【事例集】【AU-R03-1-PM2-Q2】他の監査や評価として実施された手続とその結果を利用したシステム監査の計画— 論文の補助に使える事例ヒント集

🍀概要

　本ページは、システム監査技術者試験の論述問題学習用に、一次情報を出所明示のうえ引用・要約した資料です。AI（ChatGPT 等）を用いた再構成を含み、正確性・最新性を保証しません。必ず原典をご確認ください。IPA 等の出題機関・規格団体とは無関係です。権利上の問題がある場合はお問合せまでご連絡ください。

🧾問題・設問（AU-R03-1-PM2-Q2）

　出典：情報処理推進機構 システム監査技術者試験 令和3年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
　他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について
■内容
　企業におけるITの利活用は，経営や業務に幅広い影響を与えている。そこで，システム監査以外に，社内規程に基づく業務監査，法令に基づく内部統制の経営者評価，認証取得・維持のための内部監査などにおいて，ITに関する様々な監査や評価が実施されている。このような監査や評価として実施された手続とその結果(以下，他の監査等という)をシステム監査で利用することは，システム監査の効率向上だけではなく，監査対象部門の負担を軽減する上でも有効である。
　他の監査等を利用する場合には，システム監査の計画策定時に，当該システム監査の目的に照らして利用可能な他の監査等があるかどうかを検討する必要がある。その上で，他の監査等が利用できるかどうかを検討し，利用可能と想定される他の監査等の範囲を特定する。
　また，他の監査等を実施した担当者の能力・独立性，実施された手続の適切性，指摘事項のフォローアップの妥当性などを踏まえて，他の監査等が当該システム監査の目的に照らして想定どおり利用できるかどうかを評価することが重要になる。評価した結果，例えば，システム変更後の業務が含まれていなかったり，想定外の新たな指摘事項が発見されたりなど，想定どおりではなかった場合には，当該システム監査の計画を見直す必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

📗設問

■設問ア
　あなたが携わった組織において，計画又は実施したシステム監査の目的・概要，及び利用可能と想定又は利用した他の監査等の概要を，800字以内で述べよ。
■設問イ
　設問アで述べた他の監査等について，システム監査で利用可能と想定した理由を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べた他の監査等が利用できるかどうかを評価するためのポイント，及び想定どおりではなかった場合に見直すべきシステム監査の計画の内容について，700字以上1,400字以内で具体的に述べよ。

📚事例集

ChatGPT Deep Researchを活用して、問題文の内容に近い、代表5業種の事例を分析した結果です。論文執筆のヒントになるものと思われます。

分析結果URL
https://chatgpt.com/s/dr_68aaee79908c81919037a8c894db5e5f

製造業 (Manufacturing Industry)

1. 要約（Summary）
   製造業のシステム監査計画では、生産システムや制御システム(OT)の特性を踏まえ、既存の品質監査や内部統制監査結果を有効活用することが重要です。他の監査結果の独立性や手続の適切性を評価し、信頼できる部分は監査範囲圧縮に活かします。一方、依拠が難しい領域は追加テストで補完し、リスク評価を見直す計画変更も必要ですmeti.go.jpmeti.go.jp。※本パックは公式基準等meti.go.jpmeti.go.jpに基づき再構成した教育用資料であり、組織固有の事情による適用限界があります。
2. 現場課題（Field Challenges）
   製造現場ではIT部門と工場現場部門の連携不足や、老朽化した製造装置の存在が課題です。生産ライン停止を避けるため監査の時間帯確保が難しく、またOT領域では安全重視の文化からIT監査への抵抗感もあります。既存の品質管理監査はあるもののIT視点は弱く、システム監査人は現場工程の理解不足による監査ギャップに注意が必要です。さらにサプライチェーン全体でDXが進む中、自社のみならず取引先を含むリスク管理体制の未成熟も課題となりますmeti.go.jp。
3. リスクと法規制/基準マッピング（Risks & Regulations/Standards）

• 生産停止リスク – 工場の制御システムがサイバー攻撃等で停止すれば事業継続に重大な支障をきたしますmeti.go.jp。経産省ガイドラインも「いかなる工場も攻撃を受ける可能性がある」と指摘しBCPの重要性を強調meti.go.jp。関連法規として労働安全衛生法や製造物責任法が安全確保を要求し、企業は安全・品質維持義務を負いますmeti.go.jp。
• 品質データ不正リスク – 製造過程の検査データ等の改ざんや逸失は製品不良・リコールに直結します。ISO9001では内部監査を義務づけ継続的改善を促しており、ITも含めた品質マネジメント体制整備が求められます（ISO9001:2015 9.2）。また不正競争防止法により製造データ等の営業秘密漏えいも法的問題となります。
• 知的財産漏えいリスク – CAD図面や製造ノウハウが流出すれば競争力喪失につながります。情報セキュリティ管理策としてISO/IEC27001などによるISMS認証取得が有効で、経産省「サイバーセキュリティ経営ガイドライン」でも機密情報の適切保護を経営課題として位置付けていますmeti.go.jp。

4. 経営・監査上の有効性（Management/Audit Effectiveness）
   他の監査結果を活用することで、経営層は重複監査の削減によるコスト・工数圧縮と、内部統制の一貫性確保が図れます。システム監査人にとっても、有効な既存監査結果はリスク評価の裏付けとなり、監査範囲を重点領域に絞り込み可能ですmeti.go.jp。例えばISO27001監査で十分統制されている項目は詳細テストを省略し、リソースを脆弱な制御系ネットワーク部分の検証に集中できます。結果として監査の効率・効果が向上し、経営層への提言の質が高まります。他方、誤った監査結果に頼るとリスク見逃しの恐れがあるため、他監査の質を吟味した上で活用することが肝要です。
5. 統制設計の“芯” （Core of Control Design）
   製造業のIT統制設計の中心は「生産継続と安全確保」にありますmeti.go.jp。具体的には、①設備稼働監視と冗長化 – 生産管理システムやSCADAの異常検知アラームとバックアップ体制によりライン停止を未然防止。②変更管理 – PLCプログラムや製造条件の変更は承認フローとバックアウト手順を定め、品質への影響を管理。③アクセス管理 – 工場ネットワークと基幹ITの分離や、多要素認証により不正侵入を防止meti.go.jp。④データ完全性 – 製造実行システム(MES)等のログ改ざん防止策や定期点検で品質データの真正性を保証。これら統制の芯を設計する際、国際標準IEC62443やCOBIT2019の管理目的を参照し、IT–OT両面のバランスを取ることが重要です。
6. 監査手続（テスト設計）
   システム監査人はまず既存の品質監査・IT監査報告書を精査し、重要な統制不備や是正状況を把握します。信頼できる分野はウォークスルー程度で確認し、リソースを新規リスク領域のテストに配分します。具体的手続として、構成管理のチェックでは製造設備の制御ソフト更新記録をサンプリングし、無許可変更がないかを検証します。アクセス権限レビューでは工場ネットワークの管理者権限が適切に付与・定期見直しされているかを内部統制監査結果と照合しつつ追加検証します。災害対策テストではバックアップ電源や代替生産ラインへの切替訓練記録を確認し、BCPが機能するか評価します。さらに必要に応じ統合監査の一環で業務監査人と合同ヒアリングを行いmeti.go.jp、ITと現場手続の両観点から統制有効性を検証します。
7. 体制・合意形成（Organization & Consensus Building）
   監査計画段階で、情報システム部門だけでなく製造部門の責任者とも協議し、監査目的と範囲を共有します。製造現場への監査では、安全・品質への影響が懸念されるため、事前に生産計画を考慮したスケジュール調整が不可欠です。経営陣からはIT統制強化のメッセージを発信してもらい、現場の協力を得る下地を作ります。また、品質保証部門や内部監査部門との三様監査の連携により、知見の相互活用と指摘事項のフォローアップ整合性を図りますiiajapan.com。他監査結果を利用する場合、その提供元と守秘義務や結果利用範囲について合意を形成し、必要なら共同で現場インタビューを実施します。独立性確保のため外部専門家の協力も検討しmeti.go.jp、ITとOTに通じた体制構築で監査の実効性を高めます。
8. KPI（重要業績評価指標）

• システム起因の生産停止件数 – 年間でITシステム障害やサイバー攻撃により工場ラインが停止したインシデント件数。製造業ではゼロが理想で、発生すれば統制不備の兆候と判断します。
• 他監査結果活用率 – 本システム監査で参照・利用できた他監査手続結果の割合（全監査項目中何％か）。高いほど監査効率向上を示しますが、過度に高い場合は依存リスクも点検します。
• 監査指摘事項改善率 – 過去の監査指摘に対し是正措置が完了した割合。改善率100%が望ましく、未改善が多い場合は統制の持続的有効性に疑義が生じます。
• 統合監査実施数 – 業務監査とシステム監査の合同（統合）監査を実施した回数。定期的な統合監査は組織横断リスクの把握に有効で、この数が増えるほど監査の総合力向上を示します。
• IT資産の脆弱性低減率 – 工場ネットワーク上の端末やサーバに存在する重大な脆弱性の件数削減率（前年比）。脆弱性管理が適切かつ他監査（例：セキュリティ診断）結果を活用できているかを測る指標です。

9. 監査リスクと反証（Audit Risk & Counter-evidence）
   他の監査結果を流用する際のリスクとして、当該監査の独立性や範囲不足により重要な不備を見逃す可能性があります。例えば内部品質監査がIT観点を十分含まない場合、それを鵜吞みにするとシステム上の欠陥が潜伏し得ます。監査人は専門的懐疑心を持ち、反証テストを設計してリスクを緩和します。具体的には「他監査で問題無し」とされた統制についてもサンプルチェックを行い、結果の妥当性を裏付ける証拠を収集します。仮に他監査結果と相反する所見が得られた場合は、監査計画を即時に見直し、当該領域を重点調査に切り替えます。また、他監査人との情報共有不足によるリスクとして重要事項の抜け漏れが挙がりますco-warc.warc.jp。これに対し監査計画段階でリスク評価や重要領域を相互に確認し合うことで反証的に網羅性を確保しますiiajapan.com。万一計画通り活用できない場合でも柔軟に追加監査手続を組み込み、想定外のリスクに対して監査証拠を収集・評価する姿勢が求められます。
10. 参考リンク（References）

• [1] 経済産業省「システム監査基準 (令和5年改訂)」meti.go.jpmeti.go.jp
• [2] 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver.1.0」（2022年）meti.go.jpmeti.go.jp
• [3] 経済産業省/IPA「サイバーセキュリティ経営ガイドライン Ver2.0」(2017年)meti.go.jp
• [4] ISO 9001:2015 (JIS Q 9001:2015) – 9.2項に内部監査の要求事項を規定（品質マネジメントシステムの維持改善）
• [5] 内部監査人協会「他部門連携事例（内部監査と他監査の協働）」iiajapan.comco-warc.warc.jp

11. 作成日・最終閲覧日 – 2025-08-23 / 2025-08-23

小売業 (Retail Industry)

1. 要約（Summary）
   小売業のシステム監査計画では、店舗業務監査やPCI DSS適合性評価など他の監査結果を活用し、顧客データ保護や販売システムの統制を効率的に検証します。既存監査がシステム監査の目的に適合するか（独立性・手続の妥当性・フォローアップ状況）を見極め、信頼できる部分は再検証を省略します。信用できない領域については監査範囲を拡大し、追加のテストを計画します。また他監査利用が想定通りに行えない場合、リスク評価の再検討や補完的手続の実施を柔軟に織り込みます。
2. 現場課題（Field Challenges）
   小売業界では店舗数や従業員数が多く、POSシステムやECサイトなど多岐にわたる情報システムが存在します。現場課題として、店舗現場でのITリテラシー不足や人員の入替わりにより、基本的なIT統制（パスワード管理等）の徹底が難しい点があります。また顧客個人情報を大量に扱うため、プライバシー保護への社会的要求が高い一方、中小小売では専任の情報セキュリティ担当不在も多く、統制環境のばらつきが課題です。さらにクレジットカード決済を扱う場合、PCI DSSなど専門的要件への対応負荷が大きく、現場ではコスト優先で安全対策が後回しになる懸念もあります。監査人はこうした現場の実態を踏まえ、店舗訪問やアンケート等で他監査には現れにくい人的リスクにも目を配る必要があります。
3. リスクと法規制/基準マッピング（Risks & Regulations/Standards）

• 個人情報漏えいリスク – 小売業の会員情報や購買履歴が漏えいすれば顧客に甚大な被害を与え、社会的信用も失墜します。日本の個人情報保護法は事業者に対し「個人データの漏えい、滅失又は毀損防止のため必要かつ適切な安全管理措置」を義務付けていますmhlw.go.jp。経済産業分野のガイドラインでは組織体系立てた安全管理措置を求めppc.go.jp、違反時には指導や公表の可能性があります。監査ではプライバシーマーク等第三者認証の有無も確認ポイントです。
• クレジットカード不正利用リスク – 店舗・ECでのカード決済において、不正アクセスによりカード情報が流出し悪用される事件が増加しています。日本では改正割賦販売法により、カード加盟店はカード番号等の適切な管理や不正利用防止策を講じる法的義務がありますj-credit.or.jp。具体的には「カード情報を保存しない（非保持化）かPCI DSS準拠が必要」とされwww2.uccard.co.jp、違反すれば行政指導や最悪加盟店契約の解消に至ります。監査ではPCI DSS監査結果や決済代行会社のセキュリティ報告を活用しつつ、遵守状況を評価します。
• 売上・在庫データ不整合リスク – POSシステムや在庫管理システムの不備により売上計上漏れや在庫差異が生じると、財務報告の信頼性を損ないかねません。金融商品取引法(J-SOX)に基づき上場小売企業はIT全般統制・業務処理統制を整備し、経営者評価と外部監査を受けています。IT全般統制は財務報告に関わるデータとプログラムの信頼性を支える基盤統制でありpwc.com、改訂指針ではログ監視やランサム対策等サイバー対応も求められますkpmg.com。監査ではJ-SOX評価結果（特に販売・在庫システムの統制有効性）を参照し、不備指摘箇所は重点的に再検証します。

4. 経営・監査上の有効性（Management/Audit Effectiveness）
   小売企業にとって、既存の監査・評価結果をシステム監査に活かすことは経営資源の有効活用につながります。例えば、内部監査部門が実施した店舗オペレーション監査でPOSレジ締め処理の統制不備が指摘され是正された場合、システム監査人は改善状況のフォローに留めることで重複を避けられます。経営上は各種コンプライアンス（個人情報・決済セキュリティ等）の遵守状況を一元的に把握でき、三様監査（内部監査・会計監査・監査役）の連携が進むことでガバナンス強化にも寄与しますsoico.jp。監査人にとっても、PCI DSS適合証明など信頼性の高い証跡は監査証拠となり得、効率的に監査結論を裏付けられます。他方、他監査に依存しすぎると新たなリスクの見落としが懸念されるため、適切なバランスで有効性を享受します。
5. 統制設計の“芯” （Core of Control Design）
   小売業における情報システム統制の核心は「顧客情報の保護と業務プロセスの正確性確保」です。具体的には、①アクセス権限管理 – POSや会員DBへのアクセスを職責に応じ最小権限とし、退職・異動時の権限解除手続きを設計します（個人データ安全管理措置の基本）。②暗号化・マスキング – クレジットカード番号等のセンシティブ情報は保存しないか即時トークン化し、やむを得ず保存時も強力な暗号化で保護しますwww2.uccard.co.jp。③取引ログ監視 – POS操作ログやECの管理者操作ログを定期分析し、不正返品やポイント不正利用など異常パターンを検知できる統制を組み込みます。④データ整合性チェック – 売上と在庫の突合作業を日次・月次で自動化し、不一致時には本部へアラート送信する仕組みを導入します。これら統制の芯を支えるため、情報セキュリティ管理基準（ISO27002）やITガバナンスフレームワーク(COBIT)の関連管理策を参照して設計すると効果的です。
6. 監査手続（テスト設計）
   監査人は計画段階でまず他監査結果の適用可能性を検討します。例えば、前年実施のPCI DSS監査報告からカード情報の保存状況やネットワーク分離状況を把握し、重大な未遵守項目がないか確認します。適切に遵守されている項目（例：カード情報非保持化が実現済みwww2.uccard.co.jp）については詳細テストを簡素化します。一方、店舗内部監査で指摘があった領収書管理不備などは是正報告書を入手し、現地店舗監査で改善状況を抜き取り検証します。さらにIT全般統制についてはJ-SOX監査人の評価結果を参照し、特に変更管理やバックアップ管理で不備が指摘された領域を重点サンプルテストします。フォローアップとして、過去の情報漏えいインシデント報告書を監査証跡に用い、再発防止策の実施有無を確認することも重要です。最後に、他監査でカバーされない新興リスク（例：ECサイトのAPI連携による外部委託先リスクmeti.go.jp）について追加のアクセス制御テストやペネトレーションテスト結果の確認を計画に組み込み、監査手続を網羅します。
7. 体制・合意形成（Organization & Consensus Building）
   小売業では本部部門（情報システム・経営企画）と店舗現場との連携が重要です。監査計画策定時に、本部の内部監査担当や個人情報保護管理者と打ち合わせを行い、他監査の結果共有とリスク評価の擦り合わせを行いますiiajapan.com。特にカード情報の扱いについては、カード会社による監査や指導が入る場合もあるため、その範囲とシステム監査との重複を調整します。さらに店舗マネージャーには監査の目的と内容を事前説明し、協力を取り付けます。監査役等とも重要論点を共有し、必要に応じて三様監査の会合でシステム監査計画を報告、意見を反映しますsoico.jp。なお、他監査結果を利用する際には提供元部署と守秘義務や使用範囲について合意形成し、報告書の誤用防止に努めます。監査チームには小売店舗業務に精通したメンバーを含め、実務に即した監査視点を確保します。独立性に疑義がある領域（例えば内部者が実施した監査結果利用）については、外部コンサルの助言を得るなどして客観性を補完します。
8. KPI（重要業績評価指標）

• 顧客データ漏えい件数 – 一定期間内に検知された顧客個人情報の漏えいインシデント数。これは情報セキュリティ統制の有効性を示す直接的な指標で、ゼロが目標値です。
• クレジット決済不正被害額 – 店舗・ECで発生したクレジットカード不正利用による被害金額。PCI DSS遵守や不正検知システムの効果を測る指標で、減少傾向であることが望ましいです。
• 監査所見重複率 – システム監査と他監査で同様の指摘事項が重複した割合。高すぎる場合、監査間の調整不足や改善未徹底を示唆します。低いほど監査リソースの最適活用と総合統制評価ができている状態です。
• 是正措置完了率 – 監査指摘に対して是正措置が完了した割合（期限内完了ベース）。この率が高いほどフォローアップ体制が有効に機能し、内部統制が継続的改善されていると評価できます。
• 他監査結果利用比率 – 当該システム監査で参照・利用した他監査の件数割合。計画段階で想定した活用率に近いほど監査計画の実行度が高いことを示し、著しく低い場合は当初リスク評価の見直しが必要だったことを意味します。

9. 監査リスクと反証（Audit Risk & Counter-evidence）
   他の監査に依拠する際のリスクとして、範囲外リスクの看過が挙げられます。例えば、内部監査が業務手続に注力するあまりITセキュリティ面を見逃していた場合、その結果だけに頼るとシステム的脆弱性を見過ごす可能性があります。監査人はこれに対し、反証的アプローチとして独自のリスク評価を併せて実施します。具体的には、たとえ「問題無し」との他監査結果があっても重要データの保護状況などについて独自にインタビューや現場観察を行い、食い違いがないか検証します。独立性リスクについても、例えば部門の自己点検結果を利用する場合はバイアスを疑い、サンプル再テストで反証を試みます。フォローアップが不十分な監査結果を鵜呑みにすると過去の指摘未改善が残存するリスクもあります。このため他監査で指摘された改善策の実施状況を必ず確認し、未実施であれば監査計画に組み込みます。想定通り他監査が活用できない場合、速やかに計画変更し追加の監査範囲や手続きを設定しますco-warc.warc.jp。例えばPCI DSS未遵守項目が判明した場合、当初計画を修正し重点監査項目に格上げするなど、監査リスクに対応した柔軟な反証措置が求められます。
10. 参考リンク（References）

• [1] 個人情報保護委員会「個人情報保護法ガイドライン (通則編)」第III章 安全管理措置mhlw.go.jp
• [2] 経済産業省「割賦販売法（改正）に基づく監督指針」カード情報漏えい防止策j-credit.or.jpwww2.uccard.co.jp
• [3] IPA「内部統制のためのシステム管理基準 追補版 (IT統制ガイダンス)」（2020年）kpmg.com
• [4] 内部監査協会「監査役等と内部監査部門の連携について」報告書soico.jp
• [5] JIPDEC「PCI DSS クイックリファレンスガイド」v3.2.1 – クレジットカード情報保護の国際基準概説

11. 作成日・最終閲覧日 – 2025-08-23 / 2025-08-23

物流業 (Logistics Industry)

1. 要約（Summary）
   物流業のシステム監査計画では、輸配送や倉庫管理に関わる他監査（例：ISO22301事業継続監査、内部業務監査）の結果を活用し、広域にまたがるリスクを網羅的に評価します。既存監査がシステム監査目的に合致するか（独立性・網羅性・手続妥当性）を検討し、有用な部分は重複を避け計画に組み込みます。他の監査でカバーされないサプライチェーン全体のリスクについては監査範囲を拡大し補完手続きを実施します。想定通り既存結果を活用できなかった場合でも、対象拡大や追加検証、リスクの再評価など機動的に計画を見直し、物流の特性に即した監査を遂行します。
2. 現場課題（Field Challenges）
   物流業界では、トラック輸送から国際輸送まで多層の業務プロセスが存在し、システムも輸配送管理システム(TMS)、倉庫管理システム(WMS)、車載IoT等多岐にわたります。現場課題として、24時間稼働やジャストインタイム配送の中でシステム停止許容時間が極めて短いことがあります。監査のためのシステム停止テストが困難で、平常時のデータから間接的に評価せざるを得ない場合もあります。また下請業者や海外拠点などサプライチェーンの一端企業にもサイバー対策が不十分だと、自社に波及するリスクがありますmeti.go.jpmeti.go.jp。しかし中小事業者まで含めた対策は現場裁量に委ねられ、統制が行き届きにくい実情があります。さらに、物流現場では従業員のITリテラシーに差があり、不正持ち出しや誤操作のリスクも潜在します。監査人はこうした末端現場の状況や国際物流の法規制差異等も考慮し、他監査結果に表れないリスクを補足する必要があります。
3. リスクと法規制/基準マッピング（Risks & Regulations/Standards）

• 配送停止リスク – 倉庫管理システムや配車システムの障害により配送網が停止すると、社会インフラに影響が及びます。物流は政府指定の重要インフラ14分野の一つでありjapansecuritysummit.org、その機能停止は国民生活に大きな混乱を招きます。国土交通省策定の「物流BCP策定ガイドライン」でも、大規模災害時や事故時に物流機能を維持・早期復旧する計画策定を推奨していますwarex.ai。ISO22301(事業継続管理)も参考基準となり、監査ではBCP訓練結果や予備経路確保策を評価します。
• 情報漏えいリスク – 運送先住所や在庫情報など物流データの漏えいは顧客企業の信用や安全保障に影響します。例えば危険物輸送経路が漏れればテロ悪用リスクもあります。個人情報保護法により配送先個人情報の保護義務が課されmhlw.go.jp、また経済安全保障推進法では重要物資の物流を担う企業に対しサイバーセキュリティ確保措置が求められ得ます。ISO27001やNIST SP800-53などの管理策基準を参照し統制を整備すべき領域です。監査では暗号化やアクセス制御の実装状況を他の情報セキュリティ監査結果meti.go.jpと照合し、不備がないか確認します。
• サプライチェーン攻撃リスク – 下請物流会社やITベンダーがサイバー攻撃の踏み台となり、自社システムが侵害される可能性があります。経産省「サプライチェーンセキュリティ対策」指針では、自社のみならず取引先・委託先を含めた包括的対策の必要性を強調していますmeti.go.jpmeti.go.jp。例えば大手物流会社が利用する通関システムのITベンダーからマルウェア侵入した事例もあり、監査では委託先管理（契約上の安全対策義務や監査報告取得）を重点評価します。関連して情報通信分野の安全保障ガイドライン等も参照基準となります。

4. 経営・監査上の有効性（Management/Audit Effectiveness）
   物流企業の経営層にとって、他監査結果の活用は全社リスクを俯瞰する有効な手段です。たとえば、業務監査で指摘された積荷管理の問題にIT要因が絡む場合、システム監査計画に織り込むことで原因究明が進みます。またISO認証取得済みであればそのサーベイランス監査報告を参考にすることで、国際水準に照らした統制状況を把握できます。監査人にとっても、輸配送プロセスなど広範な領域を短期間で監査する際、既存評価結果を使えば効率向上と重要リスクへの注力が可能ですmeti.go.jp。一方、他監査との二重チェックで抜け漏れを防ぐ効果も期待できます。例えば内部監査とシステム監査が協働しmeti.go.jp、異なる視点で重要拠点の在庫データ管理を評価すれば信頼性が高まります。逆に、他監査が形骸化している場合は誤った安心感を与えるリスクもあり、監査人は慎重に有効性を見極めて活用します。
5. 統制設計の“芯” （Core of Control Design）
   物流業のIT統制設計の核は「途絶えない物流サービスとデータ正確性の保証」です。主要な芯として、①業務継続管理 – 輸配送システムの二重化や定期的な災害訓練により、道路封鎖やシステム障害時も迂回ルート・手動手配で配送継続できるよう設計しますmlit.go.jp。②リアルタイム追跡 – 荷物追跡データの整合性確保とリアルタイム更新を統制し、荷物紛失や誤配送を早期検知・対処可能にします。③委託先管理 – 下請業者やITベンダーとの契約に安全管理義務条項を盛り込み、定期的に遵守状況を監査・評価する仕組みを設けますmeti.go.jp。④アクセスコントロール – 倉庫管理システム等へのアクセスを役割別に制限し、特に大量データ抽出や変更が可能な管理者権限は厳格に管理します。⑤輸送機器セキュリティ – 車載端末やIoTセンサーの認証・更新を適切に統制し、不正アクセスから輸送経路情報や車両制御を守ります。これらの芯となる統制は、IPAやNISCのガイドラインmeti.go.jp、および業界標準（例えば物流連ガイドライン）に照らして整合性を確保します。
6. 監査手続（テスト設計）
   システム監査人は他の監査結果を参照しつつ、物流IT固有のリスクに対応したテストを設計します。まず事業継続計画(BCP)について、既存のISO22301監査報告やBCP訓練記録を確認し、主要物流拠点での代替手段準備状況を評価します。不備が指摘されていれば現地ヒアリングを追加し改善状況を検証します。アクセスログ監査では、内部監査で選定された重要配送拠点のシステム利用ログを取得し、アクセス権限外の操作や深夜の不審ログインがないかIT監査ツールで分析します。サプライヤー監査として、主要委託先のセキュリティ評価結果（他社監査や自己診断結果）を入手し、例えばクラウド型在庫システム提供企業の認証取得状況(ISO27001等)や侵入テスト報告を確認します。そこで懸念があれば監査計画に組み込み直接インタビューや追加証拠入手を行います。さらにインシデント対応では、過去の配送遅延や情報漏えいインシデント報告書を分析し、再発防止策の実施有無を検証します。他監査のフォローアップ状況も踏まえ、必要ならば現場のドライバーや倉庫担当者へのアンケート調査など柔軟な監査手続を追加して実態を把握します。
7. 体制・合意形成（Organization & Consensus Building）
   物流企業では、本社の情報システム部門に加え各物流拠点の現場管理者、さらには関連する下請・委託先とも協調した監査体制が求められます。監査計画段階で経営層およびリスク管理部門と協議し、全社のリスクマップを共有して優先順位付けします。加えて、内部監査部門や安全保障担当部署があれば合同で会議を開き、他監査との役割分担を調整します。重要インフラとしての認識を全員が持つよう、監査の意義（社会的責任の遂行）を周知します。監査実施に際しては、各物流センター長に事前連絡し協力を得るとともに、必要に応じて取引先企業にも監査目的を説明しデータ提供等の合意形成を行います。情報共有に関しては、監査結果は速やかに経営陣および関係拠点へフィードバックし、横断的な課題（例：全拠点共通のシステム不備）があれば関係者会議で改善策を討議しますiiajapan.com。また、監査役や会計監査人とも物流ITリスクについて事前に意見交換し、必要なら専門家（例えばサイバーセキュリティの外部顧問）の助言を得る体制を取りますmeti.go.jp。
8. KPI（重要業績評価指標）

• 配送遅延ゼロ時間率 – 全配送時間中、システム障害やIT要因に起因する配送遅延が発生していない時間の割合。高いほどシステムの可用性確保統制が有効に機能していることを示します。
• BCP年次訓練実施率 – 主要物流拠点で年間計画された事業継続シナリオ訓練の実施率（計画件数に対する実施完了件数）。100%に近いほど有事対応体制の検証が徹底されています。
• 委託先監査カバー率 – リスク評価上重要な委託先企業（下請・ITベンダー）に対し、年次で監査又は自己評価結果入手ができた割合。高いほどサプライチェーン全体の統制把握ができている状態です。
• 情報漏えいインシデント件数 – 年間で報告された物流情報システムからの情報漏えい件数。ゼロが目標であり、発生した場合は統制上の重大な欠陥を示します。併せてインシデント対応の適切さも監査で評価されます。
• 監査指摘是正完了期間 – 監査指摘事項について是正策が完了するまでの平均所要日数。短縮傾向にあればフォローアップが機能し経営の改善意識が高いと判断できます。

9. 監査リスクと反証（Audit Risk & Counter-evidence）
   物流業のシステム監査では、監査対象範囲が広範囲かつ多層であるため、他監査結果のみに頼ると未知のリスクを見逃す可能性があります。例えば、倉庫現場の業務監査結果には表れないサイバー攻撃脅威や海外拠点特有のITリスクが潜在する場合があります。監査人はリスク・アプローチで反証を試み、補完的インタビューや追加調査を組み込んでこうした未知リスクを洗い出します。特にサプライチェーン全体では、小規模業者にもリスクが存在することを認識しmeti.go.jp、必要に応じて抽出監査やセキュリティ自己診断を要請します。他監査の独立性に疑念がある場合（例：グループ会社監査など）は、第三者レビューを活用して反証します。また、他監査で指摘ゼロだった領域でも「本当に問題がないか」を検証するため、例えばアクセス制御の有効性についてダブルチェックを行い、相互に監査証拠を突き合わせます。他監査活用が計画通りにいかない場合、監査人は迅速に計画を改訂し、重点を見直します。例えば委託先が監査協力を拒んだ場合、その領域を内部で直接監査する計画に切り替え、代替証拠（ログや契約書）を収集する戦略を立てます。こうした柔軟な反証アプローチにより、監査リスクを低減しつつ物流システムの健全性を評価します。
10. 参考リンク（References）

• [1] 経済産業省「重要インフラ14分野の定義」japansecuritysummit.org（物流は重要インフラの一つ）
• [2] 国土交通省「荷主と物流事業者が連携したBCP策定ガイドライン」(2020年)mlit.go.jpjta.or.jp
• [3] 経済産業省/IPA「サイバーセキュリティ経営ガイドライン Ver3.0」(2022年)meti.go.jpmeti.go.jp
• [4] 内閣サイバーセキュリティセンター(NISC)「重要インフラのサイバーセキュリティ行動計画 (第5次)」(2021年) – サプライチェーンリスクへの対応策を含む
• [5] JIS Q 22301:2020 (事業継続マネジメントシステム) – 物流分野でのBCM策定と監査の国際規格

11. 作成日・最終閲覧日 – 2025-08-23 / 2025-08-23

医療業 (Medical Industry)

1. 要約（Summary）
   医療業界のシステム監査計画では、医療情報ガイドラインに沿った内部監査結果や、個人情報保護監査（プライバシーマーク等）の成果を活用して電子カルテ等の安全管理を評価します。既存監査がシステム監査の目的に合致しているか（独立性・網羅性・フォローアップ状況）を精査し、有用な部分は監査計画に取り込みます。他の監査結果だけでは不足する領域（例：サイバー攻撃対策や診療データの真正性確保）は追加手続で補完します。想定どおり活用できなかった場合でも、監査範囲の拡大やテスト計画変更、リスク評価の見直しにより柔軟に計画を修正し、患者安全と情報保護を両立する監査を実現します。
2. 現場課題（Field Challenges）
   医療機関では診療優先の文化からIT統制が二の次になりやすい現場課題があります。例えば、医師や看護師は利便性を求めて非公認アプリを使う「シャドーIT」が発生しやすく、内部統制から漏れがちです。また、多忙な現場では定期パスワード変更など基本統制が形骸化する例もあります。さらに電子カルテの稼働停止は診療停止を意味し、監査時でもシステム停止テストが許されない制約があります。既存の内部監査結果があっても表面的なチェックに留まり、IT専門知識不足から高度サイバーリスクを見逃している懸念もあります。監査人はこうした現場制約や文化的背景を踏まえ、監査計画を立案しなければなりません。
3. リスクと法規制/基準マッピング（Risks & Regulations/Standards）

• 患者情報漏えいリスク – 病院の電子カルテや検査データが漏えいすると患者のプライバシー侵害や差別被害に直結します。個人情報保護法では要配慮個人情報として健康情報の厳重な保護が義務付けられmhlw.go.jp、厚労省の「医療情報システム安全管理ガイドライン」は定期的なシステム監査実施と迅速な改善措置を求めていますmhlw.go.jp。違反すれば行政指導や社会的制裁を招くため、監査ではアクセス制御や暗号化の実装状況を重点確認します。
• 診療中断リスク – システム障害やランサムウェア攻撃で電子カルテが使用不能になると診療継続が困難となり、患者の生命にも関わります。医療法施行規則により診療記録の適切管理義務があり、ガイドラインでは非常時に備えた手順策定と訓練も推奨されています。ISO22301(BCM)や医療情報ガイドラインで求められるように、定期バックアップや予備系への切替訓練が統制上の肝です。監査では災害対策訓練記録や非常マニュアル整備状況の評価が必要です。
• データ改ざんリスク – 電子カルテの内容改ざんや誤記入は誤治療や医療事故につながります。医療情報ガイドラインは「電子化文書は訴訟時の証拠能力を有する正確さを担保せよ」と述べておりmhlw.go.jp、JIS Q 17020（医療情報システム監査基準）でもログ監査や電子署名による真正性確保を要求しています。監査ではシステムの監査証跡（アクセスログや改訂履歴）の取得・保存状況を点検し、改ざん防止策（電子署名やチェックサム）が実装されているか評価します。

4. 経営・監査上の有効性（Management/Audit Effectiveness）
   病院経営において、他の認証や監査結果（例えばプライバシーマーク取得状況や医療機能評価のIT管理項目）の活用は、システム監査の効率化と信頼性向上に寄与します。経営層は監査結果を統合的に把握することでリスク対策の抜け漏れを防ぎ、患者への説明責任を果たしやすくなります。システム監査人にとっても、例えば前年の情報セキュリティ監査で指摘ゼロだった領域は低リスクと判断し、重点を他に移すことでリソースを節約できます。一方、他監査（内部監査等）との協働で新たな発見が生まれることもあります。例えば、医療安全管理監査で指摘されたインシデント報告漏れがITシステム操作性に起因すると判明すれば、システム改善提言につなげられます。反面、他監査結果が形式的だった場合には誤った安心感を与える恐れもあり、監査人は必要に応じて自ら再評価する慎重さが求められます。
5. 統制設計の“芯” （Core of Control Design）
   医療分野のIT統制設計の中心は「患者の安全とプライバシーを守ること」です。具体的には、①アクセス権限の最小化 – 患者データへのアクセスを職種・役割ごとに必要最小限に設定し、診療に不要な人が閲覧できないよう統制します。定期的な権限見直しと退職時の即時剥奪も含みます。②監査ログ管理 – 電子カルテやオーダリングシステムへのアクセスログを詳細に記録・保存しmhlw.go.jp、不正アクセスや不適切利用を監査できる状態にします。厚労省ガイドラインは少なくとも毎日1回のアクセス監視を推奨しています。③データ完全性と真正性 – 診療記録の改ざん防止策として電子署名や履歴保存を実施し、記録改訂時は誰がいつ何を変更したか検証可能にしますmhlw.go.jp。④継続運用対策 – 非常時用の予備システムや紙運用への切替手順を用意し、定期訓練します。⑤外部接続管理 – 医療機器や院外連携システムとの接続はリスク評価の上で限定し、持込PC禁止やネットワーク分離など物理的・論理的セキュリティを確保します。これらの統制設計は、厚労省「医療情報システム安全管理ガイドライン」mhlw.go.jpやIPA「安全な医療IT基盤ガイド」等に準拠している必要があります。
6. 監査手続（テスト設計）
   システム監査人はまず院内の内部監査や第三者認証結果を入手し、活用可能な項目を洗い出します。例えば、医療情報ガイドラインへの適合自己点検結果があればその達成状況を確認し、不適合項目（例：アクセス権見直し未実施）があれば監査重点項目に据えます。アクセスログ監査では、過去の監査で十分でなかった場合に履歴を抽出し、特定患者の閲覧が業務上不必要に行われていないかサンプリング検査します。患者情報の持出管理では、内部監査結果を参照しつつUSB等外部媒体への書出制御を技術的に実施しているかをシステム設定で検証します。バックアップ復元テストについては、他監査で未カバーならばデータセンターやクラウドのバックアップから試験復元を行い、所要時間やデータ完全性を確認します。さらにインシデント対応では、院内のセキュリティ委員会の議事録やインシデント報告書をレビューし、発生時の原因追及・是正措置がシステム改善に反映されているか突合します。必要に応じ、過去に発生した院内ウイルス感染事例など他院事例を調査して比較することで、自院で盲点になっている統制領域を洗い出し追加監査を行います。
7. 体制・合意形成（Organization & Consensus Building）
   医療機関では院長や診療部門長などトップの理解と支援が不可欠です。監査計画は経営会議や医療情報委員会に付議し、患者情報保護と医療サービス品質向上の観点から実施することを説明して合意を得ます。現場との調整では、例えば監査人が病棟看護師にヒアリングする際には看護部長を通じて時間帯や方法を配慮し、業務への影響を最小化します。IT部門や医療情報管理担当との協働も重要で、他監査（内部監査や外部評価）の結果提供やシステム構成情報の共有を受けます。監査役や外部監査人とも必要に応じ連携し、医療分野特有のリスク（例えば診療報酬不正請求になりうるシステム不具合）について意見交換します。なお、大学病院などでは研究情報も扱うため研究倫理監査との整合も確認します。こうした関係者間で合意形成することで、監査人は病院全体の信頼を得て円滑に監査を進められます。また、他監査結果を利用する際の守秘義務や患者プライバシー保護にも十分留意し、必要な場合には匿名化データで監査を行うなど配慮します。
8. KPI（重要業績評価指標）

• 患者情報漏えいゼロ件 – 一定期間内に発生した患者個人情報の漏えいインシデント件数。0件であることが目標で、1件でも発生すれば重大な統制ミスと捉え是正策を講じます。
• システム監査実施率100% – 厚労省ガイドラインが推奨する年1回以上の情報システム監査実施状況mhlw.go.jp。100%なら計画通り監査が行われていることを示し、未実施の場合はガバナンス欠如の指標となります。
• 監査指摘改善期間 – システム監査や内部監査で指摘された事項が改善完了するまでの平均所要日数。短期間で改善されるほどPDCAが機能していることを示し、長期化する場合経営のコミットメント不足を疑います。
• アクセス違反検知数 – 月あたり不適切アクセス（無権限者によるカルテ閲覧等）を検知した件数。監査ログやツールで検知された件数で、統制が有効なら0に近く、検知が増える場合は統制の不備または監視強化の表れとして評価します。
• バックアップ復元テスト合格率 – 定期的に実施するバックアップデータからの復元テストが計画通り成功した割合。100%が望ましく、失敗があれば災害対策統制の弱点となるため即改善します。

9. 監査リスクと反証（Audit Risk & Counter-evidence）
   医療分野で他監査結果を利用する際のリスクは、監査範囲の不足と独立性の問題です。例えば、院内の自己点検結果は形式的になりがちで、深刻な問題を見逃している可能性があります。そのため監査人は自己点検で「適合」とされた項目についても抽出検査を実施し、反証的に適合性を確認します。また情報システム部門が実施した内部監査結果を使う場合、組織の一員であるため独立性に限界があります。このリスクに対し、可能であれば外部の専門監査人のレビューを受けたりmeti.go.jp、監査チームに他部門出身者を加える等でバイアスを排除します。さらに、他監査結果が古い場合（例：2年以上前の監査）には現状との乖離リスクがあります。監査人は最新の技術動向やインシデント事例を踏まえ、他監査後に生じた新リスク（例：遠隔診療導入に伴うリスク）を洗い出し計画に追加します。仮に当初計画で他監査の活用を見込んでいたが有用性が低いと判明した場合、監査計画をその場で修正し、自ら詳細テストを行うスコープ拡大や専門家の追加起用を即断します。こうした反証と計画修正のプロセス自体が、監査リスクを低減し監査の網羅性・有効性を担保するものです。
10. 参考リンク（References）

• [1] 厚生労働省「医療情報システムの安全管理に関するガイドライン 第5.2版」mhlw.go.jpmhlw.go.jp
• [2] 個人情報保護委員会「個人情報保護法ガイドライン (通則編)」(2022年改訂)mhlw.go.jp
• [3] 経済産業省「サイバーセキュリティ経営ガイドライン Ver2.0」(2017年)mhlw.go.jp ※医療含む全業種向け
• [4] 日本医療情報学会「医療情報システム監査ガイドライン第4版」（2013年） – 医療分野のIT監査基準の解説
• [5] 「医療情報ガバナンス」研究会報告書 – 大学病院等における情報統制の事例と課題

11. 作成日・最終閲覧日 – 2025-08-23 / 2025-08-23

金融業 (Financial Industry)

1. 要約（Summary）
   金融業のシステム監査計画では、FISC安全対策基準適合状況や内部統制(J-SOX)監査結果など既存評価を活用し、高度に規制された環境下で監査効率と有効性を高めます。既存監査等がシステム監査の目的に沿うか（独立性、評価基準の整合、フォローアップ状況）を吟味し、信頼できる部分は監査範囲の一部に充当します。不十分な領域には補完手続きを追加し、重要リスクの再評価も行います。他の監査結果が計画通り活用できない場合でも、対象領域の拡大や監査手続の強化によって計画を修正し、金融機関のリスクプロファイルに見合った監査を実施します。
2. 現場課題（Field Challenges）
   金融機関では法令・規制遵守が徹底される一方、レガシーシステムが多数稼働し複雑なIT環境となっている現場課題があります。例えばメインフレームからオープン系まで混在し、システム全体像の把握が困難です。また、決済や勘定系などミッションクリティカルシステムは安易に変更できず、脆弱性が残存しがちです。さらに多重の外部規制（金融庁検査、日銀考査など）に対応する中で現場担当者の監査疲れも課題です。既存の内部・外部監査で多くの指摘が出る一方、恒常的な指摘事項化している領域（例：レガシー刷新遅延）があり、真因分析と根本改善が進まないケースも見られます。監査人はこうした背景を踏まえ、他監査結果の活用による負荷軽減とともに、新視点からの検証で盲点に切り込む計画を立てる必要があります。
3. リスクと法規制/基準マッピング（Risks & Regulations/Standards）

• システム障害・停止リスク – 銀行のオンラインシステム障害は決済停止を招き社会的影響が大きいため、銀行法・金融庁ガイドラインでシステムリスク管理が厳格に求められています。金融庁の「システムリスク管理態勢」ではシステム障害発生件数や復旧時間を監督指標とし、重大事故時には報告義務も課しています。FISC安全対策基準では可用性確保策（二重化、DRサイト等）の詳細が約300項目にわたり示されnri-secure.co.jp、監査ではこれへの準拠状況を評価します。
• サイバー攻撃・不正取引リスク – 金融はサイバー攻撃の主要標的であり、不正送金やデータ窃取のリスクがあります。金融庁のサイバーセキュリティガイドライン(2023)は経営陣主導の包括的対策と三線防衛による独立的監査を要求していますfsa.go.jp。例えば内部監査部門は専門知識を備え、リスクベースでサイバー監査を実施し、重要指摘は取締役会に報告・フォローアップすることが求められますfsa.go.jp。またNIST SP800-53やISO27001も対策フレームワークとして参照され、監査ではペネトレーションテストやSOCモニタリング体制などの他評価結果を活用しつつ、不足箇所を検証します。
• データ不整合・不正会計リスク – 勘定系システム等のデータ不備は財務報告の信頼性や法令違反（粉飾）に直結します。金融商品取引法に基づく内部統制報告制度(J-SOX)ではIT全般統制および業務処理統制の有効性評価が義務づけられており、外部監査人もIT統制の監査を実施します。IT全般統制は金融機関では特に委託先管理やアクセス管理が重視され、近年ではサイバーセキュリティ対策の統制も含まれる傾向ですkpmg.com。監査ではJ-SOX評価結果を参照し、コントロールテストでNGだった領域（例：プログラム変更管理で逸脱あり）を重点的に再検証します。関連するCOBIT2019の管理目的やCOSO枠組みも補助基準となります。

4. 経営・監査上の有効性（Management/Audit Effectiveness）
   金融機関では、監督当局や第三者からの評価が多数存在するため、これらを集約活用することで経営に有益な示唆を得られます。システム監査人が例えば日銀考査結果やFISC点検結果を活用すれば、すでに是正指示された弱点を再度指摘する無駄を省けます。一方で各評価のフォローアップ状況を横断的に点検することで、改善遅延の根本原因を経営に提言することも可能です。監査効率の面でも、監査人は膨大なIT環境全てを一から評価する必要がなく、リスクが高い領域に注力できます。会計監査人・内部監査人・監査役の三様監査が金融庁から連携を求められていることもありsoico.jp、システム監査は内部監査部門や外部IT監査人との協働で相乗効果を上げられます。例えば内部監査が業務面から確認した顧客情報管理の課題に対し、システム監査が技術面から分析し真因（システム仕様上の制約等）を明らかにすることで、経営改善策が具体化します。ただし他評価結果の前提や目的が異なる場合、そのままでは適用できない点に留意が必要です。監査人はそれぞれの有効性と限界を見極め、必要な追加検証を行います。
5. 統制設計の“芯” （Core of Control Design）
   金融業IT統制の核心は「顧客資産と機密情報を守り、正確かつ継続的にサービス提供すること」です。主な統制の芯として、①アクセス権限の厳格管理 – 勘定系データへのアクセスは職務分離の原則に基づき最小限とし、特権IDは多要素認証と操作履歴監視で管理します。②変更管理と本番管理の分離 – システム変更はテストと承認を経て本番反映し、本番環境への直接アクセスは禁止するというIT全般統制の基本を徹底します（J-SOXのITGC要件）。③可用性と継続性 – データセンター二重化やディザスタリカバリサイトの保持、予行演習の定期実施により中断時の早期復旧を可能にしますnri-secure.co.jp。④暗号化と監視 – 顧客データや通信は強力に暗号化し、SIEM等でリアルタイム監視して異常検知時は即時遮断・通報する体制を組み込みます。⑤委託先ガバナンス – クラウド業者等外部委託先には契約でFISC基準等への準拠を求め、定期報告・監査を実施してコントロール不備を早期に是正させますnri-secure.co.jp。これらの芯はFISC安全対策基準nri-secure.co.jpや金融庁ガイドラインfsa.go.jpに合致するよう設計されねばならず、監査人はそれを基準に評価します。
6. 監査手続（テスト設計）
   システム監査人は他の評価結果を踏まえ、金融機関特有の重点領域に監査資源を投下する計画を立てます。まずFISC基準遵守評価として、自行で実施したFISC自己点検結果や、監督当局の検査コメントを入手します。例えば「ネットワーク分離基準の一部未達成」との指摘があれば、技術的設定（ファイアウォールルール等）を抜き取り検証し、改善状況を確認します。内部統制テストでは、J-SOX監査で特定されたIT統制の不備（例：ID定期棚卸未実施）について、直近の是正報告書を確認し、実際に棚卸記録やID無効化処理を監査サンプルとして検証します。ペネトレーションテスト結果活用では、直近に実施された脆弱性診断報告書を分析し、高リスクの脆弱性が放置されていないか、該当システムの管理者にインタビューします。ログ管理状況については、内部監査でカバーされていない場合、実際にSIEMのアラート発報状況や過去○ヶ月のログ保存状況をテストし、統制遵守度を評価します。さらにサードパーティレビューとして、クラウドサービスについてはSOC2報告書やISO27001認証範囲を確認し、自社の統制相当性を評価します。これらテスト設計により、他監査結果で薄かった部分を重点補強し、総合的な保証を高めます。
7. 体制・合意形成（Organization & Consensus Building）
   金融機関のシステム監査では、内部監査部門やリスク管理部門、システム部門、そして経営層との緊密な連携が必要です。監査計画段階で、内部監査部門とは年度計画を調整し、重複とギャップを洗い出します。監査役や監査委員会にはITリスクの重大性（経営リスクとしての位置付け）と監査範囲を説明し、理解を得ます。システム部門とは、FISCや監督指針への対応状況について事前ヒアリングを実施し、他監査での指摘事項の現状を共有してもらいます。また、経営トップ（CIOや取締役会）には、サイバーセキュリティ経営の一環として本監査計画へのコミットメントを表明してもらい、全社的な協力体制を構築しますfsa.go.jp。監査チームには金融ITに精通した公認情報システム監査人やサイバーセキュリティの専門家を含め、必要に応じて外部から知見を導入しますfsa.go.jp。さらに、会計監査人とも情報交換し、ITに起因する財務報告リスクについて相互に認識を揃えます。こうした合意形成により、他監査結果の円滑な提供や追加調査への協力が得られ、監査の質と網羅性が向上します。
8. KPI（重要業績評価指標）

• 重大システム障害ゼロ件 – 年間に発生した業務停止レベルのシステム障害件数（金融庁報告基準に該当するもの）。0件が目標であり、発生した場合は再発防止策の実施状況も監査でチェックします。
• サイバーインシデント検知件数 – SOCやCSIRTが検知・対応したサイバー攻撃インシデント数（未然防御含む）。一概に多寡で評価できませんが、適切に検知・対処できているか、増加傾向なら対策強化の必要性を示します。
• FISC基準遵守率 – FISC安全対策基準の各項目に対する自己評価で「適合」と判断された割合。金融機関の一般的な水準（例えば○％以上）と比較し、低ければ統制改善の余地ありとします。
• 内部・外部指摘事項改善率 – 内部監査や監督検査・外部監査で指摘された事項のうち、是正が完了した割合（一定期間内）。100%が望ましく、低い場合は経営層のフォロー不足やリソース不足の可能性があります。
• 監査工数削減率 – 他監査結果活用により削減できた監査工数（時間）の割合。例えば前年と比較して○％削減できていれば、効率的な連携が図れたことを示します。ただし極端に高い場合は見落としリスクが懸念されるためバランスを確認します。

9. 監査リスクと反証（Audit Risk & Counter-evidence）
   金融システム監査で他の監査や評価結果を利用する際のリスクは、新規リスクの見逃しと過信です。金融業界は環境変化が激しく、新たなリスク（例：フィンテック連携によるAPI脆弱性）が台頭する中、過去の監査範囲に無かった事項が盲点となり得ます。監査人はリスクアセスメントを定期的に更新し、他監査結果に無い視点を補います。例えば、最近注目の分散型金融(DeFi)に関連するリスクが他監査で未評価なら、自ら調査し監査計画に加えます。過信のリスクでは、権威ある外部監査結果であっても自社環境への適合性を確認せず鵜呑みにすることが挙げられます。反証アプローチとして、監査人は主要な統制についてダブルチェックを行います。たとえば「アクセス管理は有効」との内部監査結論に対し、実際に休眠IDの有無を抽出検証し反証的に確認します。万一見解が食い違う場合は真因を究明し、計画を見直して追加監査を実施します。また、監査対象の独立性確保もリスクです。内部者評価に依存しすぎると客観性が損なわれるため、必要に応じ外部専門家によるセカンドオピニオンを取得しfsa.go.jp、監査判断の偏りを防ぎます。想定外の状況では計画を柔軟に改訂し、例えば新たな規制発表時には急遽コンプライアンス評価を組み込むなど、監査リスクを低減させます。
10. 参考リンク（References）

• [1] 金融情報システムセンター(FISC)「金融機関等コンピュータシステムの安全対策基準・解説書 第13版」nri-secure.co.jp
• [2] 金融庁「金融分野におけるサイバーセキュリティガイドライン」(令和6年)fsa.go.jp
• [3] 金融庁「システムリスク管理に関する監督指針（金融検査マニュアル）」 – 障害報告基準やリスク管理態勢の詳細
• [4] ISACA「COBIT 2019 フレームワーク」– 金融ITガバナンス実践の統制目標（日本語版抜粋）
• [5] デロイト「J-SOXにおけるIT統制の最新動向」(2023年)kpmg.com

11. 作成日・最終閲覧日 – 2025-08-23 / 2025-08-23