平成28年度 秋期 ITパスポート試験 公開問題 問54 解説 システム監査基準

システム監査基準とは、システム監査人が監査業務を遂行する上で従うべき「行動規範」や「判断の尺度」を定めたものです。この定義を理解していれば、選択肢ウが最も適切であることがわかります。他の選択肢は、名称が似ている他の基準（システム監査実施基準、システム管理基準、情報セキュリティ管理基準など）の説明と混同させようとしています。それぞれの基準の目的と役割を明確に区別することが、正解にたどり着くためのポイントです。

システム監査基準とは何か

システム監査基準は、経済産業省が策定したもので、システム監査人が「あるべき姿」としてどのような原則に従って監査を実施すべきかを定めています。具体的には、監査の独立性、客観性、専門能力、守秘義務、監査証拠の適切な評価、監査報告書の公正な作成など、監査人が守るべき倫理的・専門的な原則を規定しています。これにより、監査結果の信頼性と客観性を確保し、情報システムの健全な運用とリスク管理に貢献することを目指しています。

したがって、システム監査人が情報処理の現場での管理の適切性を判断するときの尺度として用いる、という選択肢ウの説明は、システム監査基準が監査人の判断基準、すなわち行動規範を定めているという本質を最もよく表しています。

似た名称の基準との区別

ITパスポート試験では、システム監査に関連する様々な基準が出てくるため、それぞれの役割を正確に理解しておくことが重要です。

システム監査実施基準

選択肢アの説明「システム監査業務の品質を確保し，有効かつ効率的に監査業務を実施するための基準を定めたものである。」は、システム監査実施基準の内容に近いです。これは、システム監査を具体的に「どのように実施するか」という、監査計画の策定、予備調査、本調査、監査証拠の収集・評価、監査報告書の作成といった具体的な手続きや手順を定めたものです。監査人がどのような手順で監査を進めるべきか、その「やり方」を定めています。

システム管理基準

選択肢イの説明「システム監査において，情報システムの企画・開発・運用・保守というライフサイクルの中で，リスクを低減するコントロールを適切に整備，運用するための基準を定めたものである。」は、システム管理基準の内容に近いです。これは、企業などの組織が情報システムを適切に「管理する側」として、どのような管理体制を構築し、どのような管理策（コントロール）を講じるべきかを示す基準です。情報システムのライフサイクル全体にわたるリスク管理の観点から、適切な管理方法を提示します。これは「管理される側」が目指すべき「管理のあり方」を示すものです。

情報セキュリティ管理基準

選択肢エの説明「組織体が効果的な情報セキュリティマネジメント体制を構築し，適切なコントロールを整備して運用するための基準を定めたものである。」は、情報セキュリティ管理基準の内容に近いです。これは、情報セキュリティに特化し、組織が情報資産を適切に保護するためのマネジメント体制や、具体的なセキュリティ対策（コントロール）の導入・運用に関する基準です。システム管理基準の一部として、特に情報セキュリティの側面を強化する役割を持っています。

ITパスポート試験における学習の意義

これらの基準に関する知識は、ITパスポート試験において、企業におけるITガバナンスや情報セキュリティ管理の重要性を理解するために不可欠です。システム監査基準を学ぶことで、システム監査人が企業のITリスクを適切に評価し、改善を促す上でいかに重要な役割を果たすかを認識できます。また、他の基準との違いを理解することで、企業が情報システムを健全に運用し、情報セキュリティを確保するための多角的なアプローチがあることを把握できます。実社会では、システム監査人はこれらの基準を尺度として、企業のIT管理が適切に行われているかを評価し、改善提案を行うことで、組織全体のIT活用を支援しています。

参考リンク

• ITパスポート試験 用語解説システム監査基準 - iTEC
• 経済産業省 システム監査基準
• システム監査 - Wikipedia