I.監査契約の締結

 本ガイドは監査手続き実施前の契約の締結から記載しています。本来なら独立して記載すべき事項かもしれませんが、JASA初めてのガイドということで、あえて契約の締結をするにあたっての監査人の留意点を記載することにしました。この章の概要は以下のとおりです。

1. 業務内容の確認

(1)監査責任者の決定
(2)形式的要件の検討
(3)実質的要件の検討
(4)監査の目的,監査対象,基準の明確化
  1. 監査の目的の把握
  2. 監査対象の把握
  3. 基準(判断の尺度)の把握
  4. 監査報告書を公開または第三者に提示する可能性

2. 契約リスクの評価

(1)業種・業態に関連する契約リスク
(2)規模に関連する契約リスク
(3)内部環境に関連する契約リスク
(4)内部管理体制に関連する契約リスク
(5)その他の考慮事項

3. 契約

 次に、この章における重要なポイントについて解説していきます。

・業務引受可否の検討

 業務を引受の可否について、形式要件及び実質要件(実際に業務を遂行する能力があるかどうか)を検討しなければなりません。特に形式的要件では独立性についての要件についても検討する必要があります。

・監査報告書を公開または第三者に提示する可能性

 契約を締結するに先立ち、監査報告書の公開または第三者に提示する可能性について検討をする必要があります。特に、地方自治体の場合、情報公開条例等により情報を公開することが考えられます。

・契約リスクの把握

 すべての業務にリスクがあるように、監査業務にもリスクが存在します。監査人は監査を引き受けるにあたり、その業務におけるリスクを把握し、監査業務引受の可否を検討しなくてはなりません。助言型監査において想定される契約リスクとしては、以下のような観点から検討することになります。

  • 業種・業態(通常の行政業務、病院、学校等の違い)
  • 規模(大規模なネットワークを有している。)
  • 内部環境(不利な情報を隠蔽しがちである。組織内のコミュニケーションが不十分である。)
  • 内部管理体制(十分な情報セキュリティ対策が行われていない。)

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。