戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2014年 秋期 45


問題文

システム監査の説明として、適切なものはどれか。

選択肢

ISO 9001品質マネジメントシステム規格に基づき実施する。
ISO 14001環境マネジメントシステム規格への適合性を確認する。
監査ツールとしてITを利用する監査の総称である。
情報システムのリスクに対するコントロールの整備状況、運用状況を検証又は評価する。(正解)

🔒 解説は解答すると表示されます

システム監査の説明として、適切なものはどれか。【ITパスポート 解説】

正解の理由

正しい説明は です。
システム監査とは、情報システム(業務を支えるコンピュータやソフトウェアの仕組み)に関わる「リスク(危険が起きる可能性とその影響)」に対する「コントロール(対策や管理の仕組み)」が、きちんと整備され運用されているかを第三者の立場で検証・評価する活動です。
  • 「整備状況」は必要な対策が設計・導入されているか(例:アクセス権の設計があるか)を見ます。
  • 「運用状況」はその対策が日々正しく使われているか(例:パスワード運用やバックアップが実施されているか)を確認します。
    この点で、選択肢の内容がシステム監査の本質に合致しています。
(注)IT(Information Technology:情報技術)、リスク、コントロール、監査の語は本文で説明済みの意味で使っています。

解法ステップ

  1. 問題文でキーになる語を探す:「システム監査」「コントロール」「運用」など。
  2. 「監査(audit)」の基本概念を思い出す:第三者的に評価・検証する活動。
  3. 各選択肢と照らし合わせる:該当する説明が監査の定義と一致しているか確認する。
  4. ISO規格や「ITを使う監査」など、別分野の説明は除外する。
    この順で考えれば、自然に が正しいと分かります。

選択肢別の誤答解説

  • ア: 「ISO 9001品質マネジメントシステム規格に基づき実施する。」
    誤り。ISO 9001(品質マネジメント)は品質管理の仕組みに関する規格です。ISO 9001に基づく監査は「品質マネジメントシステムの適合性を確認する監査」であり、システム監査(情報システム全体のコントロール評価)とは目的が異なります。
  • イ: 「ISO 14001環境マネジメントシステム規格への適合性を確認する。」
    誤り。ISO 14001は環境管理(環境への影響を減らす仕組み)に関する規格です。環境監査はその適合性を確認しますが、これもシステム監査の一般的定義ではありません。
  • ウ: 「監査ツールとしてITを利用する監査の総称である。」
    誤り。監査でIT(コンピュータ)を使う方法は確かに存在します(例:CAATs = Computer Assisted Audit Techniques、コンピュータ支援監査技法)。しかしそれは「監査手法・ツールの一種」であって、システム監査そのものの定義ではありません。システム監査は対象(情報システムのコントロール)と目的(検証・評価)を示す言葉です。

よくある誤解

  1. 監査 = 点検・チェックとだけ考える
    • 単なる点検(例えば機器の状態確認)と監査(対策の有効性や適合性を評価する行為)は目的と視点が違います。監査は「第三者的評価」であり、改善提言を含むことが多い点を押さえましょう。
  2. ISO規格の監査とシステム監査を同じものと考える
    • ISO監査は特定のマネジメントシステム(品質・環境・情報セキュリティ等)への適合性確認です。システム監査はもっと広く「情報システムのコントロールの検証・評価」を指します。重なる部分はありますが同義ではありません。
  3. 「ITを使う監査」がシステム監査の意味だと混同する
    • 手段(ITを使うか否か)と対象(何を監査するか)は別です。混同しないようにしましょう。

補足コラム

  • システム監査でよく確認されるコントロール例:
    • アクセス制御(誰がどのデータにアクセスできるか)
    • バックアップと復旧(データの保全と障害からの復旧)
    • 変更管理(システム変更の承認や記録)
    • ログ管理と監視(操作ログの記録と不正検出)
      これらが「整備されているか」「運用されているか」を監査で確認します。
  • 情報セキュリティの規格(例:ISO 27001)への適合性監査は、システム監査と重なることが多いです。ISO 27001は情報セキュリティマネジメントに特化した規格で、その適合性を監査することは、システム監査の一部と考えられます。

FAQ

Q1: システム監査は誰が行いますか?
A1: 内部監査は組織内の独立した部署や担当者が行うことが多く、外部監査は専門の監査機関やコンサルタントが行います。重要なのは監査の独立性と専門性です。
Q2: ISO 27001の監査はシステム監査と同じですか?
A2: 完全に同じではありませんが大きく重なります。ISO 27001は情報セキュリティ管理に特化した規格で、その適合性監査はシステム監査の一部的な役割を果たします。
Q3: 「検証」と「評価」の違いは何ですか?
A3: 検証は「規定や基準に合っているかを確認すること(合否の確認)」、評価は「その対策が十分で効果的かを判断すること(改善の必要性を含む)」です。監査では両方を行うことが多いです。

関連キーワード: システム監査、情報システム監査、IT監査、コントロール、リスク管理、ISO9001、ISO14001、ISO27001、監査手法、CAATs
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について