平成25年度 秋期 ITパスポート試験 問37 解説 システム監査の対象

システム監査の対象範囲に関する問題は、監査がシステム全体を客観的に評価する活動であることを理解していれば確実に正解できます。この問題では、企画・開発・運用のすべてを網羅している矢印を選ぶことが正解の判断根拠となります。

システム監査とは何か

システム監査とは、情報システムに関するリスクをコントロールできているかどうかを、第三者であるシステム監査人が客観的に評価するものです。

システム開発における「上流工程だけ」「運用中だけ」といった部分的なチェックではなく、システムが組織の目的を達成するために適切に企画され、安全に開発され、正しく運用・保守されているかというライフサイクル全体が対象となります。特定の工程に不備があってもシステム全体としての信頼性は揺らぐため、包括的な視点が求められます。

ライフサイクル全体を捉える視点

情報システムのライフサイクルは、一般的に次の3つのステップで構成されます。

1. 企画工程：何のためにシステムを作るのか、費用対効果はどうかを検討する
2. 開発工程：要件定義や設計を行い、実際にプログラムを作成・テストする
3. 運用・保守工程：完成したシステムを稼働させ、定期的なメンテナンスや改善を行う

システム監査は、これらの一連の流れが組織のルールや法令に従って行われているかを調べます。例えば、「開発は完璧だが企画段階で経営層の承認が適切になされていなかった」場合や、「企画・開発は健全だが運用ルールが形骸化している」場合など、どこか一つでも綻びがあれば問題となります。そのため、監査の範囲は常にすべてのライフサイクルを包み込むものとなります。

実務におけるシステム監査の重要性

システム監査の結果は、経営者や利害関係者に対して「このシステムは信頼できる」という保証を与える役割を果たします。ITパスポートでこの概念を問う意図は、将来的にシステム開発に関わる際、単に自分の担当範囲だけでなく、プロジェクト全体のライフサイクル全体を意識し、客観的に妥当性を評価する視点を持ってほしいという期待が込められています。

例えば、大規模なシステム障害が発生した際、どの段階でリスク管理が漏れていたのかを振り返ることは、まさにライフサイクル全体を監査する視点そのものです。この概念を学ぶことで、システム開発が単なる技術作業の積み重ねではなく、ガバナンスとコントロールが統合されたプロセスであると理解できるようになります。

参考リンク

• システム監査とは？目的や対象、種類を分かりやすく解説
• システム監査の全体像と実務での活用事例（エンジニアの視点）
• システム監査基準（経済産業省）