平成26年度 秋期 ITパスポート試験 公開問題 問45 解説 システム監査

選択肢の判断ポイント

システム監査とは「専門的な知識を持つ第三者が、組織の情報システムが正しく管理されているかを客観的にチェックすること」です。

判断のポイントは以下の通りです。

• ア：ISO 9001は品質マネジメントシステムに関する規格であり、システム監査そのものの定義ではありません。
• イ：ISO 14001は環境マネジメントシステムに関する規格です。
• ウ：ITを用いた監査は「コンピュータ支援監査技法（CAAT）」などと呼ばれますが、これはシステム監査の手法の一部であり、全体を指す言葉ではありません。
• エ：これが正解です。システム監査の目的である「リスクへの対応状況の評価」が正確に説明されています。

システム監査とは何か

システム監査は、組織が抱える情報システムのリスクに対し、その対策（コントロール）が適切に設計され、実際に機能しているかを評価する活動です。

たとえば、機密情報が流出しないように「アクセス権限の管理」というコントロールを設けたとします。システム監査人は「その権限設定は誰でも変更できるようになっていないか（整備状況）」や「実際に退職者のIDは即座に削除されているか（運用状況）」を、独立した立場で確認します。

なぜ独立した立場が必要かというと、身内だけでチェックを行うと、慣れ合いや見落としが発生する可能性があるからです。客観性を担保することで、経営陣に対して「このシステムは信頼できる」という報告を行うことが重要な役割となります。

なぜこの知識が重要なのか

ITパスポート試験でこの項目が問われる理由は、現代のビジネスにおいて情報システムが経営の根幹を支えているからです。

システム監査の知識があれば、実務の現場で「なぜこの面倒な承認フローが必要なのか」「なぜパスワードを定期的に変更しなければならないのか」といった、セキュリティルールの背景にある「統制（コントロール）」の概念を理解できるようになります。

また、情報システムの開発や運用に携わる際、最初から「監査で指摘されないような、堅牢で透明性の高いシステム設計」を意識できるようになるため、システムエンジニアやプロジェクトマネージャーを目指す上でも非常に重要な視点となります。

システム監査の基本的な流れ

システム監査は場当たり的に行うものではありません。以下のステップで進められるのが一般的です。

1. 監査計画の策定：何を、いつ、どのように監査するかを決めます。
2. 予備調査：システムの概要を把握します。
3. 本調査：証拠資料の収集、ヒアリング、現地視察を行います。
4. 評価・報告：監査の結果をまとめ、経営者や被監査部門へ報告します。

特に「コントロール」という言葉は、ITパスポートにおいて「リスクを未然に防ぐための仕組み」と読み替えると、問題文が非常に読み解きやすくなります。

参考リンク

• ITパスポート試験ドットコム システム監査
• 【初心者向け】システム監査とは？なぜ必要なのかをわかりやすく解説
• システム監査基準 - 経済産業省