平成26年度 春期 ITパスポート試験 公開問題 問50 解説 システム監査のプロセス

誰が何をするのかを整理して解く

この問題は、システム監査のプロセスにおいて「システム監査人」が主体的に行う作業はどれかを問うています。 ポイントは「監査する側（監査人）」と「監査される側（被監査部門）」の役割を明確に分けることです。

選択肢を見ると、予備調査は監査人が計画を立てるために必要なプロセスですが、他の選択肢（ルールの整備、改善の実施、報告書の受理）は、すべて被監査部門や経営陣など、監査人以外の役割です。したがって、監査人自身が動く「予備調査」が正解となります。

システム監査の流れと役割分担

システム監査は、第三者の立場であるシステム監査人が、組織のシステム運用が適正に行われているかを客観的に評価する活動です。このプロセスは大きく分けて以下の手順で進みます。

1. 監査計画の立案
2. 予備調査
3. 本調査（実施）
4. 評価・結論の検討
5. 監査報告

このうち、予備調査は本調査を効率的かつ効果的に行うために、対象となる業務の概要やリスクの所在をあらかじめ把握しておくステップです。監査人はここで得た情報を元に、重点的に調査すべき項目（監査項目）を絞り込みます。

対して、誤った選択肢の役割は以下の通りです。

ア：運用ルールの整備 これはシステムを利用する業務部門や情報システム部門（被監査側）の責任です。自らルールを作り、それを守る運用をするのが彼らの仕事です。

ウ：脆弱性の改善 これも被監査側の役割です。監査によって見つかった「不備」や「脆弱性」に対し、対策を講じて改善するのは、あくまでシステムを運用している側の義務です。

エ：システム監査報告書の受理 報告書は、監査人が経営陣に対して提出します。したがって、報告書を受け取るのは経営者（組織のトップ）となります。

なぜこの知識が重要なのか

ITパスポートでこの問題が出題される意図は、単に用語を暗記させることではなく「組織の中での責任の所在を理解しているか」を確認するためです。

実務の世界では、自分たちが運用しているシステムに第三者が入ってきて「ここがダメだ」「こう直せ」と言われると、つい身構えてしまうものです。しかし、監査はあくまで「組織をより良くするための客観的な診断」です。 誰がルールを作り（作成）、誰がそれを守り（運用）、誰がその妥当性を評価する（監査）のか。この役割分担（牽制関係）が正しく機能して初めて、企業は不正やミスを防ぐことができます。この考え方は、セキュリティマネジメントやガバナンスの根幹をなす非常に重要な視点です。

参考リンク

• 【ITパスポート】システム監査とは？（監査のプロセスや目的をわかりやすく解説）
• システム監査の実務現場ってどんな感じ？ 監査を受ける側の準備と心構え（Qiita）
• システム監査基準（経済産業省）