「システム監査基準(案)」に対する意見

１．氏名　藤野正純

２．所属　公認システム監査人、公認会計士

3-1　意見の該当箇所　システム監査基準　全体について

4-1　意見　（保証型監査を実施可能にする監査手法）

　情報セキュリティ監査基準とシステム監査基準は、監査基準という規範のレベルにお

　いて同等であるはずである。だからといって、一年余り以前に公表された「情報セキ

　ュリティ監査基準」と今回の「システム監査基準」が同文でなければならない必然性

　はない。この間に明らかになった「情報セキュリティ監査基準」の不備や欠陥を補修

　する試みがなくては、システム監査にとって益するところは少なく進歩がない。

　今回、監査の判断規準と監査人の行為規範を峻別された点や、保証型監査の必要性を

　認識された点は評価できるが、いずれも「情報セキュリティ監査基準」で取り上げら

　れた事柄である。この二点を取り上げた結果、不備が明らかになったのが、どのよう

　にすれば保証型監査が実施できるのかという面である。監査の判断規準と監査人の行

　為規範だけでは監査は実施できない。いかにして保証型監査を行うのかを、監査基準

　の中で示されなければならない。

　ただし、こうした監査手法は、今すぐに提示できるわけではないので、順次構築して

　いくことを宣言するだけでも意義があるものと考える。

 

3-2　意見の該当箇所　一般基準　１．目的、権限と責任　報告基準　４．監査報告に

ついての責任

4-2　意見

　ここでいう目的、対象範囲、権限、責任が、誰と誰の間で合意又は契約されるものな

　のかを明示する必要がある。特に保証型監査の場合、システム監査人は誰に対して責

　任を負うのかを明示する必要がある。

　これは一律に規定できるものではないので、少なくとも、保証型と助言型には区分し

　て記述すべきである。

5-2 理由

　保証とは、被監査客体の行為やその結果としての事実について、特定の又は不特定の

　第三者に対して、一定の責任を請け負うことをいうが、「一般基準」の文面からは、

　システム監査人が誰に対して責任を請け負うのかが曖昧でありわからない。

　行為を監査する場合と結果としての事実を監査する場合では、責任の持ち方に差異が

　あるはずであり、監査報告書で保証する程度も異なるはずである。

　そうした多様性に言及しない基準は、規範として使えないのではないか。

 

 

3-3 意見の該当箇所　一般基準　2.3 職業倫理と誠実性

4-3 意見

　内部監査人は、システム監査を職業とするものでないので、内部監査人に対して職業

　倫理を求めることは出来ない。

5-3　理由

　内部監査人と外部監査人では、監査の目的や種類、地位や権限や責任が異なるにも拘

　わらず、同文の監査基準で、規範を示そうとしている点に無理がある。   

 

3-4　意見の該当箇所　一般基準4.2　守秘義務

4-4　意見

　守秘義務は、監査を請け負う職業的専門家が自らの職業倫理として問題とすべき事柄

　であって、監査基準で規定するものではない。

5-4　理由

　外部監査の場合は、システム監査人協会などの職業的専門家の団体が職業倫理規定を

　設けその会員に遵守を求め、守秘義務をはじめとする倫理水準の維持に努めるもので

　あり、内部監査においては、会社の就業規則などにより社員たる内部監査人に守秘義

　務を求めるものである。

　守秘義務の遵守は、職業的専門家団体や会社があってはじめて、実効あるものとなる。

　　システム監査基準は、会計監査の監査基準を手本としているようであるが、監査基

　準の中で守秘義務を取り上げているのは日本だけであるといわれていることも参考と

　すべきである。

 

回答：従来からシステム監査基準で守秘義務を規定しており、また、システム監査を実施する人全てが、守秘義務規定を含む倫理規定のあるシステム監査の団体に属していないことを考慮して記載しています。

回答に対する私見：倫理規定をもたないシステム監査の団体や、そうした団体に属さないシステム監査人に対して、システム監査が依頼されることはないというのが、常識的な想定だと思う。相当レベルの倫理感の醸成や倫理的な行動を期待できるかどうか分からない人達に、監査を委ねることはリスクが大きすぎるからである。

また、監査基準で守秘義務を規定したからといって、自ら守秘義務規定をもたないなら、監査人は依頼人の信用を得ることは出来ないであろう。

このふたつの理由から、どうしてそこまでこだわって、守秘義務規定をシステム監査基準に残そうとするのかが、私には分からない。

　

3-5　意見の該当箇所　一般基準3　専門能力

4-5　意見

　システム監査人は、受動的な「教育」ではなく、能動的に「研鑽」を積むことにより

　専門能力を維持するものである。

 

回答：教育とは受動的な意味だけではなく、能動的に教育を受けるという意味を含んでいます。

回答に対する私見：教育とは、おしえそだてること [久松潜一監修講談社国語辞典]である。「教」の字は、「学舎で学ぶ子弟たちを長老たちが鞭で打って励ますこと」[白川静　常用字解]である。したがって、能動的に教育を受けるというのは強弁が過ぎるようだ。「能動的に・・・受ける」という言い方も少し矛盾しているが。

私の意見は、常用漢字にないからという理由で採用されないと予想していたが、思わぬ回答に驚いてしまった。

「研鑽」の語を使ったのは、職業的専門家は受け身ではなく、能動的に専門能力を維持するはずだと主張したかったためである。「教育」には、そのような能動的な意味合いが非常に希薄であるので避けるべきであろう。「研鑽」ほど能動的な意味合いはないが、「研修」という語でも「教育」よりはましだと思う。

 

　

3-6　意見の該当箇所　実施基準　2.監査の手順

4-6　意見

　予備調査と本調査の違いについて、意義を明確にすべきである。

5-6　理由

　予備調査とは、監査契約を締結するかどうかを判断するための調査なのか、監査計画

　を立案するために必要な調査なのか、あるいは、初度監査で実施されるものなのか、

　継続監査で実施されるものかが明らかではなく、システム監査を実施する際に混乱を

　招いている。

 

 

3-7　意見の該当箇所　報告基準　3.監査報告書の記載事項

4-7　意見

　「除外事項」は保証型監査の監査手法が確立するまでは使用しないことが適当である。

5-7　理由

　「除外事項」は会計監査における専門用語であり、システム監査報告書でそれを同義

　で使用するならば、保証型監査での監査意見が、会計監査のそれと同様な監査意見

　（適正意見、限定付適正意見、不適正意見）を想定することになる。

　そのようなアプローチがシステム監査にとって適切であるかどうか不明な現時点では、

　「除外事項」を使用することは誤解を招く。

　システム監査基準を記述するのに、安易に会計監査用語を借用することは避けるべき

　である。

 

回答：除外事項（Exception）は必ずしも会計監査の用語ではありません。ISO審査の不適合と同様の意味になります。

「除外事項」という用語は、会計監査論の中では、古くから重要な語として議論が為されてきている。

（会計監査の）監査基準が昭和４０年に改正されたときに、同義である「除外事項」と「限定事項」を、「なるべく『除外事項』なる用語を使用することと」[日下部與一　監査基準逐条詳解] し、その後、監査報告準則に、「・・・重要な除外事項があると認めた場合には、当該除外事項を明示し、かつ、それが財務諸表に与えている影響を記載しなければならない。」「除外事項が財務諸表に特に重要な影響を与えていると認めた場合には、財務諸表が会社の財政状態及び経営成績を適正に表示していない旨及びその理由を記載しなければならない。」と、監査意見（適正意見、限定付適正意見、不適正意見）を形成する際のキーワードとして使われてきた。平成１４年に改正された現行の監査基準でも、基本的にはその意義が踏襲されており、「・・・経営者が採用した会計方針の選択及びその適用方法、財務諸表の表示方法に関して不適切なもの・・・」を除外事項と呼んでいる。[監査基準 第四 報告基準 四 意見に関する除外]

「除外」も「事項」も普通名詞で日常の会話や文章で使われるものだが、「除外事項」となると、一般的な用語とは言い難い。除外という語をどうしても使いのであれば、除外「項目」とでもすればよいのである。Exceptionの翻訳語が除外事項と限るいわれはないのであるから、例外でも異例でも異常と訳してもいいわけである。

回答では、「除外事項」が必ずしも会計監査用語ではないと言っているが、実際には、会計監査の世界で最も頻繁に使われてきたし、今もなお使われ続けている。

そのような特定の色に染まった用語を、システム監査基準にも使うというのなら、それ相当な理由がなければならないと考える。同じ「監査」という行為をする際の規範の上で、「除外事項」という用語が、会計監査基準とシステム監査基準では意味が違うというのでは、システム監査を利用する人達にとっても、システム監査を学ぼうとする人達にとっても、理解を妨げる元になるからだ。

論点が少しずれてしまった。

私が意見で述べたかったのは、「除外事項」というきわめて会計監査色の強い用語を用いるということは、システム監査報告のフレームワークが会計監査のそれと同じであるという誤解を招くので避けるべきであるという点であった。

会計監査よりもＩＳＯ審査の方に、システム監査が近いと考えるのなら、「除外事項」を使わずに、回答にある「不適合」という用語を使えばいいわけである。

だれも公言はしていないが、システム監査のフレームワークは、実のところ、まだ出来ていない。少なくとも、保証型のシステム監査の場合、どのように監査をすれば保証が可能な報告書を作り得るのかというフレームワークが出来ていない。

システム監査のフレームワークが出来ているかのように錯覚しているのは、厳しい言い方かもしれないが、旧（会計）監査基準をほぼ敷き写して作成したために、システム監査基準が、基準としての体裁を整えているからだ。

「除外事項」などという用語があると、公認会計士にとっては、除外事項と監査報告書の関係図が頭に浮かび、会計監査と同じやり方でシステム監査が出来るように錯覚してしまう。

会計監査と同じようなフレームワークでシステム監査を考えていいのですか？　というのが私の意見のポイントであったのだ。

 

回答：システム監査基準で取り扱う問題ではないと判断しました。

回答：ありがとうございました。