応用情報技術者 2024年 春期 午前2 問59
問題文
システム監査基準(令和5年)によれば、システム監査において、監査人が一定の基準に基づいて総合的に点検・評価を行う対象とするものは、情報システムのマネジメント、コントロール、あと一つはどれか。
選択肢
ア:ガバナンス(正解)
イ:コンプライアンス
ウ:サイバーレジリエンス
エ:モニタリング
システム監査基準(令和5年)における監査対象【午前2 解説】
要点まとめ
- 結論:システム監査の対象は「マネジメント」「コントロール」「ガバナンス」の3つです。
- 根拠:令和5年版システム監査基準では、これらを総合的に点検・評価することが明記されています。
- 差がつくポイント:ガバナンスは組織全体の方向性や監督機能を指し、単なる法令遵守や監視活動とは異なる点を理解しましょう。
正解の理由
ア: ガバナンスが正解です。システム監査基準では、情報システムのマネジメント(運用管理)、コントロール(統制措置)、そして組織のガバナンス(経営層の監督・指導体制)を対象に総合的な評価を行うと定めています。ガバナンスは組織の目標達成に向けた意思決定や監督の枠組みであり、監査の重要な視点です。
よくある誤解
- コンプライアンスは法令遵守を意味しますが、監査対象の一部ではあるものの、ガバナンスの枠組みの中に含まれます。
- モニタリングは監査後の継続的な監視活動であり、監査対象そのものではありません。
解法ステップ
- 問題文の「監査人が点検・評価する対象」を確認する。
- システム監査基準の3つの主要対象を思い出す(マネジメント、コントロール、ガバナンス)。
- 選択肢の意味を整理し、ガバナンスが監査対象の一つであることを確認。
- 他の選択肢(コンプライアンス、サイバーレジリエンス、モニタリング)は監査の補助的要素や結果としての活動であることを理解。
- 正解はアと判断する。
選択肢別の誤答解説
- イ: コンプライアンス
法令遵守は重要ですが、監査対象の枠組みの一部であり、単独で監査対象とはされません。 - ウ: サイバーレジリエンス
サイバー攻撃への耐性や回復力を指し、監査の評価項目の一部ですが、監査対象の大枠ではありません。 - エ: モニタリング
監査後の継続的な監視活動であり、監査対象ではなく監査の一環として行われます。
補足コラム
システム監査基準は、情報システムの信頼性や安全性を確保するための枠組みを示しています。ガバナンスは経営層の責任と監督体制を指し、これがしっかりしていないとシステムの運用や統制も効果的に機能しません。監査人はこの3つの視点から総合的に評価を行い、組織の情報システムが適切に管理されているかを判断します。
FAQ
Q: ガバナンスとコンプライアンスの違いは何ですか?
A: ガバナンスは組織の意思決定や監督体制全般を指し、コンプライアンスは法令や規則の遵守に特化した概念です。
A: ガバナンスは組織の意思決定や監督体制全般を指し、コンプライアンスは法令や規則の遵守に特化した概念です。
Q: モニタリングは監査対象に含まれますか?
A: モニタリングは監査後の継続的な監視活動であり、監査対象そのものではありません。
A: モニタリングは監査後の継続的な監視活動であり、監査対象そのものではありません。
関連キーワード: システム監査基準、ガバナンス、マネジメント、コントロール、監査対象
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!