平成27年度 秋期 ITパスポート試験 公開問題 問35 解説 システム監査の報告

システム監査の報告先を問う問題です。この問題は、システム監査の定義である「経営者からの依頼に基づき、独立した立場で評価する」という基本原則を理解していれば、迷わず「経営者」を選べる問題です。

監査の依頼主は報告の受け取り手

システム監査の最も重要なポイントは、誰のために実施されるかという点です。システム監査は、経営陣が企業のガバナンスやリスク管理を適切に行うために、客観的な目が必要になった際に実施します。

つまり、監査人は経営者という「雇い主」からミッションを受けて調査を行い、その調査結果（現状の課題や改善点）を「雇用主」である経営者に報告するのが正しい手順です。助言や勧告は、システムを修正・改善する権限と責任を持つ者に伝える必要があるため、権限のない利用者や、外部の株主・監督官庁ではなく、組織の意思決定権を持つ経営者に対して行います。

なぜ他の選択肢ではいけないのか

システム監査のプロセスにおいて、監査報告先が適切でないと以下のような支障が生じます。

・株主や監督官庁 これらは組織の外にいる存在です。監査結果を経営者の判断を経ずに直接外部へ報告することは、個別のシステム監査の枠組みとしては適切ではありません（法的な報告義務などがある場合を除きます）。

・システムの利用者 利用者はシステムを現場で使う人たちですが、システム全体の方針や予算を決定する権限は持っていません。どれだけ現場で改善を叫んでも、経営資源（予算や人員）を配分する権限を持つ経営者が動かなければ問題は解決しないため、利用者に勧告しても組織としての改善は進みません。

経営に役立つシステム監査の考え方

システム監査は、単にシステムの不具合を見つける作業ではありません。情報システムが経営目標の達成に貢献しているか、リスクに対して適切に管理されているかを評価し、経営層が正しい意思決定を行うための判断材料を提供することに真の価値があります。

実務においては、監査人が出した「助言及び勧告」を経営者が受け取り、それをIT部門や各現場へ指示として落とし込むことで、初めて組織の改善サイクルが回ります。この問題を理解しておくことは、会社の中でどのようにリスク管理や業務改善のフローが流れるべきかを把握することにつながります。

参考リンク

• ITパスポート試験ドットコム システム監査
• システム監査って何？現場のエンジニアが受けてみた体験談
• システム監査基準 - 経済産業省