システム監査で用いる判断尺度の選定方法に関する記述として，最も適切なものはどれか。

イシステム監査のテーマに応じて，システム管理基準以外の基準を使用してもよい。

令和６年度 ITパスポート試験公開問題問48 解説システム監査の判断尺度

この問題の正解は「イ」です。システム監査において、監査の判断尺度（拠り所となる基準）は、監査テーマや目的、対象となる組織の特性に合わせて柔軟に選定されるべきだからです。経済産業省が策定した「システム管理基準」は非常に重要で標準的な指標ですが、それが唯一の絶対的なルールではありません。

システム監査は、組織が抱えるリスクに対して対策が適切に行われているかをチェックする活動です。しかし、すべてのシステム環境が同じではないように、チェックすべき基準も一律ではありません。

判断尺度の選定には、以下のような柔軟な視点が必要です。

業界固有の基準例えば、金融機関であれば金融庁の監督指針、製造業であれば生産管理特有の品質基準などが優先される場合があります。
組織内部の規定組織が独自に定めたセキュリティポリシーや業務手順書が、もっとも重要な判断材料になることもあります。
国際規格 ISO/IEC 27001（情報セキュリティマネジメントシステム）や、ITサービス管理のITILなど、グローバルな基準を採用して監査を行うことも一般的です。

ア、ウ、エの選択肢が不適切な理由は「柔軟性の欠如」です。

・アとウが誤りである理由システム管理基準はあくまでひとつの「ガイドライン」です。これを絶対視して適用できないケース（例えば、特定の技術要素に特化した監査など）や、より厳格な自社規定がある場合に、システム管理基準に縛られて監査の質を落とすことは避けなければなりません。

・エが誤りである理由アジャイル開発のような開発手法であっても、品質、セキュリティ、コンプライアンスの観点は不可欠です。手法が異なるとはいえ、システム管理基準で示されている基本的な「管理の考え方」は有効であり、それを活用してはいけないというルールは存在しません。

ITパスポート試験でこの知識が問われるのは、システム監査が「ただチェックリストを埋める作業」ではなく、「組織の目標達成を支援する建設的な活動」であるという本質を理解しているかを確認するためです。

実務では、監査人（監査を行う人）は、以下のプロセスで判断尺度を選定します。

このように、置かれた環境に合わせて最適な物差しを選べるようになることが、ITのガバナンス（統制）を支えるエンジニアやマネージャーの重要な素養となります。