平成21年度 春期 ITパスポート試験 問44 解説 システム監査人の役割

システム監査人の役割を正しく見分けるポイント

システム監査人の役割を問う問題では、「第三者（独立性）」と「評価・検証（客観性）」という2つのキーワードが含まれている選択肢を探すのが正攻法です。システム監査は、経営陣に対してシステムが安全かつ有効に運用されているか報告する活動であり、システムを作る、運営する、戦略を立てるといった当事者の立場とは明確に区別されます。

なぜ他の選択肢ではいけないのか

各選択肢を役割ごとに分類すると、システム監査人の立ち位置がより鮮明になります。

• ア：情報システムの運用・監視・保守を請け負う これはシステム運用業者（MSPなど）の役割です。システムを正常に動かすことが目的であり、監査の対象となる側です。
• イ：経営理念に合わせて情報化戦略を立案・実行する これはCIO（最高情報責任者）や経営層、あるいは情報システム部門の役割です。システムを活用してビジネスに貢献することが目的です。
• ウ：情報システムの構築・導入を一括して請け負う これはシステムインテグレーター（SIer）の役割です。顧客の要求に従ってシステムを納品することが目的です。

これらに対し、エの「独立した専門的な立場で検証又は評価する」という記述は、システム監査人が「自分たちで作ったものでも運用したものでもない、第三者の目」で公平にチェックを行うという本質を正しく表しています。

システム監査という業務の立ち位置

企業活動において、システムがダウンしたり情報が漏洩したりすることは致命的なリスクです。しかし、システムを開発・運用している部門が「自分たちのシステムに不備はないか」をチェックしても、見落としや隠蔽が起こる可能性があります。

そこで登場するのがシステム監査人です。彼らはシステム部門から独立した組織（監査部門など）に所属し、あえて「作ったり動かしたりする現場」から距離を置くことで、客観的な意見を述べられるようにしています。試験問題では、この「独立性」という概念が最も重要視されます。

実務における活用のヒント

この知識は、試験対策だけでなく、将来エンジニアとして働いた際に「監査」というプロセスにどう向き合うかを理解する助けになります。

例えば、社内でシステム監査が行われる際、システム担当者は「自分たちの仕事が批判される」と感じて身構えることがありますが、本来は「第三者の目でリスクを洗い出してもらい、より安全なシステムにするための改善機会を得る」というポジティブな側面があります。システム監査人を「敵」ではなく、安全性を担保してくれる「パートナー」として捉えられるかどうかは、ITプロフェッショナルとしての視野の広さに直結します。

参考リンク

• 【ITパスポート】システム監査とは？（システム監査人の役割と目的）
• 【実体験】社内システム監査を受けたので、その実態と対策について話します【Qiita】
• システム監査基準（経済産業省）