平成25年度 春期 ITパスポート試験 公開問題 問51 解説 システム監査の実施内容

システム監査は第三者による客観的評価が鉄則

この問題は、システム監査の定義における最も重要な原則である「独立性」を理解しているかを問うものです。正解を選ぶためのポイントは「監査する人とされる人が同一人物・組織ではないか」という点に着目することです。監査対象から独立した第三者が、客観的かつ公平な立場でチェックを行うというキーワードが含まれている選択肢が正解となります。

システム監査における独立性の重要性

システム監査とは、情報システムにまつわるリスクが適切に管理されているかを、専門的な知識を持った独立した立場の人が調査・評価し、助言を行う活動です。

なぜ「独立性」が必要なのでしょうか。もし、自分が担当した業務や自分が開発したシステムを自分自身でチェックした場合、ミスを見落としたり、意図的に悪い報告を隠したりする可能性（利害の対立）が生じます。これでは公平な評価はできません。そのため、組織図上でも監査部門はシステム開発や運用部門から切り離されており、責任者が直接経営陣に報告を行う体制を築くことが求められます。

誤った選択肢が意味するもの

選択肢ア、イ、エは、いずれもシステム監査の定義である「独立した第三者による監査」には該当しません。

・選択肢アは「品質マネジメント」です。品質管理責任者が自ら仕組みを作るのは、品質向上のための日常的な運営業務であり、監査ではありません。 ・選択肢イは「自己検証」や「テスト」のフェーズです。開発者が行うテストは製品の品質を確保するためのプロセスであり、監査とは目的や立ち位置が異なります。 ・選択肢エは「セキュリティ診断」や「脆弱性検査」です。これらはシステム管理者がシステムの安全性を維持するために行う技術的な作業であり、これ自体は監査ではありません（監査は、このような作業が正しく行われているかを外部からチェックすることです）。

このように、他の選択肢は「自分たちで改善する活動」や「技術的な運用作業」を指しており、監査という言葉の持つ「客観的な評価」という本質からは外れていると判断できます。

実務現場における監査の意義

この知識は、ITパスポートの試験対策だけでなく、実際の職場でも非常に重要です。企業がプロジェクトやシステムを運営する際、開発チームだけでは「自分たちのやり方が本当に正しいのか」「法的に問題はないか」を客観的に判断するのが難しい場合があります。

そこで登場するのが内部監査や外部監査です。専門的な知見を持つ第三者が介入することで、現場の独りよがりな運用を防ぎ、企業の信頼性を保つことができます。また、監査報告書で指摘された内容は、現場のエンジニアにとっては「改善のための重要なフィードバック」となります。監査を「厳しくチェックされる場」と捉えるのではなく、「システムの品質やリスク管理を客観的に見直すための機会」と捉えることで、ITプロフェッショナルとしての視座を養うことができます。

参考リンク

• ITパスポート試験の「システム監査」をわかりやすく解説
• 【実務】社内システム監査の現場で見られる指摘事項と改善事例
• 日本システム監査人協会 - システム監査とは