令和６年度 ITパスポート試験 公開問題 問42 解説 システム監査人の役割

選択の判断基準

システム監査人の役割を考える際は「独立した第三者であること」と「改善を実行するのは現場（被監査部門）である」という2点を区別することが重要です。

監査人はシステムのチェックや評価を行いますが、自らシステムを改修したり、業務プロセスを変更したりする権限や責任は持ちません。この原則に基づくと、自ら改善を指示する行為や、実行まで踏み込む行為は監査人の役割外となります。

システム監査人の役割とは

システム監査とは、情報システムが安全で有効に機能しているかを、利害関係のない第三者が客観的に調査・評価する活動です。

選択肢の各項目の判断は以下の通りです。

a. 監査計画の立案（適切） 監査の対象範囲や期間、実施手順を決定する監査計画の作成は、監査人自らが行う最も基本的な役割です。

b. 監査報告書の公開先の決定（不適切） 監査報告書は、監査人が経営陣（取締役会や監査役など）に対して提出するものです。その報告書をどの範囲まで公開するか、あるいは社外に開示するかどうかを決めるのは経営者の責任であり、監査人が勝手に決めることではありません。

c. システムの改善指示（不適切） 「指摘事項」を伝えて改善を求めることはしますが、具体的に「どう改善するか（システム改修の設計や業務フローの変更）」を指示するのは、そのシステムを管理・運用している責任者の仕事です。監査人が指示を出すと、自らの監査結果を自ら評価することになり、第三者としての独立性が損なわれます。

d. 改善状況のモニタリング（適切） 監査人が改善を直接実行することはありませんが、指摘された問題が正しく是正されたかどうかを確認する「フォローアップ」は監査人の重要な責務です。改善の結果を検証し、さらなるリスクがないかを評価します。

試験における重要な視点

この問題の教育的意図は、ガバナンスにおける「分業」の概念を理解することにあります。

もし監査人が改善の指示まで行ってしまうと、その改善策が失敗した際に「自分の出した指示が原因ではないか」というバイアスが生じ、後の監査で公平な判断ができなくなります。これを「自己レビューの脅威」と呼びます。

実務においても、情報システム部門と監査部門は明確に役割が分かれています。監査人は常に「評価し、報告し、確認する」という客観的な立場に徹することで、組織全体のガバナンスが機能する仕組みとなっているのです。

参考リンク

• 【ITパスポート】システム監査とは？試験に出る重要ポイントを解説
• Zenn: システム監査人が現場のコードレビューに参加してはいけない理由
• システム監査基準（経済産業省）