sg sg-management system_audit sg-security-management
まず結論
- 監査調書とは、監査人が実施した監査手続の内容、入手した資料、分析結果、判断の過程などを記録した文書です。
- SG試験では、監査調書と監査報告書、監査証拠を混同させてくることがあります。
- 判断基準はシンプルで、監査結果を外部に報告する文書ではなく、監査結果を裏付けるための記録が監査調書です。
直感的な説明
監査調書は、監査人の「作業ノート」に近いものです。
たとえば、システム監査でアクセス権限の管理状況を確認したとします。
そのとき、監査人は次のようなことを確認します。
- 誰に、どの権限が付与されているか
- 退職者や異動者の権限が削除されているか
- 権限変更の承認記録が残っているか
- 実際に確認した資料やヒアリング結果は何か
これらを確認した結果、
「アクセス権限の棚卸しが定期的に行われていない」
と監査報告書に書く場合、その判断に至った根拠が必要です。
その根拠や確認過程を整理して残すものが、監査調書です。
つまり、監査調書は、
- 何を見たのか
- どう確認したのか
- どのように判断したのか
- どの資料を根拠にしたのか
を後から説明できるようにするための記録です。
定義・仕組み
監査調書は、監査手続の実施内容や結果、関連資料、監査人の分析・判断をまとめた文書です。
システム監査では、監査人が結論を出すときに、思いつきや印象で判断してはいけません。
そのため、監査調書には、次のような内容が整理されます。
| 項目 | 内容 |
|---|---|
| 監査手続 | どのような確認を行ったか |
| 監査証拠 | どの資料・記録・ログなどを確認したか |
| 分析結果 | 確認した情報から何が分かったか |
| 監査人の判断 | 問題点や改善の必要性をどう判断したか |
| 関連資料 | 判断の根拠となる資料や記録 |
経済産業省のシステム監査基準では、監査調書の作成と保管が、システム監査の実施に関する基準の一つとして示されています。
ここで大事なのは、監査調書は監査報告書そのものではないという点です。
監査報告書は、監査結果の利用者に対して提出する文書です。
一方、監査調書は、その監査報告書に書かれた監査結果や監査意見、改善勧告を支えるための裏付け資料です。
どんな場面で使う?
監査調書は、監査の結論に至った過程を明らかにしたい場面で使われます。
たとえば、次のような場面です。
- 情報セキュリティ監査で、管理策の実施状況を確認したとき
- 委託先管理の監査で、契約書や報告書を確認したとき
- アクセス権限管理の監査で、利用者一覧や承認記録を確認したとき
- インシデント対応の監査で、対応記録や再発防止策を確認したとき
SG試験では、監査調書は監査の結論を支える根拠として問われることが多いです。
選択肢で、
- 「監査結果を利用者へ正式に報告する文書」
- 「経営者に改善勧告を伝える最終文書」
- 「監査対象部門が作成する改善計画」
のように書かれていたら注意です。
これらは、監査調書ではなく、監査報告書や改善計画に近い説明です。
監査調書は、あくまで監査人が作成し、監査の過程と根拠を記録する文書です。
よくある誤解・混同
監査調書と監査報告書の違い
最も混同しやすいのが、監査調書と監査報告書です。
| 用語 | 役割 |
|---|---|
| 監査調書 | 監査の過程・根拠・判断を記録する文書 |
| 監査報告書 | 監査結果・監査意見・改善勧告などを報告する文書 |
判断基準は、外に報告する文書か、報告内容を支える記録かです。
監査報告書は、監査結果を伝えるための文書です。
監査調書は、その監査結果を支えるための文書です。
監査調書と監査証拠の違い
監査証拠は、監査人が判断するために入手した資料や記録です。
たとえば、ログ、申請書、承認記録、契約書、チェックリスト、ヒアリング結果などです。
一方、監査調書は、それらの監査証拠を使って、監査人がどのように判断したかを整理した記録です。
| 用語 | イメージ |
|---|---|
| 監査証拠 | 判断の材料 |
| 監査調書 | 材料をもとにした確認・分析・判断の記録 |
SG試験では、選択肢に「証拠そのもの」と「証拠を整理した記録」が混ざることがあります。
資料そのものを指しているなら監査証拠、監査の過程や判断まで整理しているなら監査調書と切り分けます。
監査調書は、後から作ればよいものではない
監査調書は、監査の結論を出したあとに形だけ作る文書ではありません。
監査手続を進めながら、確認した内容や判断の根拠を秩序立てて記録していくものです。
選択肢で、
「監査報告書を提出した後に、必要に応じて作成する」
のように書かれていたら誤りです。
監査調書は、監査の結論を支えるために必要な記録なので、監査の過程が分かるように作成・保管されます。
まとめ(試験直前用)
- 監査調書は、監査手続・証拠・分析・判断の記録です。
- 監査報告書は、監査結果を報告する文書です。
- 監査証拠は、判断の材料となる資料や記録です。
- SG試験では、報告する文書か、裏付ける記録かで切り分けます。
- 「監査人が、監査の結論に至った過程を記録する」とあれば、監査調書を考えます。
確認問題
監査調書の説明として、最も適切なものはどれか。
ア. 監査対象部門が、監査結果を受けて作成する改善計画である。
イ. 監査人が実施した監査手続の結果や関連資料をまとめ、監査の結論を裏付ける文書である。
ウ. 監査結果を利用者へ正式に報告するために提出する最終文書である。
エ. システムの操作手順を利用者向けにまとめたマニュアルである。
回答と解説
正解は **イ** です。 監査調書は、監査人が実施した監査手続の結果、関連資料、分析結果、判断の過程などを記録し、監査の結論を裏付ける文書です。 アは改善計画、ウは監査報告書、エは操作マニュアルに近い説明です。🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】