平成31年度 春期 ITパスポート試験 問44 解説 システム監査の対象

システム監査の対象は「情報システムのライフサイクル全体」であると覚えておきましょう。情報システムの企画段階から開発、運用、そしてそれらの方針を決める戦略立案まで、情報システムに関わるあらゆるプロセスが監査の範囲に含まれます。

システム監査とは、組織の情報システムが効率的かつ安全に運営されているかを、第三者であるシステム監査人が客観的に評価する活動です。単にプログラムが正しく動いているかを確認するだけでなく、経営目標に沿った戦略が立てられているか、開発プロジェクトに無理がないか、運用ルールが守られているかといった「ガバナンス」や「リスク管理」の観点からもチェックが行われます。

具体的には、以下の3つの区分が監査対象の基本となります。

1. 情報システム戦略の立案（a） 経営戦略に基づき、どのようなシステムが必要かという計画を立てる段階です。この計画自体が不適切であれば、その後の開発や運用も組織にとって無意味なものになってしまうため、重要な監査項目です。

2. 情報システムの企画・開発（b） 具体的な仕様の策定やプログラミング、テストを行うフェーズです。プロジェクト管理が適切に行われているか、セキュリティ要件が盛り込まれているか、予算を超過していないかなどが監査されます。

3. 情報システムの運用・保守（c） 完成したシステムが安定して稼働しているか、障害発生時の対応が適切か、不正アクセスなどの脅威から守られているかを確認します。日常的な業務プロセスが対象となります。

試験において、システム監査の範囲を問う問題が出題された際は「システムに関わるすべてが対象」と判断して間違いありません。監査は情報システム部門の作業をチェックするだけでなく、経営層の意思決定プロセスや、システムを利用するユーザー部門のルール遵守状況までが含まれることも合わせて覚えておくと、応用問題にも対応しやすくなります。

• システム監査の基本（ITパスポート試験ドットコム）