監査のときに「本当に正しいのか」を裏付ける証拠のこと
簡単な説明
監査証拠ってのは、「ちゃんとやってるよね?」って確認するための証拠だよ。
たとえばログとか契約書とか、証明になるモノを集めてチェックするって感じ。
由来
監査証拠は、「監査(かんさ)」という、業務や記録がルール通りに行われているかをチェックする活動の中で使われる概念です。もともとは会計監査から始まりましたが、ITの世界では「情報システム監査」において重要な概念です。
具体的な説明
監査証拠とは、監査人(かんさにん)が調査対象について正しい判断を下すために集める「事実を示す資料や情報」です。これにより、企業や組織がルール通りに業務をしているかを証明できます。
例えば、システムにログインした記録(ログ)や、操作履歴、設定ファイル、電子メールなどが監査証拠になります。これらは、誰が、いつ、何をしたかを確認するために必要です。監査人は、証拠の「信頼性」「十分性」「適切性」を見て評価します。
監査証拠(audit evidence)は、監査意見を形成するために取得される記録、データ、観察結果などを指します。国際監査基準(ISA 500)においては、証拠の適切性(appropriateness)と十分性(sufficiency)が重要視されます。適切性は証拠の質、十分性は量を意味します。
たとえば、「システムログの整合性確認」という実験があります。ログが改ざんされていないかをハッシュ関数を使って検証する方法が用いられます。その結果、監査証拠として信頼できるログかどうかを判断できます。
例文
「このアクセスログを見れば、誰がどのファイルを見たかがわかるから、これは大事な監査証拠になるね。」
疑問
Q: 監査証拠ってどんなものがありますか?
A: ログファイル、画面のスクリーンショット、システムの設定ファイル、契約書やメールの記録などが含まれます。
Q: 監査証拠がなかったらどうなりますか?
A: 監査人は正しい評価ができず、問題があっても気づけない可能性があるため、監査の信頼性が下がります。
Q: ログだけが監査証拠になるのですか?
A: いいえ。ログ以外にも、文書、インタビュー結果、データベースの記録など多様なものがあります。
Q: 監査証拠は誰が集めますか?
A: 通常は監査人(社内監査部門や外部監査人)が計画的に集めます。
Q: 全部の証拠を集めなければならないのですか?
A: すべてを集める必要はありません。「リスクが高い部分」や「重要な業務」に絞って効率よく証拠を集めます。
理解度を確認する問題
次のうち、「監査証拠」に該当するものはどれか?
A. 経営者の感想
B. システム利用者の噂話
C. アクセスログの記録
D. テレビのニュース番組
正解:C. アクセスログの記録
関連論文や参考URL
The Role of Audit Evidence in IT System Audits(ITシステム監査における監査証拠の役割)
内容:この研究では、システム監査における監査証拠の種類とその有効性が分析されました。
結果:ログ、ユーザ認証履歴、アクセス制御設定などが最も信頼されやすい証拠とされ、証拠の質とタイムスタンプの整合性が監査結果に大きく影響することがわかりました。
まとめ
監査証拠とは、監査で事実を確認するために使う証拠資料のことです。
ログや契約書、スクリーンショットなどが代表的な例です。
証拠は「正確さ」と「量」が大切で、監査の信頼性を支えます。
コメント