平成22年度 春期 ITパスポート試験 問42 解説 システム監査の定義
企業の内部監査の一環で実施されるシステム監査の内容として,適切なものはどれ か。
- ア システム運用者が,自部門の業務がルールどおりに実施されているかを,自己点検表を使用して確認した。
- イ システム開発者が,次期システムの要件をシステムの利用者へのアンケート調査によって確認した。
- ウ システム部門以外の者が,システム部門での業務がルールどおりに実施されているかを,チェックシートを使用して確認した。 ✓ 正答
- エ システム部門の者が,社内で所有する情報機器が台帳の記載どおりに設置されているかを実地棚卸しによって確認した。
解説
独立性と客観性がカギとなるシステム監査
この問題は、システム監査の定義である「独立した第三者による評価」というキーワードを理解しているかで正誤が決まります。システム監査において最も重要なポイントは、監査を行う人が「監査対象の部門に属していないこと(独立性)」と「利害関係を持たずに公平に評価すること(客観性)」です。選択肢の中から、この条件を満たしているものを探せば正解にたどり着けます。
システム監査における独立性の原則
システム監査とは、組織が保有する情報システムが適切に管理・運用されているかを、組織内の利害関係から独立した立場にある者が客観的に評価する活動です。
もしシステム部門自身が自らの業務を監査すると、都合の悪い事実を隠蔽したり、甘い判断を下したりするリスクがあります。これを「手前味噌の評価」にさせないために、社内の他の部署や、あるいは外部の専門家がチェックを行う必要があるのです。これが「独立性」を確保するという考え方です。
選択肢を分析する思考プロセス
問題文の「内部監査の一環」という言葉から、組織内部で行われる監査であることがわかります。
ア:自部門による自己点検(セルフチェック)は、運用の質を高めるための重要な活動ですが、これは「日常的な管理」の一部であり、組織が求める「システム監査」には該当しません。
イ:アンケート調査は要件定義のためのプロセスであり、システムの開発工程の一環です。監査とは目的が異なります。
ウ:これが正解です。システム部門以外の者が行うことで、利害関係を排除し、客観的な視点から業務がルールどおりかを評価できます。これが内部監査の適正なあり方です。
エ:実地棚卸しは資産管理のための確認作業であり、監査というよりも「日常的な管理業務」に分類されます。
実務現場における監査の重要性
この知識は、社会人としてITシステムに関わる際に「なぜこの部門がわざわざチェックしに来るのか」を理解するために役立ちます。
企業においてシステム監査は、単にルールを守らせるための監視活動ではありません。客観的な視点を入れることで、現場の人間では気づかないリスク(セキュリティの穴や業務手順の非効率さ)を早期に発見し、システムの信頼性や安全性を高めるための「改善のチャンス」を創出するプロセスです。したがって、監査を「面倒な仕事」と捉えるのではなく、「客観的な評価によって自部門の信頼を裏付ける機会」と捉えるのが、プロフェッショナルなITエンジニアとしての正しい姿勢といえます。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
