ITパスポート 2014年 秋期 問45
問題文
システム監査の説明として、適切なものはどれか。
選択肢
ア:ISO 9001品質マネジメントシステム規格に基づき実施する。
イ:ISO 14001環境マネジメントシステム規格への適合性を確認する。
ウ:監査ツールとしてITを利用する監査の総称である。
エ:情報システムのリスクに対するコントロールの整備状況、運用状況を検証又は評価する。(正解)
🔒 解説は解答すると表示されます
システム監査の説明として、適切なものはどれか。【ITパスポート 解説】
正解の理由
正しい説明は エ です。
システム監査とは、情報システム(業務を支えるコンピュータやソフトウェアの仕組み)に関わる「リスク(危険が起きる可能性とその影響)」に対する「コントロール(対策や管理の仕組み)」が、きちんと整備され運用されているかを第三者の立場で検証・評価する活動です。
システム監査とは、情報システム(業務を支えるコンピュータやソフトウェアの仕組み)に関わる「リスク(危険が起きる可能性とその影響)」に対する「コントロール(対策や管理の仕組み)」が、きちんと整備され運用されているかを第三者の立場で検証・評価する活動です。
- 「整備状況」は必要な対策が設計・導入されているか(例:アクセス権の設計があるか)を見ます。
- 「運用状況」はその対策が日々正しく使われているか(例:パスワード運用やバックアップが実施されているか)を確認します。
この点で、選択肢の内容がシステム監査の本質に合致しています。
(注)IT(Information Technology:情報技術)、リスク、コントロール、監査の語は本文で説明済みの意味で使っています。
解法ステップ
- 問題文でキーになる語を探す:「システム監査」「コントロール」「運用」など。
- 「監査(audit)」の基本概念を思い出す:第三者的に評価・検証する活動。
- 各選択肢と照らし合わせる:該当する説明が監査の定義と一致しているか確認する。
- ISO規格や「ITを使う監査」など、別分野の説明は除外する。
この順で考えれば、自然に エ が正しいと分かります。
選択肢別の誤答解説
-
ア: 「ISO 9001品質マネジメントシステム規格に基づき実施する。」
誤り。ISO 9001(品質マネジメント)は品質管理の仕組みに関する規格です。ISO 9001に基づく監査は「品質マネジメントシステムの適合性を確認する監査」であり、システム監査(情報システム全体のコントロール評価)とは目的が異なります。 -
イ: 「ISO 14001環境マネジメントシステム規格への適合性を確認する。」
誤り。ISO 14001は環境管理(環境への影響を減らす仕組み)に関する規格です。環境監査はその適合性を確認しますが、これもシステム監査の一般的定義ではありません。 -
ウ: 「監査ツールとしてITを利用する監査の総称である。」
誤り。監査でIT(コンピュータ)を使う方法は確かに存在します(例:CAATs = Computer Assisted Audit Techniques、コンピュータ支援監査技法)。しかしそれは「監査手法・ツールの一種」であって、システム監査そのものの定義ではありません。システム監査は対象(情報システムのコントロール)と目的(検証・評価)を示す言葉です。
よくある誤解
- 監査 = 点検・チェックとだけ考える
- 単なる点検(例えば機器の状態確認)と監査(対策の有効性や適合性を評価する行為)は目的と視点が違います。監査は「第三者的評価」であり、改善提言を含むことが多い点を押さえましょう。
- ISO規格の監査とシステム監査を同じものと考える
- ISO監査は特定のマネジメントシステム(品質・環境・情報セキュリティ等)への適合性確認です。システム監査はもっと広く「情報システムのコントロールの検証・評価」を指します。重なる部分はありますが同義ではありません。
- 「ITを使う監査」がシステム監査の意味だと混同する
- 手段(ITを使うか否か)と対象(何を監査するか)は別です。混同しないようにしましょう。
補足コラム
- システム監査でよく確認されるコントロール例:
- アクセス制御(誰がどのデータにアクセスできるか)
- バックアップと復旧(データの保全と障害からの復旧)
- 変更管理(システム変更の承認や記録)
- ログ管理と監視(操作ログの記録と不正検出)
これらが「整備されているか」「運用されているか」を監査で確認します。
- 情報セキュリティの規格(例:ISO 27001)への適合性監査は、システム監査と重なることが多いです。ISO 27001は情報セキュリティマネジメントに特化した規格で、その適合性を監査することは、システム監査の一部と考えられます。
FAQ
Q1: システム監査は誰が行いますか?
A1: 内部監査は組織内の独立した部署や担当者が行うことが多く、外部監査は専門の監査機関やコンサルタントが行います。重要なのは監査の独立性と専門性です。
A1: 内部監査は組織内の独立した部署や担当者が行うことが多く、外部監査は専門の監査機関やコンサルタントが行います。重要なのは監査の独立性と専門性です。
Q2: ISO 27001の監査はシステム監査と同じですか?
A2: 完全に同じではありませんが大きく重なります。ISO 27001は情報セキュリティ管理に特化した規格で、その適合性監査はシステム監査の一部的な役割を果たします。
A2: 完全に同じではありませんが大きく重なります。ISO 27001は情報セキュリティ管理に特化した規格で、その適合性監査はシステム監査の一部的な役割を果たします。
Q3: 「検証」と「評価」の違いは何ですか?
A3: 検証は「規定や基準に合っているかを確認すること(合否の確認)」、評価は「その対策が十分で効果的かを判断すること(改善の必要性を含む)」です。監査では両方を行うことが多いです。
A3: 検証は「規定や基準に合っているかを確認すること(合否の確認)」、評価は「その対策が十分で効果的かを判断すること(改善の必要性を含む)」です。監査では両方を行うことが多いです。
関連キーワード: システム監査、情報システム監査、IT監査、コントロール、リスク管理、ISO9001、ISO14001、ISO27001、監査手法、CAATs

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

