システム監査基準・地獄の写経編

システム監査基準の意義と目的

　システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス・マネジメント・コントロールの適切性に対する保証を与える、又は改善のための助言を行う監査である。
　また、システム監査の目的は、ITシステムに係るリスクに適切に対応しているかについて、監査人が検証・評価し、もって保障や助言を行うことを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対する説明責任を果たすことである。

監査人の倫理

　システム監査は、監査人の誠実性及び専門的な能力を信頼し依頼されるものであり、監査人はその期待に応え、責任を果たすことが求められ、業務に対する説明責任を果たすこととなる
　さらに、システム監査が結果として、広く社会的な信用につながるには、個々の利用者・依頼者の要請を満たすだけでなく、監査人が独立した立場において、社会的役割を自覚し、自らを律し、かつ社会の期待に応え、公共の利益に資することができなければならない。
　ITの進展をはじめ、監査の対象となるシステムを巡る環境変化が激しいこともあり、監査の方法の選択や監査結果の判断に関して、種々の価値観の中で適切な意思決定をするためには、管理人の倫理が重要である。加えて、IT利活用の高度化により、システム監査においても機密性の高い情報に触れる機会が増加しており、倫理に関して社会的な要請が高まっていることを意識しなければならない。
　倫理に関して監査人が守るべき4つの原則を以下に明示する。
〇誠実性
　監査業務において、常に正直な態度を保持し、強い意志をもって適切に行動すること。監査人が誠実であることによって信頼が築かれることから、誠実性は、自らの判断が信用される基礎となる。
〇客観性
　監査業務において、バイアス（先入観等）、利益相反を排し、個人や組織等から不当な影響を受けることなく、監査人としての判断を行うこと。監査人としての判断が不当な影響を受ける場合、当該業務を引き受けてはならない。
〇監査人としての能力及び正当な注意
　監査業務において、必要な知識、技能を習得し、維持すること、及び誤った監査上の判断がないように、システム監査の基準に従って、監査人として当然払うべき注意を払うこと。
〇秘密の保持
　監査業務において、取得した情報の秘密性を尊重し、業務上知りえた秘密を守ること。法令などによる守秘義務の解除を除き、依頼人又は所属する組織との関係が終了した後も、秘密の保持が求められる。

システム監査の基準ーシステム監査の属性

基準1・システム監査に係る権限と責任等の明確化
　システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステム監査を行う組織の権限と責任は、文書化された規定等により定められていなければならない。
　効果的かつ効率的なシステム監査を実現する為の体制整備として、監査人及びシステム監査を行う組織の権限と責任を組織内の内部監査規定などによって明確化し、組織体に周知しておく必要がある。
　また、システム監査を外部委託する場合には、委託先の権限と責任を契約書等の文書で明確に定めておく必要がある。
1.　システム監査を行う組織は、効果的かつ効率的なシステム監査を実現する為に、システム監査に関する規定を整備する。システム監査に関する規定は、組織体の内部監査規定の一部として、あるいは内部監査規定とは別に定められる。
　システム監査に関する規定は、内部監査規定と同様の承認プロセスを経たうえで、組織体全体に周知される。
2.　組織体の内部にシステム監査を行うのに適切な監査人が存在しない場合、システム監査の実施に高度な技能を必要とする場合、遠隔地の監査対象先にシステム監査を実施する場合においては、システム監査の全部または、一部を組織体外部の専門家に委託する場合がある。
　このような場合には、委託契約書等の文書に、委託するシステム監査
業務の内容、及び受託する専門家の権限と責任を明確に記載する。
（1）　システム監査の全部又は一部を組織体外部の専門家に委託する場合、当該専門家と密接に連携し、当該専門家に対する適切な監督を行うことが重要である。
（2）　外部委託先の専門家は、原則として、委託元の組織体と身分上又は経験上の特別な利害関係を有してはならない。特別な利害関係を有する者を外部委託先とする場合は、システム監査業務に影響を及ぼさぬように特別な措置を講じなければならない。
（3）　システム監査の全部又は一部を組織体外部の専門家に委託する場合であっても、組織体のシステム監査を行う組織の長は、システム監査の最終的な責任は自らにあることを認識しなければならない。

基準2・専門的能力の保持と向上
　適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能及びその他の能力を保持し、その向上に努めなければならない。
　また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシステム監査に必要な知識、及び技能及びその他の能力を、システム監査を行う組織が総体として備えているか、又は備えるようにしなけれればならない。
　システム監査の信頼性を保つためには、専門的な観点からシステム監査が実施される必要がある。また、組織体の状況変化やIT環境の変化に対応した品質の高いシステム監査を実施する為には、ITシステム及びシステム監査に関する専門的知識や技能を保持する必要があり、さらに論理的思考能力やコミュニケーション能力等も求められる。
　継続的な教育・研修と実務経験を通じて、効果的かつ効率的なシステム監査を行えるよう、必要な知識、技能及びその他の能力の向上を図ることが必要である。
1.　システム監査を効果的かつ効率的に実施する為には、システム監査の目的や対象範囲に応じて、適切な技能や知識を有する者がシステム監査を実施する必要がある
（1）　例えば、サイバー攻撃などの対策が効果的に実施されているかどうかの監査が求められている場合と、ITガバナンスが適切に機能しているかどうかの監査が求められている場合とでは監査人に求められている知識や技能は異なったものとなることが想定される。システム監査それぞれの目的や対象範囲に応じて、適切な知識や技能を有する者がシステム監査を担当する場合がある。
（2）　システム監査の実施に必要な知識や技能の保持及び向上には、組織体の内外の講習会等の活用と併せ、OJTを通じた実務経験も重要である。
2.　ITシステムのガバナンスとマネジメント、及びシステム監査に関する基本的な知識に加えて、経営戦略、ガバナンス、リスク・マネジメント、内部統制及び関連法令等に関する幅広い関連知識を有することが求められる。なお、システム監査の目的や対象範囲によって必要な知識や技能は異なる為、一人一人の監査人に全ての知識と技能が要求されるわけではなく、システム監査を行う組織が総体として知識や技能を備えることが求められる。
3.　システム監査を取り巻く環境変化を常にキャッチアップし、新しい知識や技能を習得し続ける努力が求められる。特にITシステムに係るリスクの変化に対する認識を高めることは重要である。
基準3・システム監査に対するニーズの把握と品質の確保
　システム監査の実施に際し、システム監査に対するニーズを十分に把握した上でシステム監査業務を行い、システム監査の品質が確保されるための体制を整備・確保しなければならない。
　システム監査は、利用者（保証を目的としたシステム監査の場合）又は依頼者（助言を目的とした場合）のシステム監査に対するニーズを十分に踏まえたものでものでなければならない。特に、システム監査は任意監査（法令等で義務付けられていない監査）であることから、法定監査よりも、この点を意識する必要がある。
　また、システム監査に対するニーズを満たしているかどうかを含め、一定の監査品質を確保する為の体制を整備・運用することが必要である。
1.　システム監査を実施する場合、システム監査の利用者又は依頼者のニーズに合ったシステム監査の目的が決定され、システム監査の対象が選択される。
　①　経営者が、ITシステムのマネジメントが有効に機能していることを確かめたいというニーズを持っている場合、「システム管理基準」に照らしてITシステムのマネジメントの状況を検証・評価し、もって保証を目的としたシステム監査が行われる。
　②　経営者が、自組織のシステム開発管理に重大な不備があるのではないかと不安に思っており、もし不備があればそれを指摘してもらい、改善の具体的な方策を知りたいというニーズを持っている場合、（システム管理基準）に照らして現状のシステム開発管理の状況を検証・評価し、指摘と共に改善提案を行う、助言を目的としたシステム監査が行われる。
　なお、上記②の目的をもったシステム監査を行って成熟度が確認できた時点で、①の目的を持ったシステム監査が行われていることが通例である。
　③　システム監査のニーズには、他にも以下のようなものがある。
　・システム委託者（委託元）を依頼者とする「システムを受託するにあたって、委託元が委託先の管理レベルを重視していることから、自社の管理レベルを委託元に判断してもらう材料として第三者からの評価を開示したい」というニーズ。
　・重要インフラや多数の生命・財産に対する社会的責任を負う組織体や行政組織を依頼者とする「不特定多数の利害関係者に向けて説明責任を果たすことを担保したい」というニーズ。
（2）　システム監査の対象は、以下のようなニーズに基づいて選択される。
　①　経営者が、経営戦略とIT戦略との整合性、ITシステムの利活用の有効性、企業グループ全体としてみた場合のIT戦略の合理性についての保証または助言を得たいというニーズを持っている場合、ITシステムのガバナンスを対象とするシステム監査が選択される。
　②　経営者が、情報システムのサービスレベルの維持、より効率的な情報システムの維持管理、プライバシー規制等への対応状況についての保証又は助言を得たいというニーズをもっている場合、情報システムのマネジメントを対象とするシステム監査が選択される。
　③　経営者が、情報システムに実装された機能要件が、業務要件の変化に対応して適切に維持管理が行われているかについての保証または助言を得たいというニーズを持っている場合、情報システムのコントロールを対象とするシステム監査が選択される。
　なお、上記の①、②及び③は、それぞれ別個の監査対象として明確に区別されて選択される場合もあれば、特に区別されずに組み合わせて選択される場合もある。
2.　システム監査の品質を維持し、さらにはシステム監査業務の改善を通じてその品質を高めるために、システム監査を行う組織での自己点検・評価(内部評価)、及び組織体外部の独立した専門家による点検・評価（外部評価）を定期的に実施することが望ましい。
　内部監査として実施するシステム監査の場合には、一般社団法人日本内部監査協会の「内部監査基準」や内部監査人協会の「専門職的実施の国際フレームワーク」を参照して品質を高めることにも留意する。
　システム監査の品質の維持及び向上に際しては、システム監査に対するニーズに十分に応えているかどうかという視点を組み込むことが重要である
。
　自らの業務を継続的または定期的に見直し、その結果をシステム監査業務の改善に結び付ける努力こそ、システム監査の品質を保ち、向上させるための鍵となることに留意すべきである。自らの業務を本監査基準やベストプラクティクスなどに照らして見直し、改善のための工夫を凝らす試みは、監査人の能力向上につながる。
3.　システム監査終了後、監査の依頼者や利用者から監査人が実施した監査内容について意見を聴取したり、監査対象先からアンケート調査などによって監査人が実施した監査の方法や結果などに関する評価を求めたりすることも、システム監査の品質の維持及び向上にとって有益である。
4.　システム監査を外部の専門家に委託して実施する場合にも、委託先における監査の品質管理体制を確かめておくことが必要である。

基準4・監査の独立性と客観性の保持
　システム監査は、監査人によって誠実かつ、客観的に行わなければならない。
　さらに、監査人が監査対象の領域または活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。
　システム監査は、客観性、誠実性の保持として、客観的な立場で公正な判断を行うという精神的な態度を堅持する監査人によって行わなければならない（精神的独立性）。
1.　システム監査の実施に当たり、精神的独立性が堅持できない場合には、システム監査における客観性、ひいてはシステム監査の品質が維持できず、信頼性を著しく毀損することになることに留意する。
2.　監査人に精神的独立性が欠けるという疑いや印象を与えないために、システム監査は監査対象先から独立した監査人によって行われる必要がある。
　所属する部門が、監査対象の領域又は活動と同一の指揮命令系統に属する場合、組織的な独立性が毀損されているとの外観を呈することに留意する。
3.　システム監査を外部の専門業者に依頼する場合、システム監査を担当するものが、専門家としての能力を有しているか、独立性に問題がないかどうかを確かめることが求められる。
　委託元組織体と身分上の密接な利害関係を有することは、独立性が毀損されているとの外観を呈することに留意する。
基準5・監査の能力及び正当な注意と秘密の保持
　システム監査は、専門的能力の維持・向上を図るとともに、監査業務において正当な注意を払って実施する監査人によって行わなければならない。また、監査人は秘密の保持をしなければならない。
　システム監査は、監査計画策定等の監査業務を行う際、独立性と客観性の保持と併せて、監査の専門家として要求される正当な注意を払い、秘密の保持の遵守により監査業務の品質を確保する監査人によって行わなければならない。
1.　システム監査の実施に当たり、客観的な立場で公正な判断が行われるために、専門的な知識・技能を有する監査人によって行わなければならない。
　専門的な知識・技能を習得し、維持することは、監査人としての能力をもって依頼者に保証・助言を提供するために、適切な判断をすることが求められるからである。
　また、システム監査は監査人としての正当な注意を払い、また正当な懐疑心をもって、標準的な監査人が同様な監査をした場合に見逃すことのないリスクを的確に識別することが重要である。ITシステムの利活用に係る監査においては常に組織体内外の状況とその変化に目を向けて、組織体の論理や価値観だけで判断を行うのではなく、社会的な視点から見て公正な判断を行うことが望まれることを留意する必要がある。特にITの進展をはじめ、デジタル技術の変化によるリスク、システム開発手法の変化によるリスクに注意を払う必要がある。
2.　システム監査の実施に当たり、業務上知りえた事項を正当な理由なく他に開示したり、みずからの利益のために利用してはならないことが監査人に求められる。なお、秘密の保持は、所属する職業団体や会社における倫理規定、契約、就業規則によって要求される場合もある。

システム監査の基準ーシステム監査の実施

基準6・監査契約の策定
　システム監査を効果的かつ効率的に実施する為に、適切な監査計画が策定されなければならない。
　監査計画は、主としてリスクアプローチに基づいて策定する。
　監査計画は、リスクなどの状況の変化に応じて適時適切に見直し、変更されなければならない。
1.　監査計画の必要性
　監査の網羅性と効率性を整合させ、有効性の高いシステム監査の実施のためには、その目的達成に必要十分な事項を記載した適切な監査計画を策定する必要がある。
2.　リスクアプローチ
　①　監査計画の適切性を確保する為には、主として監査対象のリスクの大きさや重要性に基づいて策定されるべきである。
　②　監査計画の適切性を維持する為には、監査対象の変化（リスクや重要性の変化）に応じて、適時適切に見直し、変更されることも必要である。
1.　監査毛核の必要性
（1）　監査計画は、監査の網羅性を確保し、かつ監査リスクを合理的に低い水準を抑えた効果的・効率的な監査を実施するために、監査の基本方針を策定し、監査の具体的な内容（目的、目標、実施時期、適用範囲、及び監査の方法）を決定する。
（2）　システム監査の対象となりえる範囲は、原則として組織体及びその集団におけるITシステムの利活用に係る経営活動及び業務活動の全てである。監査において実際に監査を実施しなければならない可能性のある領域を、監査対象領域と呼ぶことがあるが、システム監査の対象となりうる範囲は、この監査対象領域のITシステムの利活用に係る領域である。
　監査計画（中長期、年度、個別）策定においては、組織体及び組織体集団においてITに係る監査対象領域に基づいて決定する。その際に、組織体にとって受容できないリスク又は重要なリスクが存在すると合理的に推測できる範囲（組織、業務プロセス）を全てシステム監査の対象範囲に含めなければならず、その決定の合理性を説明できなければならない。
（3）　監査は、監査目的に基づき、ガバナンス、マネジメント、コントロール、及びこれらの統合的視点から検証する必要がある。
①　ガバナンスの視点：ITシステムに係るガバナンスを監視対象とする場合、取締役会などがITシステムの利活用について経営目的や経営戦略に沿うように経営者に対して適切な方向付けを行い、指示し、かつ、経営者の執行状況を監督し、必要に応じて是正処置を適切に指示しているかどうかを確かめることに重点を置いた監査計画となる。例えば、IT戦略は経営戦略と整合しているか、新技術や技術革新を経営戦略推進のために適時適切に利活用できているか、IT投資の結果が適切なリターンを生んでいる等を（等を）監査する計画が必要となる。また、マネジメントの視点、コントロールの視点での監査により識別した重大な不備やリスクの根本的発生原因がガバナンスにあると推察される場合には、その点についても検証する必要がある。
②　マネジメントの視点：ITシステムの利活用に係るマネジメントを監視対象とする場合、経営者による方向付けに基づいて、PDCAサイクルが確立され、かつ適切に運用されているかどうかを確かめることに重点を置いた監査計画となる。例えば、IT投資管理や情報セキュリティ対策が、PDCAサイクルに基づいて、組織体全体として適切に管理されているかどうかに関する監査計画が必要になる。なお、継続的モニタリングの実施により、PDCAサイクルのどこかに機能の不十分な点や重大なリスクが識別できた場合には、それらの点について監査を優先的に行うために監査計画を変更することも必要である。
③　コントロールの視点：ITシステムの利活用に係るコントロールを監視対象とする場合、業務プロセスなどにおいて、リスクに応じたコントロールが適切に組み込まれ、機能しているかどうかを確かめることに重点を置いた監査計画となる。例えば、規定に従った承認手続きが実施しているかどうか、異常なアクセスを検出した際に適時に対処及び報告がなされているかどうかに関する具体的な監査計画となる。なお、ここでいうコントロールには、手作業によるコントロールと、情報システムに組み込まれた自動化されたコントロールの双方が含まれることに留意する。
④　統合的視点：上記①～③の視点に加えて、必要な場合は、組織体の目的の達成を効果的かつ効率的に支援するITシステムの目的が達成されるようにガバナンス、マネジメント、コントロールが体系的に統合されて有効的に機能しているかかも監査の視点に含めなければならない。
2.　リスクアプローチ
（1）　システム監査におけるリスクアプローチとは、ITシステムに係るリスク尾大きさに応じて監査の時間や人員を充てることにより、監査を効果的かつ効率的に行う監査の実施方法である。リスクの大きさは、脅威と脆弱性が決定要因になるリスク発生可能性とリスクが発生した場合に組織体が受ける影響度の組み合わせで評価される。
　重大なリスクが存在する領域に対して漏れなく監査を行い、かつその領域に存在する重要な脅威や脆弱性（統制の不備）、リスクを適切に発見する監査を効果的・効率的に行うためにリスクアプローチで監査計画（監査スケジュール（時期と期間）、監査資源、予算、監査の方法など）を作成する。
（2）　リスクアプローチの監査を実施する前提となるのは、監視対象
に対する適切なリスクの識別、分析、評価と、監査実施に係る適切なリスクの識別、分析、評価である。
　システム監査に係るリスクには、監査対象に対するリスクと監査実施に対するリスクがある。
　システム監査において、監査対象に対するリスクとは、組織体の目標達成や戦略達成において、ITの利活用が果たすべき目標（あるべき姿）と実際（現状）との間で差異が発生する可能性とその影響の大きさである。監査対象に対するリスクは、固有リスク、統制リスク、残在リスクに分けられる。
①固有リスク：関連するコントロールが存在しないとの仮定のうえで、ITシステムに係るリスクで、経営戦略とIT戦略との不整合、業務プロセス上における情報システムの機能不全、情報漏洩などにより、情報システムの有効性、効率性、信頼性、安全性、コンプライアンスが維持されないリスクをいう。
②統制リスク：ITシステムの利活用に係るコントロールの不備・不足により、固有リスクの顕在化などの望ましくない状況や状態に対して、発生防止や適時の発見、是正がされないリスク。
③残在リスク：固有リスクに対してコントロールが施された後でも残っているリスク。
　また、監査実施に係るリスクとは、組織体に対して重要な影響を与えるリスクを発見できないなど、監査の目的が達成できない可能性を合理的に低い水準まで抑えられないリスクをいう。
　監査計画策定においては、まず監査対象全般についてのリスクの識別、分析、評価が行われ、そのリスク評価に基づいて、監査範囲の絞り込みや、監査時間、監査資源、予算、監査の方法などを含んだ監査計画を策定することになる。したがって、リスクアプローチとは、監査の網羅性（監査対象全般に対するリスク評価）と効率性（リスクに応じた監査の実施）を両立させるための方法である。
　なお、保証を目的としたシステム監査計画策定における監査対象先の選定や監査の優先度は、主として残在リスクの評価に基づき決定されるが、固有リスクと統制リスクは統合して評価する方が望ましい場合が多く、両者を区別して評価することにこだわるとリスク評価が形式的になるおそれがある。
　一方、助言を目的としたシステム監査は、システム監査の依頼者と監査人との合意により監査の内容が決定されるの。その場合、監査の内容についての協議は、統制リスク評価に基づいてなされる場合もあれば、残在リスク評価に基づいてなされる場合もある。
（3）　ITガバナンスに係るリスクは、ITガバナンス機能がITシステムの利活用に係る、法的要求事項を満たしていないリスクと経営判断を誤るリスク、監督が不十分なリスク、さらにはITシステムの利活用が組織体の求める目標（経営計画や経営戦略の達成のためのITシステムの利活用に係る目標）を十分に達成していないパフォーマンスに係るリスクに分けることができる。これらのリスクが顕在化しないように取締役会では、適切で十分な判断を行い（判断過程）、かつその判断が著しく不合理でないこと（判断内容）が求められる。判断過程の適切性と判断内容の合理性を確保するために、各取締役は相互監視しかつ取締役会として監督機能を果たすことにより、これらがガバナンスに係るコントロールの役目を果たすこととなる。監査役はガバナンスおける監査機能として、取締役会の機能発揮状況、取締役の職務の執行を監査する。ガバナンスの良し悪しの結果がマネジメント、コントロールにおいて具体的事象として出現するので、上記（２）のリスク評価の結果は、ガバナンスに係る監査計画策定の際にも有用である。
（4）監査計画の見直しについては、組織体内外の環境の変化によりリスクが相当程度変化した場合に検討し、必要な場合に適時適切に監査計画を変更すべきである。
3.　その他
（1）　監査計画の策定に当たっては、リスク評価とともに、必要に応じてリスク評価以外の諸点も考慮する必要がある。
（2）　ITシステムの利活用に係る助言業務を依頼された場合には、助言業務提供にによる組織体への貢献度、保証型監査実施への影響、助言提供能力などについて検討する必要がある。
（3）　監査計画を策定する際には、効果的・効率的にシステム監査を行うために必要な監査資源が識別される必要があり、適切かつ十分な監査資源は、システム監査を行う組織の長の責任により確保されなければならない。監査資源管理には他の監査やモニタリングの機能の連携、ITツールの活用、専門家やアウトソースの活用も含まれる。
　また、監査のテーマや目的によっては、システム監査以外の監査を担当する業務監査とシステム監査が一体となって監査を行う統合監査の実施も検討される必要がある。
（4）　システム監査を外部に委託する場合には、外部委託する組織の長の承認を得る必要がある
基準7・監査計画の種類
　システム監査を効果的かつ効率的に行うためには、監査計画を、中長期的な対応が必要な事項（中長期計画）とリスク・アプローチに基づき年間において監査を実施すべき事項（年度計画）と、年度計画に基づいて実施する個々の監査の為の計画（個別監査計画）に分けて、策定するのが有益である。
1.　監査計画は、中長期計画、年度計画、及び個別計画に分けて策定される。
2．中長期計画とは、システム監査の中長期における方針などを明らかにすることを目的として作成する。システム監査を経営に貢献するものとするために、又は利害関係者に対する説明責任を果たすために、情報システムの中長期計画と整合を取り、システム開発・更改計画やIT基盤の構築・更改等を踏まえて、システム監査の中長期計画を策定する。
3.　年度計画とは、中長期計画に基づいて、システム監査の年間スケジュールを内容とするものをいう。基本計画とも呼ばれる。
4.　個別計画とは、年度の基本計画に基づいて、個々のシステム監査対象ごとに、具体的な監査スケジュールまで落とし込んだ詳細計画をいう。
5.　原則として、長期計画、年度計画、及び個別監査計画は全て、リスク・アプローチにより策定される必要がある。

基準8・監査証拠の入手と評価
　監査手続の実施結果として監査証拠が入手され、監査証拠に基づいて監査の結論が形成される。監査手続に基づく監査証拠の入手は、監査の結論を得る為に必要不可欠なものである。
1.　個別計画に基づいて、監査手続を実施することによって、監査証拠を入手する。
2.　監査手続は、予備調査（事前調査ともいう。）と本調査に分けて実施する。
（1）　予備調査とは、監査対象の実態（例えば、情報システムや業務などの詳細、事務手続・マニュアルなどによる業務内容や業務分掌、組織図などによる体制など）を把握するプロセスをいう。
（2）　予備調査で必要な情報を入手する方法には、例えば、関連する文書や資料の閲覧、監査対象先のみならず、関連部門へのインタビューなどがある。
（3）　本調査とは、監査の結論を裏付けるために、十分かつ適切な監査証拠を入手するプロセスをいう。十分かつ適切な監査証拠とは、証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えた証拠をいう。
（4）　証拠としての十分性及び適切性を確保するためには、単にインタビューなどによる口頭証拠に依存するのではなく、それを裏付ける書類などの書面による証拠を入手したり、現物等と照合、実際の操作状況を観察したりさらにはテストの実施、詳細な分析などを実施する必要がある。
3.　監査手続の適用に際しては、チェックリスト法、ドキュメントレビュー法、インタビュー法、ウォークスルー法、突合・照合法、現地調査法、コンピュータ支援監査技法などが利用できる。
4.　監査手続は、それぞれ単独で構成される場合もあるが、一般的には、一つの監査目的に対して複数の監査手続の組み合わせによって構成される。
5.　アジャイル手法を用いたシステム開発プロジェクト等、ドキュメント作成に重きがおかれない開発手法が採用されている場合には、ウォーターフォールなどの従来開発手法とは作成されるドキュメントの種類やドキュメントの作成タイミングが異なることを十分に理解し、開発手法に応じた監査証拠を入手する。
6.　また、必要となる監査証拠を適時に入手するために開発の開発関係者の意思疎通を図る情報共有、コミュニケーションの仕組み、ルールが整備され、適切にルールが運用されているかを確かめることが重要である。
基準9・監査証拠の作成と保管
　監査調査とは、実施した監査手続、入手した監査証跡及び監査人が到達した結論の記録をいい、かつ、監査の結論の基礎となるものであることから、秩序ある形式で作成し、適切に保管しておく必要がある。
1.　監査実施内容の適切性・再現性等を確保する為に、監査調書を作成する。
2.　監査調書の記載事項には一般的に、以下の事項が含まれる。ただし、これらに限定されない。
・監査実施者および実施日時
・監査の目的
・監査手続
・監査証拠（監査結果を立証するための資料、データ、証言、監査証拠を含む記録などの全て）
・監査手続に基づき確かめた事項
・発見事項（事態・事象・真因・影響など）及び発見事実に対する所見
・監査調書のレビューが行われた場合には、レビューアの氏名及びレビュー実施日
3.　監査調書に記載されたシステム監査人の所見は、監査結果の結論をまとめるための合理的証拠となる。
4.　別途定められた手続きに従って監査調書を体系的に整理し、後日、容易に参照、活用できるように保管する必要がある。
5.　監査調書には、組織体の重要情報や機密情報が記載されていることから、受渡や持ちだしなどのルールを定めるとともに、未承認アクセスに対する防止策、及びバックアップ対策を講じる。

基準10・監査の結論の形成
　監査報告に先立って、監査調書に基づいて監査の結論を導く必要がある。保証目的、助言目的に関わらず合理的な根拠に基づき監査の結論を導かなければならない。
1.　監査の結論を導くための合理的な根拠を得るまで監査手続を実施することで、十分かつ適切な監査証拠を入手する必要がある。
2.　監査の結果、ITシステムのガバナンス・マネジメント・コントロールに不備や不足があることが明らかになった場合には、それによる発言可能性のあるリスクの具体的な内容と影響から、残在リスクの大きさを評価し、指摘事項として改善を求めるべきか否かを判断する必要がある、なお、キーコントロールが明らかに不十分な場合には、原則指摘事項として改善を求める必要がある。監査で発見された不備・不足の全てを指摘事項とする必要はない。また、指摘事項については、残在リスクの大きさに基づき指摘事項の優先順位付けを行う必要がある。
4.　監査対象先との間で事実確認を行う必要がある。事実確認の結果、指摘事項とすべきと判断した場合には、監査調書に記載された所見、当該事実を裏付ける監査証拠に基づき、意見交換会や監査講評会を通じて監査対象先に事実認識に相違ないかについて、最終確認を行う必要がある。

システム監査の基準ーシステム監査の報告

基準11・監査報告書の作成と報告
　作成された監査報告書は、監査の依頼者である取締役会及び経営者や監査対象先を含む適切な関係者に報告される必要がある。監査の目的、範囲や結果などの報告すべき内容を理解しやすい方法で報告することが重要である。結果的には結論並びに必要な場合改善の為の提案及び監査対象先による改善計画、またはそのいずれかを含む。
1.　システム監査がITガバナンスに関連する場合、取締役会及び経営者、監査役会に対する報告と併せて、組織体のガバナンス機能に係る機関にも監査報告書を提出することも必要である。
2.　監査対象先に対しては、監査報告書の写しを回付する。また、監査対象部門以外にも必要に応じて回付する。
4.　保証を目的とするシステム監査報告書には、監査の目的、範囲及び結果が記載される必要がある。詳細な記載事項やその記載方法は、一様ではないが、以下に例示するような記載を行うことが望ましい。
（1）監査の概要
・監査の目的（ニーズ、根拠、背景などでもよい）
・監査の対象範囲（その選定根拠を含むことが望ましい。）
・監査の実施期間
・監査の実施者
・必要に応じて採用した監査手続の概要
（監査の結果）
・結論
・指摘事項
・改善提案及び改善計画（監査報告に際し監査対象先が作成した場合）、又はそのいずれか
・（必要に応じて）総合意見
5.　助言を目的とするシステム監査報告書の様式や記載内容などは、システム監査の依頼者と監査人との間で同意した依頼内容に適したものとする必要がある。

基準12・改善提案（及び改善計画）のフォローアップ
　システム監査は、監査報告書の作成と報告をもって終了するが、監査報告書には改善提案及び監査対象先が作成した改善計画、又はそのいずれかを記載した場合には、当該改善事項が適切かつ適時に実施されているかどうかを確かめておく必要がある。なお、監査人は、改善の実施そのものに責任を負うことはなく、改善の実施が適切であるかをフォローアップし、取締役会および経営者に報告する点に留意する。
1.　監査人は、監査報告書に記載した改善提案への対応状況について監査対象先又は改善責任部門から、一定期間以内に、具体的な改善内容と方法、実施体制と責任者、進捗状況又は今後のスケジュールなどを記載した改善計画書を受領し、適宜、改善実施状況報告書によって改善状況をモニタリングする必要がある。監査報告書に監査対象先の作成した改善計画を記載する場合も、同様に改善状況をモニタリングする。
2.　フォローアップは、監査対象先の責任において実施される改善を監査人が事後的に確認するという性質のものであり、監査人による改善計画の策定及び実行への関与は、独立性と客観性を損なうことに留意すべきである。
3.　監査対象先から提出された改善実施状況報告書により、改善内容の妥当性、改善体制、改善の進捗状況などを確認し、監査人の改善提案の基となった指摘事項の重大性を統合的に勘案して、追加的な検証が必要かどうか、あるいは、次回以降の監査に反映すべき点がないかどうかを検討することが望ましい。
4.　監査対象先または改善責任部門が実施した改善策が不十分であるか、又は改善提案に基づく問題解決がなされないまま放置されている場合は、当該部門に対して、再度の改善提案を要請する必要がある。さらに、改善が適切かつ適時に行われない場合のリスクを明確にして、取締役会及び傾斜に報告する場合もある。
5.　フォローアップの終了後、フォローアップ報告書を作成し、監査対象先又は、改善責任部門に回付する必要がある。また、重要度に応じ経営者、取締役会にも報告する。