ITパスポート 2016年 秋期 問40
問題文
監査を、業務監査、システム監査、情報セキュリティ監査に分類したとき、監査の目的に関する記述a~dと監査の種類の適切な組合せはどれか。
a 財務諸表がその組織体の財産、損益の状況などを適正に表示しているかを評価する。
b 情報セキュリティ確保の観点も含めて、情報システムに関わるリスクに対するコントロールが、リスクアセスメントに基づいて適切に整備・運用されているかを評価する。
c 情報セキュリティに関わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を評価する。
d 組織の製造、販売などの会計業務以外の業務全般についてその遂行状況を評価する。

選択肢
ア:
イ:
ウ:
エ:(正解)
🔒 解説は解答すると表示されます
監査の分類(業務監査・システム監査・情報セキュリティ監査)の目的対応【ITパスポート 解説】
正解の理由
正しい組合せは エ です。各監査の目的を一つずつ照らし合わせると、次のように対応します。
- 業務監査(業務の遂行状況や業務プロセスの適正さを評価する監査)→ d:「組織の製造、販売などの会計業務以外の業務全般についてその遂行状況を評価する。」は業務監査の典型的な目的です。
- システム監査(情報システム全体の統制や運用を評価する監査。情報システム=業務を支えるコンピュータやソフト、手順を指します)→ b:「情報システムに関わるリスクに対するコントロールがリスクアセスメントに基づき適切に整備・運用されているかを評価する。」はシステム監査の役割に一致します。
- 情報セキュリティ監査(情報資産の機密性・完全性・可用性を守るための管理策=情報セキュリティの有効性を評価する監査)→ c:「情報セキュリティのリスクマネジメントとコントロールの整備・運用状況を評価する。」は情報セキュリティ監査そのものです。
逆に a(財務諸表が適正表示か評価する)は「財務監査/会計監査(財務諸表監査)」に該当し、ここで問う三種類の監査の目的には当てはまりません。財務諸表(会社の資産や収益・費用を一覧にした書類)という語が出てきたら「会計監査」の話だと判断できます。
解法ステップ
- 各記述(a~d)のキーワードを探す:例「財務諸表」「情報システム」「情報セキュリティ」「製造・販売などの業務」。
- 監査の対象をイメージする:
- 「財務諸表」→ 会計/財務監査(今回の3つではない)
- 「情報システム」→ システム監査
- 「情報セキュリティ」「リスクマネジメント」→ 情報セキュリティ監査
- 「製造・販売などの業務全般」→ 業務監査
- 各列(業務監査・システム監査・情報セキュリティ監査)に対応する記述を当てはめ、矛盾がない組合せを選ぶ。
- 不一致(例えば「財務諸表」を業務監査に入れるなど)があれば除外する。
試験ではキーワード一致が最も早くて確実です。
選択肢別の誤答解説
- ア(業務監査:a、システム監査:c、情報セキュリティ監査:b)
誤りの理由:a(財務諸表の適正表示)は業務監査ではなく財務/会計監査の内容です。さらに c(情報セキュリティのリスクマネジメント)は情報セキュリティ監査の内容であり、システム監査に入れるのは不適切です。bは情報システムに関する評価なので情報セキュリティ監査に入れるのは範囲が狭くなります。 - イ(業務監査:b、システム監査:a、情報セキュリティ監査:d)
誤りの理由:bは情報システム向けの記述で業務監査の目的ではありません。aは財務諸表の評価でありシステム監査とは無関係です。d(業務全般の評価)を情報セキュリティ監査に入れるのも目的が合いません。 - ウ(業務監査:c、システム監査:d、情報セキュリティ監査:a)
誤りの理由:cは情報セキュリティ監査の記述であり業務監査とは性質が異なります。dは業務監査に対応するのでシステム監査に入れるのは誤り。aは財務監査に対応するため情報セキュリティ監査には合いません。 - エ(業務監査:d、システム監査:b、情報セキュリティ監査:c)
これが正しい組合せです(理由は「正解の理由」を参照)。
よくある誤解
- 「システム監査」と「情報セキュリティ監査」を同じものと考える。
→ 両者は重なる部分はありますが、システム監査は情報システム全体の統制や開発・運用プロセスも評価します。情報セキュリティ監査は情報資産の安全(リスクマネジメント)に焦点を当てます。 - 「業務監査=財務諸表の監査」と考える。
→ 財務諸表の監査は会計(財務)監査で、業務監査は日々の業務プロセスや効率・適正を評価する監査です。 - 「情報セキュリティ監査は技術的なチェックだけ」と思う。
→ 実際には方針や手順、組織の管理策(人的・物理的・技術的)すべてを評価します。
補足コラム
- 内部監査と外部監査:
内部監査は組織内部の人(内部監査部門など)が業務や統制を点検すること。外部監査は独立した第三者(例:公認会計士=外部の会計専門家)が行う監査です。今回の「業務監査/システム監査/情報セキュリティ監査」は、内部・外部のいずれでも行われ得ますが、目的や視点が異なります。 - リスクアセスメント(risk assessment:リスクの特定・評価)の役割:
監査は「整備されたコントロールがリスクアセスメントに基づいているか」を確認します。つまりまずリスクを洗い出し、その重要度に応じた対策を設計・運用しているかが評価されます。 - 実務例:
システム監査では「開発プロジェクトの管理」「バックアップ運用」「アクセス権管理」などを点検します。情報セキュリティ監査では「リスク評価の妥当性」「情報漏えい時の対応手順」「教育の実施状況」などを評価します。
FAQ
Q1. 監査は誰が行うのですか?
A1. 内部監査は社内の内部監査部門が行い、外部監査は独立した第三者(例えば会計監査は公認会計士、情報システム監査は外部のIT監査専門家やCISA(Certified Information Systems Auditor:情報システム監査の国際資格)保有者など)が行います。
A1. 内部監査は社内の内部監査部門が行い、外部監査は独立した第三者(例えば会計監査は公認会計士、情報システム監査は外部のIT監査専門家やCISA(Certified Information Systems Auditor:情報システム監査の国際資格)保有者など)が行います。
Q2. システム監査と情報セキュリティ監査は同じ資格で受けられますか?
A2. 資格は重複する場合もありますが、目的が異なるため求められる知識やチェック項目は変わります。CISAなどの資格はシステム監査と情報セキュリティの両面で有用です。
A2. 資格は重複する場合もありますが、目的が異なるため求められる知識やチェック項目は変わります。CISAなどの資格はシステム監査と情報セキュリティの両面で有用です。
Q3. 試験で覚えるコツは?
A3. キーワード(財務諸表、情報システム、情報セキュリティ、業務全般)で瞬時に分類する練習を繰り返してください。語句の意味を丸暗記するより、どの対象を評価するか(何をチェックするか)で考えると正答率が上がります。
A3. キーワード(財務諸表、情報システム、情報セキュリティ、業務全般)で瞬時に分類する練習を繰り返してください。語句の意味を丸暗記するより、どの対象を評価するか(何をチェックするか)で考えると正答率が上がります。
関連キーワード: 監査、業務監査、システム監査、情報セキュリティ監査、リスクアセスメント、内部監査、外部監査、コントロール、ガバナンス、財務監査

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

