令和６年度 ITパスポート試験 公開問題 問55 解説 システム監査の目的

システム監査とは、第三者の視点から情報システムを客観的にチェックする活動です。この問題を解くためのポイントは、監査の目的を「点検そのもの」ではなく「組織の目標達成への貢献とリスク管理」という高い視座で捉えることです。選択肢の中で、システム監査の定義として求められる「第三者による評価」と「組織への寄与」の両方に触れているのはウのみです。

システム監査とは何か

システム監査は、情報システムが経営の役に立っているか、そして安全に運用されているかを、システム部門とは利害関係のない第三者が専門的な立場で評価するプロセスです。

試験対策として、システム監査の目的を以下の3点に絞って覚えておくと非常に強力です。

1. 信頼性：システムは正しく動いているか、データは正確か。
2. 安全性：不正アクセスや情報漏えいなどのリスクに対し、適切な対策が取られているか。
3. 有効性：投資に見合う効果を上げ、組織の目標達成に貢献しているか。

これらを満たしているかを客観的に評価し、問題点があれば助言（改善の勧告）を行うのが監査人の役割です。

選択肢を比較する思考プロセス

各選択肢を分析すると、なぜウが正解なのかが明確になります。

アはシステム開発における「要件定義」の説明です。これはシステムを作る側の作業であり、監査ではありません。 イは「ファシリティマネジメント」や「データセンター管理」の概念に近い記述です。施設管理も大切ですが、監査の目的とは異なります。 エは「プロジェクトマネジメント」の定義です。プロジェクトの要求事項を満たすための活動であり、システム全体を客観的に評価する監査とは目的のレイヤーが異なります。

ウの「リスクに対応しているかを評価する」という点は、監査の核心です。リスクが適切に管理されていればシステムは安定し、結果として組織は安心して目標に向かって進めるという論理構成になっています。

なぜこの知識が重要なのか

実務において、システム監査は「経営の健康診断」のような役割を果たします。システムは一度作って終わりではなく、常に新しい脅威や業務の変化にさらされています。

この問題の教育的意図は、単に用語を覚えるだけでなく「システムに関わる管理活動にはそれぞれ役割がある」という全体像を理解させることにあります。開発（作る）、運用（使う）、監査（正す）という役割分担があるからこそ、企業は安全かつ効率的にITを活用できるのです。システム監査の目的を理解しておくことは、情報セキュリティマネジメント（ISMS）の考え方を学ぶ上でも非常に重要な土台となります。

参考リンク

• システム監査とは？目的や手順、活用メリットをわかりやすく解説
• 【実体験】システム監査を受けてみた！指摘事項の重みと現場の改善プロセス
• システム監査基準 - 経済産業省