令和元年度 秋期 ITパスポート試験 問36 解説 システム監査の目的

システム監査の目的は、情報システムが「安全か」「有効か」「効率的か」という3つの観点から適切に機能しているかを、第三者が客観的にチェックすることです。選択肢の中で「リスクをコントロールし、安全・有効・効率的に機能させる」という包括的な目的を述べているものが正解となります。

システム監査の核心は「客観的な評価」です。システムを利用する現場や開発する担当者ではなく、独立した立場の「システム監査人」が、組織のルールに従っているか、法規制を守っているか、無駄なコストがかかっていないかなどを調査します。

具体的には以下の観点でチェックが行われます。

安全性（セキュリティ）: 不正アクセスやウイルスによる情報漏えいが防がれているか、災害時にデータが復旧できる体制があるか。 有効性（目的達成度）: システムが経営戦略や事業の目的に沿った成果を出せているか。 効率性（生産性）: 投資した費用に対して十分な効果が出ているか、システムの稼働状況に無駄はないか。

試験では、システム監査と他の業務との違いを区別できるかがポイントです。他の選択肢を見てみましょう。アの「バックアップをとる」は現場の運用業務です。イの「スキルアップ」は人材育成や人事の領域です。ウの「要件定義」はシステム開発プロセスの一部です。これらはすべて「システムを作る」「使う」という実行側の業務ですが、システム監査は「その実行が正しく行われているかを外から評価する」活動である点が異なります。

問題パターンとしては、システム監査の「目的」を問う問題のほか、システム監査人と被監査部門の関係性を問う問題も頻出です。例えば「監査人はシステム開発や運用には直接関与せず、独立した立場で意見を述べる」といったルールを覚えておくと、応用問題も解きやすくなります。

• ITパスポート用語集：システム監査とは