平成27年度 春期 ITパスポート試験 公開問題 問39 解説 システム監査の評価

正解を導く考え方

システム監査における評価は、主観や忖度を排除し、事実に基づいた客観性が必要です。選択肢の中で唯一、客観的な根拠に言及しているものが正解となります。

監査証拠とは、監査人がシステムの状態や業務の運用状況を客観的に裏付けるために収集した資料や記録、インタビュー結果などを指します。推測や特定の部門の意見で評価を下すことは、監査の信頼性を損なうため、常に客観的かつ論理的な証拠に基づいて判断を下す必要があります。

システム監査における客観性の重要性

システム監査は、第三者の立場にある監査人が、組織のシステムが適切に管理され、リスクがコントロールされているかを評価する活動です。この活動が機能するためには、監査人自身が公平な立場を保たなければなりません。

・推測による評価の排除： 情報が不足しているからといって監査人が推測で補うことは許されません。十分な証拠が集まらない場合は、その旨を報告書に記述し、評価を保留する、あるいは追跡調査を行うのが正しい手順です。

・部門の意向に左右されない理由： システム利用部門や被監査部門の意向を反映させてしまうと、監査の結果にバイアスがかかり、不正やリスクが見逃される危険があります。監査人は組織の上層部や利害関係者から独立した立場で評価を下すことが求められます。

実務における監査証拠の役割

システム監査の現場では、監査人は以下のようなプロセスで証拠を集めます。

1. 証憑の閲覧：システムログ、操作マニュアル、セキュリティ設定変更の承認記録などを確認します。
2. インタビュー：担当者や責任者へヒアリングを行い、実際の運用状況とルールとの乖離を確認します。
3. 実査：物理的な入退室管理や、サーバー室の施錠状況などを直接目で見て確かめます。

これらの収集したデータが「監査証拠」となり、これらを突き合わせることで「このシステムはルール通りに運用されているか」あるいは「セキュリティ上のリスクはないか」を証明します。試験対策としては、監査とは「客観的な事実」と「基準（ルール）」を照らし合わせる活動であることを押さえておけば、どのような表現の問題が出題されても対応可能です。

参考リンク

• 【ITパスポート】システム監査とは何か？分かりやすく解説
• システム監査の実務でログ分析を自動化してみた（Qiita）
• システム監査基準（経済産業省）