応用情報技術者 2011年 春期 午前2 問57
問題文
“システム監査基準” における、組織体がシステム監査を実施する目的はどれか。
選択肢
ア:外部の専門企業によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。
イ:自社の強み・弱み、自社を取り巻く機会脅威を整理し、新たな経営戦略・事業分野を設定する。
ウ:情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、IT ガバナンスの実現に寄与する。(正解)
エ:ソフトウェア開発の生産性のレベルを客観的に知り、開発組織の能力を向上させるために、より高い生産性レベルを目指して取り組む。
システム監査基準における組織体のシステム監査実施目的【午前2 解説】
要点まとめ
- 結論:システム監査の目的は、情報システムのリスク管理とコントロールの評価・改善を通じてITガバナンスを実現することです。
- 根拠:システム監査基準は、組織の情報システムが適切に管理されているかを評価し、リスク低減と業務の信頼性向上を図るための枠組みを示しています。
- 差がつくポイント:単なる脆弱性発見や経営戦略策定ではなく、情報システムの統制環境全体を評価し、改善に結びつける点を理解することが重要です。
正解の理由
選択肢ウは「情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与する」とあり、システム監査基準の目的を正確に表現しています。システム監査は単なる技術的検査ではなく、組織全体のIT統制の有効性を評価し、経営層の意思決定を支援する役割を持つため、ITガバナンスの実現が目的となります。
よくある誤解
システム監査は単に脆弱性を見つける技術的なテストではなく、経営リスクを含めた統制全体の評価である点を誤解しやすいです。
解法ステップ
- 問題文の「システム監査基準」と「組織体の目的」に注目する。
- システム監査の定義や目的を思い出す(リスク管理と統制評価)。
- 選択肢の内容を「技術的検査」「経営戦略」「IT統制評価」「生産性向上」で分類する。
- システム監査基準の目的に合致する選択肢を選ぶ。
- ITガバナンスの実現に寄与する内容が正解であることを確認する。
選択肢別の誤答解説
- ア:脆弱性の発見はセキュリティテストの範囲であり、システム監査の目的とは異なります。
- イ:経営戦略の策定は経営企画の役割であり、システム監査の目的ではありません。
- ウ:情報システムのリスク管理と統制評価を通じてITガバナンスを実現する目的を正しく示しています。
- エ:ソフトウェア開発の生産性向上は開発管理の課題であり、システム監査の直接的な目的ではありません。
補足コラム
システム監査基準は、組織の情報システムが法令遵守や業務効率化、リスク管理の観点から適切に運用されているかを評価するための指針です。ITガバナンスとは、企業のIT資源を戦略的に管理し、経営目標の達成を支援する仕組みを指します。システム監査はこのITガバナンスの実現に不可欠な役割を担っています。
FAQ
Q: システム監査とセキュリティテストは同じですか?
A: いいえ。システム監査はリスク管理や統制評価を含む広範な活動であり、セキュリティテストはその一部に過ぎません。
A: いいえ。システム監査はリスク管理や統制評価を含む広範な活動であり、セキュリティテストはその一部に過ぎません。
Q: ITガバナンスとは何ですか?
A: ITガバナンスは、企業のIT資源を効果的に管理し、経営戦略の実現を支援する仕組みのことです。
A: ITガバナンスは、企業のIT資源を効果的に管理し、経営戦略の実現を支援する仕組みのことです。
関連キーワード: システム監査基準、ITガバナンス、リスク管理、情報システム統制、システム監査
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!