平成28年度 春期 ITパスポート試験 問39 解説 システム監査人の役割
システム監査人の役割に関する記述として,適切なものはどれか。
- ア 業務の流れや内容に着目して,業務フロー,業務記述書,リスクコントロールマトリクスを作成し,リスクを評価し適切な統制を導入する。
- イ 情報システムの企画,開発,運用,保守などの各局面に沿って,適切なモニタリングや自己点検の仕組みを導入し,情報システムが安定的に運用されるような措置を講じる。
- ウ 情報システムのリスクが適切かつ効果的にコントロールされているかについて,被監査部門から独立した立場で検証し,依頼者に報告する。 ✓ 正答
- エ 情報システムのリスクが適切にコントロールされるように,方針や目標を定め体制を整える。
解説
正解の判断根拠
この問題のキーワードはシステム監査人の「独立性」と「客観性」です。システム監査とは、システムが適切に運用されているかを客観的に評価する活動です。そのため、監査人はチェックされる側の部門(被監査部門)の影響を受けない「独立した立場」である必要があります。この視点で選択肢を絞り込めば、正解であるウが導き出せます。
システム監査人の役割とは何か
システム監査人の最大の役割は、第三者の目で「リスクが適切に管理されているか」を診断し、その結果を経営層などの依頼者に報告することです。
もし自分自身でリスク対策を考えたり(選択肢ア)、運用ルールを作ったり(選択肢エ)してしまうと、自分の仕事の結果を自分でチェックすることになります。これでは客観的な評価ができません。そのため、監査人はシステムを作ったり運用したりする立場ではなく、あくまで「評価者」の立場に徹する必要があるのです。
各選択肢が指し示す役割
選択肢を整理すると、それぞれの役割が明確になります。
ア:業務プロセスを設計し、リスクへの対策を考えるのは、業務を担当する現場の管理職やシステム開発部門の役割です。 イ:安定的な運用を維持するために仕組みを作るのは、情報システム部門や運用担当者の役割です。 ウ:これがシステム監査人の役割です。「独立した立場」で検証を行うことで、初めて公平な報告ができます。 エ:方針を立て、体制を整えるのは、組織全体の責任を負う経営層やIT部門のマネジメント層の役割です。
現場でこの知識が役立つ場面
実務において、この概念は「責任の所在を分ける」ために重要です。例えば社内でシステム開発を行う際、「自分たちで作ったシステムは、自分たちだけでテストして完了とする」のではなく、「第三者や外部の監査部門にレビューを依頼する」というプロセスが求められます。
この問題の教育的意図は、企業活動における「牽制(けんせい)」の重要性を理解させることにあります。一人または一組織ですべてを行うと、不正やミスを見逃す可能性が高まるため、役割を分担し、独立した第三者が評価する仕組みが、結果として組織全体の信頼性を高めることにつながるという考え方を学びます。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
