平成26年度 春期 ITパスポート試験 公開問題 問31 解説 システム監査の対象

この問題は、システム監査の定義と、その守備範囲を理解しているかを問うものです。

正解を選ぶための判断基準は「システム監査は、あくまで情報システムに関わる領域をチェックするもの」という点にあります。情報システムが全く介在しない業務は、ITの信頼性や効率性を検証するシステム監査の対象外となります。

システム監査とは何か

システム監査とは、組織の情報システムにまつわるリスクに対し、専門的な知識を持った第三者（システム監査人）が、客観的な証拠を集めて評価を行い、改善に向けた助言を行う活動です。

ここで重要なのは、対象となる「情報システム」の範囲です。これは単にコンピュータのハードウェアだけを指すのではありません。具体的には以下のようなものが含まれます。

• ハードウェアやソフトウェアなどの技術基盤
• ネットワーク環境
• 蓄積されているデータ
• そのシステムを使って行われる業務処理の手順やルール
• システムの開発や運用に関わる組織体制や規定

つまり、ITを活用して業務を遂行しているあらゆるプロセスが監査の対象となり得るのです。

なぜ他の選択肢が誤りなのか

他の選択肢を否定する理由は以下の通りです。

アについて：民間企業であっても、情報システムを活用して事業運営を行っている以上、システム監査の対象になります。むしろ、企業の競争力や信頼性に直結するため、非常に重要な監査対象です。

イについて：インターネットに接続していない「スタンドアロン」のシステムであっても、情報漏洩のリスクや処理の正確性は重要です。ネットワーク形態にかかわらず、情報システムであれば監査対象となります。

ウについて：会計業務は確かに監査の重要度が高い分野ですが、システム監査の対象はそれに限定されません。販売管理、人事給与、在庫管理、製造管理など、システムで自動化・効率化されているあらゆる業務が監査の対象です。

実務における教育的意図

この問題は、ITパスポート試験において「システム監査の目的と範囲」という基本概念を定着させるために出題されています。

実務の世界では、システム監査の結果が経営層に報告され、IT投資の最適化やセキュリティの強化に役立てられます。ITを活用した業務改善（DXなど）を進めるにあたり、「自分たちの行っている業務が、どのようにITと紐づいていて、どこにリスクがあるのか」を理解しておくことは、情報システム部門の担当者だけでなく、一般のビジネスパーソンにとっても必須の教養といえます。

システム監査は「システムを批判する」のではなく「組織がより安全かつ効率的にITを活用できるよう支援する」ための前向きな活動であることを押さえておきましょう。

参考リンク

• システム監査とは（システム監査技術者試験の概要）
• システム監査の基本知識（ITパスポート受験対策）
• システム監査の活用事例とDX時代の役割