令和8年度 ITパスポート試験 公開問題 問47 解説 システム監査
監査を会計監査,業務監査,情報セキュリティ監査,システム監査に分けたとき,システム監査に関する記述として,最も適切なものはどれか。
- ア 業務で使用している情報の漏えいに関するリスクマネジメントが効果的に実施されていることの検証
- イ 財務諸表の作成に至る業務全般に関して,不正や誤りがなく処理されていることの検証
- ウ 情報システムに係るリスクに対して,組織において適切に対応していることの検証 ✓ 正答
- エ 情報システムの利用を含めた組織内の諸業務が組織の方針に従って,合理的かつ効率的に運用されていることの検証
解説
監査の種類をキーワードで見分ける
この問題は、それぞれの監査が「何を対象に」「何を検証するのか」を理解していれば、選択肢のキーワードから正解を導けます。システム監査のポイントは「情報システム」と「リスクへの対応」という言葉の組み合わせです。
監査の種類と判断のポイント
監査は目的によって以下の通り明確に分類されます。それぞれの定義を整理しておきましょう。
- システム監査: 情報システムに関するリスクを評価し、組織が適切に対応しているかを検証するもの。
- 情報セキュリティ監査: 情報の機密性、完全性、可用性が維持されているか、セキュリティ対策が適切かを検証するもの。
- 会計監査: 財務諸表が会計基準に準拠し、適正に作成されているかを検証するもの。
- 業務監査: 業務が組織の方針やルールに基づき、効率的かつ有効に行われているかを検証するもの。
問題の各選択肢をこの定義と照らし合わせます。
- ア: 情報の「漏えい」という言葉が鍵です。これは情報セキュリティ監査の領域です。
- イ: 「財務諸表」という言葉が出れば会計監査です。
- ウ: 「情報システムに係るリスク」への対応を検証するものであり、これがシステム監査の定義です。
- エ: 業務が効率的に運用されているかの検証は、業務監査の範囲です。
なぜシステム監査が必要なのか
ITパスポート試験でシステム監査が出題される背景には、現代企業における「ITへの依存度の高さ」があります。
システムが止まればビジネスが停止する、あるいは個人情報が流出すれば企業価値が著しく低下するというリスクが常に存在しています。しかし、システムを導入した現場の担当者だけでは、自分たちのやり方が客観的に見てリスクに対して十分な対策ができているのか、判断が難しい場合があります。
そこで、システム開発や運用から独立した立場の専門家(システム監査人)が、「第三者の目」で冷静にチェックを行う必要があります。「組織としてのコントロールが効いているか」を検証することは、ガバナンス(統治)を強化し、経営陣に対してシステムの信頼性を保証するために欠かせないプロセスです。
実務での活かし方
システム監査の考え方は、プログラマやインフラエンジニアにとっても重要です。たとえ自分が監査人にならなくても、「この機能は監査の対象になったときに、どのようにログを残せば客観的な証拠になるか」「この運用フローはルール違反と見なされないか」という視点を持つことができます。
このように、業務プロセスを「監査を受ける視点」で整理する習慣を持つことは、システム品質の向上だけでなく、トラブル発生時の追跡性(トレーサビリティ)を高めることにも直結します。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
