平成27年度 春期 ITパスポート試験 公開問題 問40 解説 システム監査の目的

システム監査という言葉に注目しましょう。この言葉には「第三者が」「客観的に」「評価する」という意味が含まれています。問題文にある「コントロールが適切に整備運用されていることを検証する」という行為そのものがシステム監査の定義と一致するため、正解はエとなります。

なぜ他の選択肢ではいけないのか

各選択肢のキーワードは、ITパスポート試験で頻出ですが、役割が全く異なります。

アのBCP（事業継続計画）は、災害などの緊急事態が発生した際に、どのように事業を継続させるかという「計画」そのものです。コントロールを検証する活動ではありません。

イのITILは、ITサービスマネジメントを効率的かつ効果的に行うための「成功事例（ベストプラクティス）」を集めたガイドラインです。これを参考に運用を行いますが、運用状況を検証する手段そのものを指すわけではありません。

ウのITガバナンスは、ITを経営の目的達成のためにいかに統制し、活用するかという「組織的な仕組み」や「体制」のことです。検証するための活動というよりは、検証を受ける側（組織）が構築すべき枠組みを指します。

システム監査とは何か

システム監査とは、情報システムのリスクに対して対策（コントロール）が正しく機能しているかを、専門知識を持つ独立した第三者がチェックする活動です。

なぜ「第三者」が必要なのでしょうか。自分たちの業務を自分たちだけでチェックすると、どうしても甘い判定になったり、重大なミスを見落としたりする可能性があるからです。客観的な立場の人間が、専門的な視点で「このシステムは安全か」「法令を守っているか」「業務効率は適正か」を評価することで、組織の信頼性を担保します。

実務における活用の考え方

システム監査は、単に「正解か不正解か」を突きつけるためのものではありません。監査の結果、不備があれば「是正勧告」が行われ、企業はそれを基にシステムの改善を図ります。

例えば、社内のID管理において「退職者のIDが長期間放置されている」というリスクがあったとします。システム監査人はこれを指摘し、企業は「自動的に無効化する仕組みを作る」というコントロールを導入します。この一連のサイクル（監査→指摘→改善）を回すことで、組織のIT環境はより強固で安全なものになっていきます。

ITパスポート試験においてこの分野が問われるのは、ITを導入して終わりではなく、常にその適切性を「見守り、改善し続ける意識」がエンジニアやビジネスパーソンに求められているからです。

参考リンク

• 【ITパスポート】システム監査とは？試験対策ポイントをわかりやすく解説
• 【実例】システム監査で指摘されることって何？現場のエンジニアが語る振り返り
• システム監査基準 - 経済産業省