対象試験と出題頻度
システム監査基準は、基本情報技術者・応用情報技術者で出題されるテーマです。
システム監査分野の定番論点であり、よく似た名前の「システム管理基準」との役割の違いを正確に区別できるかが合否を分けます。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
情報処理試験を勉強していると、「システム監査基準とシステム管理基準って、名前が似すぎてどっちがどっちか分からない」と混乱しがちです。
システム監査基準とは、一言で言うと
「システム監査人が守るべき「行動のルールブック」を定めた基準」
のことです。経済産業省が策定・公表しています。
イメージとしては、「スポーツの審判マニュアル」です。
審判マニュアルには「審判はどう振る舞い、何を見て、どう判定を下し、どう報告するか」が書かれています。選手のプレーの良し悪しそのものではなく、審判という立場の人の行動規範が書かれているわけです。
システム監査基準も同じで、「監査をする人(監査人)が、どう動くべきか」を定めた基準です。監査される側のシステムが守るべきルールではありません。
📊 システム監査基準の基本情報
| 項目 | 内容 |
|---|---|
| 策定者 | 経済産業省 |
| 対象 | システム監査人(監査をする側) |
| 位置づけ | 監査業務の品質確保と効率的な監査実現のための行為規範 |
| セットの基準 | システム管理基準(監査の判断尺度) |
解説
そもそもシステム監査は、情報システムにまつわるリスクへの対策(コントロール)が適切に整備・運用されているかを、独立した専門家がチェックして保証・助言する活動です。
その最終的なねらいは、ITガバナンスの実現に貢献することにあります。
ところが、監査人によって「見るべきポイント」や「報告の仕方」がバラバラだと、監査結果の信頼性が揺らぎます。そこで監査人の行動を統一的に方向づける拠り所として、この基準が設けられました。
基準を構成する3つの柱
従来のシステム監査基準は、監査人の行動を「資質」「実施」「報告」という時間の流れに沿って3つに分けて規定してきました。
この3分類は試験でもイメージしておくと整理が早まります。
| 柱 | 規定する内容 |
|---|---|
| 一般基準 | 監査人の適格性・独立性・客観性など、監査人として備えるべき資質と遵守事項 |
| 実施基準 | 監査計画の立案、証拠の入手、監査手続の適用といった「監査のやり方」 |
| 報告基準 | 監査報告書の記載方法や、報告にあたっての留意事項 |
システム監査の登場人物と2つの基準
最大の山場は「システム監査基準」と「システム管理基準」の役割分担です。
誰に向けた基準なのかを図で押さえます。
システム監査人
= 行為規範
情報システム
(コントロール)
= 判断の尺度(ものさし)
▲ 監査人の「行動」を縛るのが監査基準、監査の「ものさし」になるのが管理基準
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 システム監査基準の核心を3行で
・経済産業省が定めた、システム監査人の行為規範
・「一般基準」「実施基準」「報告基準」で監査人の動きを方向づける
・監査の判断尺度である「システム管理基準」とペアで運用される
試験ではこう出る!
この論点は、FE・APの午前問題で「意義」と「目的」を問う2系統で繰り返し登場します。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R4秋 午前 問60 |
システム監査基準の「意義」を選ぶ問題。 | ・「監査人の行為規範」が正解 ・「判断の尺度」「共通の留意事項の体系化」は管理基準の説明でひっかけ |
| FE H25春 午前 問58 |
システム監査を実施する「目的」を選ぶ問題。 | ・「コントロールを評価しITガバナンスに寄与」が正解 ・脆弱性検査・SWOT分析・CMMIがひっかけ |
| FE H28春 午前 問60 |
H25春 問58と同一構成の問題(流用)。 | ・FE・APをまたいで同じ問題が再利用される典型例 |
| AP H23特別 午前 問57 |
上記「目的」問題と同一の出題。 | ・APでも同論点が反復出題されている |
📝 IPA試験での出題パターン
パターン1:「監査基準の意義を選べ」
「監査人の行為規範」を選ばせる形式。ひっかけとして、判断の尺度・共通留意事項の体系化(いずれも管理基準)、専門知識の水準(シラバスの話)が並ぶ。キーワードは「行為規範」「品質確保」。
パターン2:「監査の目的を選べ」
「リスクへのコントロールを評価し、ITガバナンスの実現に寄与する」を選ぶ形式。脆弱性検査・SWOT分析・CMMIといった別分野の目的が紛れ込む。キーワードは「コントロール」「ITガバナンス」。
最大の判別軸は「監査基準=人(監査人)のルール/管理基準=ものさし」です。ここを取り違えなければ大半は解けます。3つの柱の細かい項目数まで暗記する必要はなく、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. システム監査基準の意義として、最も適切なものはどれでしょうか?
- A. システム監査業務の品質を確保し、有効かつ効率的な監査を実現するための、システム監査人の行為規範となるもの。
- B. 情報システムのガバナンス、マネジメント、コントロールを点検・評価・検証する際の、判断の尺度となるもの。
- C. どのような組織体においても、情報システムの管理において共通して留意すべき基本事項を体系化・一般化したもの。
正解と解説を見る
正解:A
解説:
システム監査基準は、監査業務の品質を確保し、効率的な監査を実現するために定められた「システム監査人の行為規範」です。あくまで監査をする側の人の行動を方向づけるものである、という点が決め手になります。
選択肢Bと選択肢Cは、いずれも「システム管理基準」の説明です。管理基準は監査人の行動規範ではなく、監査の際に対象システムを点検・評価する判断の尺度(ものさし)であり、組織体が共通して留意すべき管理事項を体系化したものです。名前が似ているため、行為規範(監査基準)と判断尺度(管理基準)を入れ替えたひっかけが頻出します。
よくある質問(FAQ)
Q. システム監査基準は誰が作っていて、改訂はされていますか?
経済産業省が策定・公表しています。直近では令和5年(2023年)4月にシステム管理基準とあわせて改訂され、ITガバナンスやクラウドサービスの利用を意識した内容に見直されました。実践的な手順部分は別冊のガイドラインへ切り出される形に整理されています。試験では細かな改訂年や条文番号までは問われないため、「経済産業省が定め、適宜改訂している」と押さえれば十分です。
Q. 監査人に求められる「独立性」とは具体的に何ですか?
監査対象の部門や業務から、身分上も精神上も切り離された立場であることを指します。例えば、自分が開発に携わったシステムを自分で監査すると、甘い評価になりかねません。これを防ぐため、監査人は対象から独立し、客観的な判断ができる立場にいる必要があります。外部の監査法人に依頼する「外部監査」と、社内の独立部門が行う「内部監査」のどちらでも、この独立性の確保が前提になります。
Q. 監査の証拠が足りないとき、監査人はどうしますか?
十分な証拠(監査証拠)が得られない場合、監査人は安易に「問題なし」と結論づけてはいけません。追加のヒアリングや書類確認といった監査手続を重ねて証拠を補強するか、それでも判断できなければ、その旨を監査報告書に明記します。結論は必ず客観的な証拠に裏づけられている必要がある、という考え方が基準の根底にあります。
Q. 監査基準と、会計の世界の「内部統制」は関係ありますか?
関係があります。情報システムは企業の内部統制を支える重要な仕組みであり、システム監査はその有効性を裏側から確かめる役割を担います。会計監査では財務報告に関わるITの統制(IT統制)が評価対象になり、ここでシステム監査の考え方が活用されます。試験範囲としては「システム監査は内部統制の整備・運用を支える」という関係を知っておけば、関連分野の問題にも対応しやすくなります。
