等の結果を利用するための、厳格なデューデリジェンス・プロセスを確立する必要がある。評価のポイントは、①実施者の適格性：その担当者は、評価対象に関する十分な専門知識と経験を持っているか。客観性を保てる独立した立場にあるか。②プロセスの規律：評価は、体系的な計画に基づき、十分かつ適切な証拠を入手し、文書化されているか。③結果の妥当性：指摘事項は、事実に基づき、根本原因にまで踏み込んでいるか。フォローアップは適切に行われているか。これらの評価に基づき、システム監査人は「どの程度、他者の業務に依拠できるか」を専門家として判断し、その判断の根拠を監査調書に明確に記録する責任を負う。
  • 期待される効果は、監査のサイロ化を打破し、組織全体として、より効率的かつ効果的なリスク監視体制を構築できることである。
  • 考慮すべきリスクは、安易な依拠による監査品質の低下である。他の監査等の結果を鵜呑みにし、自ら検証することを怠れば、重要なリスクを見逃す可能性がある。監査人は、他者の業務を利用する場合でも、最終的な監査意見に対する全責任は自らが負うことを、常に肝に銘じておく必要がある。