令和8年度 ITパスポート試験 公開問題 問51 解説 システム監査のプロセス

この問題は、システム監査の4つのプロセスにおける「成果」と「役割」を理解しているかを問うものです。各プロセスの定義を、「何をする時間か」という視点で整理すると一瞬で答えが出ます。

判断根拠は以下の通りです。 ・監査計画：どのような方針で監査を行うかを決める準備段階。 ・予備調査：調査対象の全体像を把握し、リスクのありかを絞り込む段階。 ・本調査：実際に証拠資料を集め、事実関係を確認する段階。 ・評価・結論：集めた証拠を分析し、監査人の意見をまとめる最終段階。

設問にある「収集した結果に基づき、監査意見を検討する」という行動は、すべての調査が終わった後にしかできません。したがって、もっとも後の段階である「評価・結論」が正解となります。

システム監査の4プロセスを整理する

システム監査は、行き当たりばったりで行うものではなく、定められた手順に沿って客観的に行われます。試験では以下の流れを必ずセットで覚えておきましょう。

1. 監査計画：いつ、何を、どの範囲まで調べるかを決定します。
2. 予備調査：現場の資料やヒアリングを通じ、リスクが高い箇所（重点的に調べるべき場所）を特定します。
3. 本調査：予備調査の結果をふまえ、チェックリストや証跡の確認を行い、監査証拠を集めます。
4. 評価・結論：本調査で集まった事実を基準（規程や法律など）と照らし合わせ、「問題はあるのか、ないのか」を判断し、監査報告書を作成します。

この問題のように、「意見を検討する」という文言があれば、それは「評価・結論」のフェーズを指します。もし「証拠を収集する」という文言であれば「本調査」を選ぶのが正解です。

現場でこの知識が活きる理由

ITパスポートで学ぶこのプロセスは、実際の企業の内部監査やセキュリティ監査においてもそのまま適用されます。

実務において、監査は「指摘して終わり」ではありません。なぜその結果になったのか、証拠（客観的な事実）は十分か、といったプロセスの根拠を明確にする必要があります。例えば、今回のように「外部媒体の管理状況」を調べる場合、「なんとなく怪しい」という感想だけで結論を出すことはできません。

本調査で「USBメモリの持ち出し記録簿が未記入であった」という事実を掴み、評価・結論の段階で「規程に違反しているため、管理体制を見直すべきである」という改善勧告へとつなげる必要があります。このように、監査という業務は「事実（証拠）」を「基準（ルール）」に照らして「意見（判断）」を導き出すという、極めて論理的な工程で行われるのです。このプロセスの理解は、将来的に自分が監査を受ける側になった際にも、どのような準備をすればよいかを判断する指針となります。

参考リンク

• システム監査とは？目的やプロセスの流れを分かりやすく解説
• 監査報告書の作成と評価（システム監査基準の解説）
• システム監査（Wikipedia）