Contents
  1. テーマ:電気のない家は監査できない ~すべての業務に潜む「デジタル神経網」~
  2. 【練習問題】パート2 セクションA-3-c

テーマ:電気のない家は監査できない ~すべての業務に潜む「デジタル神経網」~

セクションA-3-cは、どのような監査業務(財務、業務、コンプライアンス)を計画する場合でも、ITリスク、セキュリティ、プライバシーの要素を必ず考慮(認識)しなければならないという要件です。

試験では、「IT監査人」を目指すわけでなくとも、一般の内部監査人として最低限知っておくべき「デジタルの作法」と、それを計画にどう組み込むかという「統合的思考」が問われます。

1. 導入:なぜ「すべての監査」でITを見るのか?

今日、ペンと紙だけで完結している業務はほぼ存在しません。 人事評価はHRシステムで、在庫管理はWMS(倉庫管理システム)で、顧客データはクラウド上のCRMで行われます。

したがって、「人事監査」を計画する際、そのシステムにおける「個人情報の保護(プライバシー)」や「アクセス権限(セキュリティ)」を無視しては、有効な監査になりません。

イメージ:
あなたは建物の「構造」を検査する人です。 柱や壁(業務プロセス)を見る際、壁の中を走っている「電気配線(ITシステム)」を無視できますか?
もし配線がショート(サイバー攻撃)していれば、家ごと燃えてしまいます。 だから、電気工事士(IT専門家)でなくとも、「ここに配線がある」「焦げ臭くないか」を認識する能力が必要です。

2. 計画策定時に認識すべき「ITの5大要素」

GIASおよびシラバスが求める、監査計画に組み込むべき5つの要素を整理します。

① サイバーセキュリティリスク(Cybersecurity Risks)
  • 内容: 外部からの攻撃(ハッキング、ランサムウェア)や内部不正による情報流出。
  • 計画での視点: 「この部署が扱っているデータは、ハッカーにとって魅力的か?」「リモートワークで穴が開いていないか?」
② ITコントロール(IT Controls)
  • IT全般統制(ITGC): すべてのアプリに共通する基礎(パスワード管理、変更管理、バックアップ、物理セキュリティ)。
  • アプリケーション・コントロール: 特定の業務ソフト内の機能(入力エラーチェック、自動計算、承認ワークフロー)。
  • 計画での視点: 「データ入力は正確に行われる仕組みか?(アプリ統制)」「退職者のIDはすぐに削除されているか?(ITGC)」
③ ITコントロール・フレームワーク(Frameworks)
  • 代表例: COBIT, NIST, ISO27001。
  • 目的と便益: ゼロからチェックリストを作るのは大変で漏れが生じます。フレームワーク(枠組み)を使うことで、「網羅的」かつ「効率的」に、世界標準の言語でリスクを評価できます。
④ データプライバシー(Data Privacy)
  • 内容: 個人情報保護(GDPR, CCPA, 個人情報保護法)。
  • 計画での視点: 「この監査対象は顧客や従業員の個人情報を収集しているか?」「利用目的外に使っていないか?」
⑤ データセキュリティ(Data Security)
  • 内容: データの機密性、完全性、可用性の保護。
  • 計画での視点: 「機密データは暗号化されているか?」「USBメモリで持ち出せないようになっているか?」

3. 「統合型監査(Integrated Audit)」の実践

試験では、「業務プロセスの監査計画の中に、IT要素をどう混ぜるか」が問われます。

  • ステップ1:依存度の確認 その業務プロセスがどのITシステムに依存しているかを特定する。
  • ステップ2:リスクの所在の特定 「手作業のミス」が怖いのか、「システムダウン」が怖いのか、「データ漏洩」が怖いのか。
  • ステップ3:専門家の活用 もし、高度な技術的検証(ペネトレーションテストなど)が必要なら、計画段階でIT監査専門家や外部ベンダーの協力を確保する。

まとめ

セクションA-3-cのポイントは、「ITは『別枠』ではない」ということです。

  • × 「来月、IT部門がセキュリティ監査をやるから、私の営業監査では見なくていいや」
  • ○ 「営業監査の一環として、営業担当者のタブレット端末の管理状況(セキュリティ)と、顧客名簿の扱い(プライバシー)をチェックしよう」

この意識転換こそが、2025年シラバスが求める監査人の姿です。

【練習問題】パート2 セクションA-3-c

Q1. 内部監査人は人事(HR)部門の「給与計算プロセス」の監査を計画している。給与計算は主にERPシステムによって自動化されている。この監査計画において、IT全般統制(ITGC)を考慮すべき理由として、最も適切なものはどれか。

A. IT全般統制の評価はIT部門の責任であり、人事部門の監査には関係がないため、考慮する必要はない。

B. ERPシステムが自動的に計算を行う場合、その計算ロジック(アプリケーション・コントロール)の正しさは、基礎となるIT全般統制(プログラム変更管理やアクセス管理など)が有効であることに依存しているから。

C. 内部監査人はすべての監査においてプログラミングコードをレビューする義務があるから。

D. IT全般統制を評価することで、給与計算担当者の手作業による入力ミスを完全になくすことができるから。

【解答・解説】

正解と解説を表示

正解(B): これが「統合的監査」の基本概念です。アプリケーション・コントロール(自動計算など)が正しく動いていると信じるためには、その土台であるIT全般統制(ITGC)がしっかりしている必要があります。例えば、誰かが勝手に計算プログラムを書き換えられる状態(変更管理の不備)であれば、計算結果は信用できません。

不正解(A): 業務プロセスがシステムに依存している以上、ITGCは監査範囲に関連します。

不正解(C): コードレビューは高度な専門領域であり、すべての監査人に求められるものではありません。

不正解(D): ITGCはシステム環境の統制であり、入力段階のヒューマンエラー(手作業ミス)を直接防止するものではありません(それはアプリケーション・コントロールや手作業統制の役割です)。

Q2. 内部監査人がマーケティング部門の監査を計画する際、「データプライバシー」のリスクを認識するために確認すべき事項として、最も優先順位が高いものはどれか。

A. マーケティング部門のPCにインストールされているウイルス対策ソフトのバージョン。

B. キャンペーンで使用する販促グッズの在庫管理方法。

C. 部門が実施する顧客アンケートやWebサイトを通じて収集される個人情報の種類(PII)と、その収集・利用に関する同意取得のプロセス。

D. マーケティング担当者が使用しているメールソフトの操作性。

【解答・解説】

正解と解説を表示

正解(C): データプライバシーの核心は「個人情報(PII: Personally Identifiable Information)」の扱いです。マーケティング部門は顧客データを大量に収集するため、どのような情報を集め、法的に適切な同意(GDPRや個人情報保護法など)を得ているかを確認することが、計画段階での最重要リスク認識事項となります。

不正解(A): これは「サイバーセキュリティ/ITセキュリティ」の問題であり、プライバシー特有の問題ではありません(関連はしますが、Cの方が直接的です)。

不正解(B): 在庫管理は資産保全の問題です。

不正解(D): 操作性は効率性の問題であり、プライバシーリスクとは直接関係しません。

Q3. 個々の監査業務の計画において、NIST(米国国立標準技術研究所)やCOBIT、ISOなどの「ITコントロール・フレームワーク」を参照・使用することの「目的および便益」に関する記述として、最も適切なものはどれか。

A. フレームワークを使用することで、ITリスクやコントロールを評価するための網羅的かつ体系的なアプローチが可能になり、監査の見落としを防ぎ、効率性を高めることができる。

B. フレームワークを使用することは法律で義務付けられているため、従わなければ罰則が科される。

C. フレームワークを使用すれば、IT専門知識がない監査人でも、外部の専門家を使わずに高度なサイバーセキュリティ監査を完遂できることが保証される。

D. フレームワークは非常に複雑であるため、監査時間を不必要に増大させるが、体裁を整えるために使用される。

【解答・解説】

正解と解説を表示

正解(A): フレームワークを使用する最大のメリットは、世界中の専門家の知見が詰まった「地図」や「チェックリスト」を使える点です。これにより、監査人はゼロからリスク項目を考える必要がなくなり、重要な領域(網羅性)を標準的な言語で効率的に評価できます。

不正解(B): 一部の規制産業を除き、特定のフレームワークの使用は法的義務ではありません(ベストプラクティスです)。

不正解(C): フレームワークは「何をすべきか(What)」を示しますが、高度な技術的検証(How)を自動的に解決する魔法の杖ではありません。専門家の必要性は排除されません。

不正解(D): 正しく使えば、ゼロから考えるよりも効率的であり、無駄な時間を削減します。