対象試験と出題頻度
監査証拠は、基本情報技術者・応用情報技術者の午前問題で出題されるテーマです。
システム監査の分野では、監査計画・監査手続・監査調書・監査報告書といった一連の流れの中で監査証拠がどこに位置するかが繰り返し問われます。
とくに「何が監査証拠になり、何が証拠にならないか」を選り分けられるかがカギです。
対象試験と頻度の詳細を開く
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
システム監査の勉強をしていると、「監査証拠って、結局どんな書類のこと?議事録も計画書も全部証拠になるの?」と頭がこんがらがりがちです。
監査証拠(Audit Evidence)とは、一言で言うと
「監査人の結論や指摘事項を裏付ける事実・記録」
のことです。
イメージとしては、「裁判で提出する物的証拠」です。
裁判で「被告は有罪だ」と主張するだけでは通りません。防犯カメラの映像や指紋といった、第三者が見ても納得できる客観的な裏付けが要ります。
監査も同じで、「この運用には問題がある」と指摘するなら、その根拠となるログや帳簿が手元になければ説得力を持ちません。その根拠こそが監査証拠です。
📊 監査証拠の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Audit Evidence |
| 分類 | マネジメント系 / システム監査 |
| 入手する工程 | 本調査(予備調査の後) |
| 根拠基準 | システム監査基準(経済産業省・平成30年) |
解説
監査報告書に書かれた指摘や改善提案は、監査人の主観や思い込みであってはなりません。
そこで「客観的な裏付けに基づいて結論を出す」という原則が監査の土台になっています。この裏付けを集める活動こそが監査の本質といえます。
監査人は思いつきで証拠を集めるわけではありません。
経済産業省が定めるシステム監査基準(平成30年)では、個別監査計画にもとづいて監査手続を実施し、その結果として証拠を入手する、と明記されています。つまり「手続を踏む → 証拠が手に入る → 結論を形づくる」という一方向の流れが決まっています。
証拠が集まるまでの流れ
①予備調査
実態を把握
②本調査
監査手続を実施
③監査証拠
事実を入手
④監査調書
記録に残す
⑤監査報告書
結論を伝える
▲ 監査証拠は「本調査で入手し、調書にまとめ、報告書の根拠にする」中間の要
「十分かつ適切」という2つの条件
システム監査基準では、証拠は「十分かつ適切」であることが求められます。
この2語はセットで頻出するので、それぞれ何を意味するかを切り分けて押さえます。
| 観点 | 焦点 | 意味 |
|---|---|---|
| 十分性 | 量 | 結論を支えるのに足りる証拠の数・ボリュームがあること |
| 適切性 | 質 | 監査目的との関連性が高く、信頼できる出どころであること |
何が証拠になり、何がならないか
ここが理解のヤマです。
被監査部門から入手した客観的な事実は証拠になりますが、監査人自身が「作った側」の書類は証拠になりません。下の表で線引きを掴んでください。
| 監査証拠になる | 監査証拠にならない |
|---|---|
| システム運用記録・操作ログ | 監査チームが作成した個別監査計画書 |
| トランザクションデータ・出力帳票 | 監査報告書に記載した指摘事項 |
| 質問表・インタビューの調査結果 | 監査意見を取りまとめるミーティングの議事録 |
※ 右列はいずれも「監査人がアウトプットしたもの」。証拠は被監査側から得る客観的事実が原則
💡 覚えるのはここだけ(3行整理)
・監査証拠は「結論や指摘を裏付ける事実・記録」で、本調査で入手する
・条件は「十分(量)」かつ「適切(質)」の2つ
・運用記録やログは証拠になるが、計画書・報告書・議事録など監査人が作った物は証拠にならない
では、この線引きが実際の問題でどう問われるかを見ていきます。
試験ではこう出る!
監査証拠は、FE・APの午前で「何が証拠に該当するか」「証拠の入手・評価の正誤」という2方向から繰り返し出題されています。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| FE H24春 午前 問60 |
監査証拠となるものを選ぶ問題。 | ・正解は「被監査部門から入手したシステム運用記録」 ・議事録・指摘事項・計画書はひっかけ |
| AP R2秋 午前 問60 |
監査証拠の入手と評価で適切でないものを選ぶ問題。 | ・体裁が整ったものだけが証拠、とする選択肢が誤り ・付箋やホワイトボードの画像も証拠になり得る |
| AP R4春 午前 問60 |
上記R2秋問60と同一構成の問題(流用)。 | ・FE/APで同じ問題が再出題される典型例 ・選択肢の文言もほぼ同一 |
| AP H31春 午前 問58 |
監査手続を問う関連問題。 | ・「十分かつ適切な証拠を入手するための手続」が手続の定義 ・証拠と手続の関係を問う |
📝 出題パターンと得点のコツ
パターン1:「証拠になるものを選べ」
選択肢に監査人側のアウトプット(計画書・議事録・報告書の指摘)が混ぜられる。これらは証拠ではない。被監査側から得た客観的記録(運用ログ・帳票・調査結果)を選ぶのが鉄則。
パターン2:「入手・評価で誤りを選べ」
AP R2秋・R4春で頻出。「体裁が整ったものだけが証拠」「予備調査の前に本調査をする」といった、システム監査基準に反する文がひっかけ。アジャイル開発では付箋や画像も証拠になり得る点が狙われる。
ここが得点ラインです。証拠能力の細かい分類(物理的証拠・文書的証拠など)まで午前で深く問われることはまれなので、午前対策はこの2パターンで十分です。
【確認テスト】理解度チェック
知識が定着したか、1問で力試しをしてみましょう。
Q. システム監査における「監査証拠」の説明として、最も適切なものはどれでしょうか?
- A. 監査人の結論や指摘事項を裏付けるために、本調査で入手する事実や記録のこと。
- B. システムが必要なときに中断なく利用できる度合いを示す、可用性のこと。
- C. 情報が改ざんされず正確かつ完全である状態を保つ、完全性(インテグリティ)のこと。
正解と解説を見る
正解:A
解説:
監査証拠は、監査人が下す結論や指摘事項を客観的に裏付ける事実・記録であり、個別監査計画にもとづく監査手続を本調査で実施した結果として入手します。選択肢Aがこの定義に正しく一致します。
選択肢Bは可用性(アベイラビリティ)の説明で、情報セキュリティのCIAに含まれる別概念です。システム監査の証拠とは無関係です。選択肢Cは完全性(インテグリティ)の説明で、こちらもセキュリティの3要素のひとつであり、監査証拠の意味とは異なります。証拠は「裏付けの事実」であって、システムの品質特性を指す言葉ではない点を区別してください。
よくある質問(FAQ)
Q. 「監査証拠」と「監査証跡」はどう違いますか?
混同しやすい2語ですが役割が異なります。監査証拠は「監査人の結論を裏付ける、断面的な事実・記録」を指します。一方の監査証跡(Audit Trail)は、データの発生から処理結果までを時系列で追跡できる仕組みやログの連なりを指します。ざっくり言えば、時系列に並んだ追跡用の足跡が監査証跡、その中から結論の根拠として採用した個々の事実が監査証拠です。試験では選択肢でこの2語が入れ替えられることがあるため注意してください。
Q. 外部委託先の現地調査を省略して、第三者の保証報告書を証拠にしてもよいですか?
条件付きで可能です。システム監査基準(平成30年)では、委託先が第三者による保証・認証を受けている場合、その第三者の能力・客観性・専門職としての正当な注意を検討したうえで、委託業務の重要性とリスクを勘案すれば、現地調査の一部または全部を省略できるとしています。AP R2秋・R4春問60では、この点を「依拠すれば省略できる」と単純に言い切った選択肢が正誤判定の対象になりました。
Q. アジャイル開発のように管理ドキュメントが少ない現場では、証拠が集められないのですか?
集められます。システム監査基準は「必ずしも管理用ドキュメントとしての体裁が整っていなくても、監査証拠として利用できる場合がある」と明記しています。具体例として、ホワイトボードのスケッチを撮影した画像データや、開発現場で使われた付箋紙などが挙げられています。体裁の整った正式文書だけが証拠だと思い込むと、まさにここで出題者に足をすくわれます。
Q. 実務では証拠の入手方法にどんな種類がありますか?
監査技法ごとに入手方法が分かれます。代表的なものに、関係者に問う「インタビュー法」、書類や記録を閲覧する「ドキュメントレビュー法」、現場を直接見る「現地調査法」、過去の取引を遡って追う「ウォークスルー法」、テスト用データを流して挙動を確かめる「テストデータ法」などがあります。実務では1つの監査目的に対して、これらを複数組み合わせて証拠の十分性と適切性を高めるのが一般的です。
