平成28年度 秋期 ITパスポート試験 公開問題 問40 解説 監査の種類と目的

この問題は、ITパスポート試験で頻出する監査の種類と目的について、その定義を正しく理解しているかを問うものです。各記述がどの監査の目的に該当するかを判断し、適切な組み合わせを選ぶことで正解にたどり着けます。

監査の目的を正しく見極める

まず、それぞれの記述がどのような監査の目的に対応するかを特定します。

• a 財務諸表がその組織体の財産, 損益の状況などを適正に表示しているかを評価する。
  • 「財務諸表」「財産, 損益の状況」といったキーワードから、これは企業の会計情報に関する監査であり、一般に会計監査の目的です。問題の選択肢にある「業務監査」「システム監査」「情報セキュリティ監査」のいずれにも直接は当てはまりません。
• b 情報セキュリティ確保の観点も含めて, 情報システムに関わるリスクに対するコントロールが, リスクアセスメントに基づいて適切に整備・運用されているかを評価する。
  • 「情報システムに関わるリスク」「コントロール」「整備・運用」がキーワードです。情報システムの信頼性、安全性、効率性などを評価するシステム監査の目的と合致します。情報セキュリティの観点も含まれるという点がポイントです。
• c 情報セキュリティに関わるリスクのマネジメントが効果的に実施されるように, リスクアセスメントに基づく適切なコントロールの整備, 運用状況を評価する。
  • 「情報セキュリティに関わるリスク」「リスクのマネジメント」「コントロールの整備、運用状況」がキーワードです。これはまさに情報セキュリティ監査の目的そのものです。情報システム全体ではなく、情報セキュリティに特化した評価を行います。
• d 組織の製造, 販売などの会計業務以外の業務全般についてその遂行状況を評価する。
  • 「会計業務以外の業務全般」「遂行状況を評価」がキーワードです。組織の様々な業務プロセスが適切かつ効率的に行われているかを評価する業務監査の目的と一致します。

これらの対応関係を整理すると以下のようになります。

• 業務監査 → d
• システム監査 → b
• 情報セキュリティ監査 → c

この組み合わせとなっている選択肢を確認すると、「エ」が「業務監査: d, システム監査: b, 情報セキュリティ監査: c」となっており、これが正解です。

監査の基本と種類

企業活動において「監査」は、組織が設定した目標やルールに従って活動しているか、リスクが適切に管理されているかなどを第三者の視点から評価し、改善を促す重要な役割を担っています。ITパスポート試験では、現代の企業活動で不可欠なITに関わる監査について特に理解が求められます。

監査とは何か

監査とは、ある対象（業務、システム、財務など）について、設定された基準や規則、法律などに照らして適切に行われているか、あるいは目的が達成されているかを独立した立場の人が評価し、その結果を報告する活動です。これにより、組織の健全性や信頼性を高め、リスクを低減することを目的とします。

業務監査

業務監査は、組織の会計業務以外の、製品の製造、販売、サービスの提供、人事管理など、あらゆる事業活動のプロセスや遂行状況を評価します。その目的は、業務が効率的かつ効果的に行われているか、不正や無駄がないかなどを確認し、業務改善に役立てることです。記述dがこれに該当します。

システム監査

現代の企業活動はITシステムなしには成り立ちません。システム監査は、組織の情報システムが、組織の目標達成に貢献しているか、信頼性・安全性・効率性が確保されているかなどを評価します。情報システムの導入から運用、保守に至るライフサイクル全般が対象となり、システムの脆弱性やセキュリティ対策の状況、さらには情報システムを支える組織体制なども評価の範囲に含まれます。記述bは、このシステム監査の目的に合致します。

情報セキュリティ監査

情報セキュリティ監査は、システム監査の一部として行われることもありますが、特に情報セキュリティに焦点を当てた専門的な監査です。情報資産の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を維持するための対策が、リスクアセスメントに基づいて適切に実施・運用されているかを評価します。不正アクセス、情報漏えい、システム障害などの情報セキュリティリスクを適切に管理できているかを確認し、情報セキュリティレベルの向上を目指します。記述cがこれに該当します。

会計監査（補足）

記述aで示された会計監査は、企業の財務諸表（貸借対照表、損益計算書など）が、会計原則や法令に従って適正に作成されているかを評価するものです。株主や債権者などの利害関係者に対し、企業の財政状態や経営成績を正しく報告していることを保証するために行われます。多くの場合、公認会計士など外部の専門家によって実施されます。業務監査が「会計以外の業務全般」を対象とするのに対し、会計監査は「会計業務」に特化している点で異なります。

なぜITパスポートで監査が問われるのか

ITパスポート試験では、情報技術だけでなく、経営全般に関する幅広い知識が問われます。その中で監査が重要視されるのは、以下の理由からです。

企業ガバナンスとITの重要性

現代企業では、情報システムの適切な運用が企業経営の根幹をなしています。情報システムに不具合やセキュリティ上の問題があれば、企業活動全体に甚大な影響を及ぼし、企業の存続すら危うくする可能性があります。そのため、情報システムがリスクを適切に管理し、組織目標に貢献しているかを客観的に評価する監査の役割が非常に大きくなっています。ITパスポートの学習を通じて、ITの専門家でなくても、企業におけるITガバナンスの重要性や、それを支える監査の仕組みを理解しておくことは、社会人としての必須知識と言えます。

実務での監査の視点

ITパスポートを取得する皆さんは、将来様々な職種でITを活用することになります。システム開発や運用、情報セキュリティ対策、業務改善など、どの分野においても「このやり方で本当に適切か」「リスクはないか」「目標は達成できているか」といった監査的な視点を持つことは非常に重要です。監査の目的や種類を理解しておくことで、自身の業務の質を高め、組織全体の健全な運営に貢献できるようになります。

参考リンク

• システム監査基準 - 経済産業省
• 業務監査とは？メリット・デメリット・監査項目・監査手順について解説
• 情報セキュリティ監査基準 - 経済産業省