基本情報技術者 2014年秋期午前（科目A）問59

問題文

システム監査人の役割に関する記述のうち、適切なものはどれか。

選択肢

ア：監査対象から独立し、かつ、専門的な立場で、情報システムのコントロールの整備・運用に対する保証又は助言を行う。（正解）

イ：仕様書どおりの処理が行われるかどうか、テストを行い、リリースを承認する。

ウ：情報システムの性能を評価し、システムの利用者に監査調書を報告する。

エ：情報システムの総合テストで発見された不具合の改善を、テスト担当者に指示する。

システム監査人の役割に関する記述【午前2 解説】

要点まとめ

結論：システム監査人は監査対象から独立した立場で、情報システムの統制について保証または助言を行う専門家である。
根拠：監査は評価・意見表明が本務であり、運用業務の実行や指示・承認などの実務責任を負わない点にある。
差がつくポイント：選択肢中の「独立」「保証又は助言」「指示や承認を行う」といった語句を丁寧に見分けることが合否を分ける。

正解の理由

正解はアです。システム監査人は監査対象から独立した立場で、統制の有効性や遵守状況を評価し、保証（assurance）や改善のための助言を行うことが職務の本質です。監査人は評価・意見表明を行い、実際の運用や欠陥対応、リリース承認などの業務指示は行いません。したがって「独立して保証又は助言を行う」というアの記述が適切です。

よくある誤解

監査人がテストやリリース承認を行うと思い込む：実際にはテスト実施や承認は開発・運用側の責任で、監査人はそれらを評価する立場です。
監査人が不具合の修正を指示できると誤解する：監査人は改善を勧告・助言できるが、業務執行命令や直接の指示権限はありません。
監査報告の受け手を誤認する：監査報告は通常、経営層や監査委員会に向けられ、利用者個人に対する操作指示のためのものではありません。

解法ステップ

問題文のキーワードを抽出：「システム監査人」「独立」「保証」「助言」「整備・運用に対する保証又は助言」など。
各選択肢の動詞に注目する：評価・助言（監査）か、実務的な実施・指示・承認かを判別する。
「独立」の有無と「業務指示」を行っているかを基準に正誤を判断する。
監査の本質（評価・意見表明）に沿う記述を選ぶ。

選択肢別の誤答解説

ア：正解。監査人は独立性を保ち、情報システムの統制について保証または助言を行う立場であるため適切です。
イ：誤り。仕様どおりの処理のテスト実施やリリース承認はテスト担当者や開発・運用側の業務であり、監査人の業務ではありません。監査人はテスト結果やテスト手続を評価・検証することはあっても、直接承認を行いません。
ウ：誤り。監査人は必要に応じて性能関連の評価を行うことはあるが、主たる職務はコントロールの有効性評価と監査報告であり、「性能を評価してシステム利用者に監査調書を報告する」という表現は報告先と職務の性格を誤っています。監査調書（監査の記録）は監査人が作成するが、報告先は通常経営層や監査委員会です。
エ：誤り。発見された不具合の改善を指示するのはテスト担当者や開発リーダーなど運用側の責任であり、監査人は改善を勧告または助言するのみで、直接指示する権限は持ちません。

補足コラム

システム監査人の役割は「独立性」と「客観性」に基づいた評価です。監査結果は「監査報告書」としてまとめられ、改善事項は経営層へ勧告されます。監査人は助言的役割を持ちますが、実装や運用改善の指揮・命令は行わず、利益相反を避けるために監査対象に深く関与しないことが求められます。実務でのチェックポイントは、権限分離、変更管理、アクセス制御、ログ管理などの統制有無と有効性の検証です。

FAQ

Q1: 監査人がテストを「見るだけ」なら許されますか？
A1: はい。監査人はテストの手続や結果を立ち会いやサンプリングで検証し、適切性を評価できますが、テストの実施や合否判定・承認を行うことはありません。

Q2: 監査人は改善提案を文書で出せますか？
A2: 出せます。監査報告書や勧告として改善提案を示すことが可能であり、組織はそれに基づいて対応を検討します。

Q3: 監査対象の業務に以前関与していた人は監査できませんか？
A3: 原則として利害関係や直近の業務関与は独立性に問題を生じさせるため、一定期間は当該分野の監査を避けるのが適切です。

関連キーワード: システム監査、監査人、独立性、保証、助言、監査調書、内部統制、監査手続

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！