平成26年度 秋期 ITパスポート試験 公開問題 問40 解説 システム監査の改善責任

指摘事項への対応責任は「管理権限を持つ人」にある

この問題のポイントは、システム監査で指摘された課題を誰が解決すべきかという「改善責任の所在」を明確にすることです。結論を出すための判断基準は非常にシンプルです。

・改善の責任者 ＝ その対象を普段から管理・運用している部門の責任者

設問文にある「システム運用部門が管理する無停電電源装置」という記述に注目してください。管理責任があるのはシステム運用部門であるため、その責任者である「システム運用部門長」が改善（是正処置）を行う必要があります。

システム監査における改善責任の考え方

システム監査とは、独立した立場の監査人が、情報システムの管理状況が適切であるかを評価する活動です。監査の結果、不備や改善点が見つかった場合、監査人は「指摘事項」をまとめます。しかし、監査人自身は改善のための作業を行う権限を持っていません。

監査によって見つかった不備を直す（是正処置をとる）ことは、あくまでそのシステムや設備を所管する部門の役割です。組織のルールでは、責任の所在と権限はセットになっている必要があります。もし、管理権限のない部門長や、全く関係のない部署が改善を指示されたとしても、現場の状況を把握しておらず、予算やリソースの確保もできないため、適切に問題を解決することができません。

なぜこの知識が重要なのか

ITパスポート試験において、この問題が問われる理由は、企業活動における「役割と責任（職務分掌）」の概念を理解しているかを確認するためです。

実務の世界では、今回のような設備の劣化だけでなく、セキュリティ対策の不備や、バックアップの失敗など、さまざまなリスクがシステム監査によって指摘されます。その際、「誰が報告を受け、誰が指示を出し、誰が実際に手を動かして直すのか」というプロセスが曖昧だと、リスクを放置することになり、重大なシステム障害や情報漏洩につながる恐れがあります。

試験に出るような、ごく基本的な「責任者は誰か」という問いは、実務において責任の所在を明確にし、迅速かつ確実に問題を解決するための土台となる考え方です。自分が現場の担当者になったときに、自分の管理範囲内の問題が指摘されたら「自分たちが責任を持って対応しなければならない」と即座に判断できる力が求められています。

参考リンク

• システム監査の概要と流れ｜ITパスポート試験対策
• システム運用の現場で起きていること：なぜ現場の責任者が対応すべきなのか（Qiita）
• システム監査基準｜経済産業省