戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2016年 秋期 54


問題文

システム監査人の行動規範を定めたシステム監査基準に関する説明として、適切なものはどれか。

選択肢

システム監査業務の品質を確保し、有効かつ効率的に監査業務を実施するための基準を定めたものである。(正解)
システム監査において、情報システムの企画・開発・運用・保守というライフサイクルの中で、リスクを低減するコントロールを適切に整備、運用するための基準を定めたものである。
システム監査人が情報処理の現場での管理の適切性を判断するときの尺度として用いるための基準を定めたものである。
組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロールを整備して運用するための基準を定めたものである。

🔒 解説は解答すると表示されます

システム監査基準に関する説明【ITパスポート 解説】

正解の理由

設問は「システム監査人の行動規範を定めたシステム監査基準」について問うています。ここで重要なのは「行動規範(code of conduct:職業上の態度や守るべきルール)」という点です。システム監査基準は、監査人が適切に監査を行うための基準であり、監査業務の品質を確保し、有効かつ効率的に監査を実施するための枠組みや行動基準を示します。したがって、選択肢の中でこれを正しく表しているものは です。
具体的には、監査人の独立性(外部からの影響を受けないこと)、客観性(偏りなく判断すること)、専門性(必要な知識・技能を持つこと)、守秘義務(情報を守ること)などが含まれます。これらは「監査のやり方」と「監査人の態度」に関する基準であり、選択肢の記述と一致します。

解法ステップ

  1. 問題文で「行動規範」を強調している点に注目する。これは監査人自身の振る舞いや監査の実行方法に関わるものを指す。
  2. 各選択肢を「行動規範(監査人の態度・業務の進め方)」に当てはめてみる。
  3. 選択肢を1つずつ照らし合わせて、該当する内容かどうかで絞る。
    • ア:監査業務の品質確保や有効・効率的な実施 → 行動規範に合致
    • イ:リスクを低減するコントロールの整備・運用 → システムの設計・運用側の基準(行動規範ではない)
    • ウ:判断の尺度としての利用 → 部分的に関連するが、範囲が狭い
    • エ:情報セキュリティマネジメント体制の構築 → ISMS(情報セキュリティ管理)に関するもの
  4. 最終的に を選ぶ。

選択肢別の誤答解説

  • ア(正解)
    • 監査人の行動や監査の進め方、品質管理に関する基準を示す。監査計画、証拠収集、報告、監査人の倫理や独立性などが含まれるため適切。
  • イ(誤り)
    • 「情報システムの企画・開発・運用・保守というライフサイクルでリスクを低減するコントロールを整備・運用する基準」は、システム設計や運用側の統制(internal controls:内部統制)やセキュリティ対策に関する説明です。監査基準そのものの主目的ではありません。
  • ウ(誤り)
    • 「管理の適切性を判断するときの尺度として用いるための基準」は、監査で使う「評価基準(criteria)」の考え方に近い部分はありますが、システム監査基準はそれに加えて監査の手続きや監査人の行動規範全体を定めるものです。ウは範囲が狭く、行動規範を正確に表していません。
  • エ(誤り)
    • 「組織が情報セキュリティマネジメント体制を構築し、コントロールを整備・運用するための基準」は、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)やISO/IEC 27001 のようなセキュリティ管理基準の説明です。監査基準とは目的が異なります。

よくある誤解

  1. 「監査基準=セキュリティ対策の手引き」
    • 誤りです。監査基準は監査のやり方や監査人の倫理を定めます。実際の技術的対策や運用手順は別のガイドライン(例:ISMSや運用マニュアル)で扱われます。
  2. 「監査人はただミスを探す人」
    • 監査は問題点を見つけるだけでなく、業務やシステムが適切に機能しているかを評価し、改善点を提案する役割もあります。品質保証や信頼性の向上が目的です。
  3. 「監査基準は現場の細かいチェックリストである」
    • 監査基準は原則や手続きの枠組みを示します。具体的なチェックリストは組織や監査の目的に応じて作成されます。

補足コラム

  • 監査で重視される三つの原則:独立性(independence)、客観性(objectivity)、専門性(competence)。これは覚えやすく、監査人の行動規範の核心です。
  • 「監査基準」と「内部統制」は補完関係にあります。内部統制は組織が自ら業務を正しく行うための仕組みで、監査基準はその仕組みが適切に機能しているかを評価するための指針と言えます。
  • 初学者向けの学習法:監査の目的(証拠を集め評価すること)、監査手順(計画→実施→報告→フォローアップ)、監査人の倫理をポイントとして押さえると理解しやすいです。

FAQ

Q1: システム監査基準は誰が守るべきですか?
A1: 監査を行う監査人(内部監査人や外部監査人)が主に守ります。組織としては監査の品質確保のために基準に基づく監査体制を整備します。
Q2: ISMS(情報セキュリティマネジメント)と監査基準の違いは?
A2: ISMSは組織が情報セキュリティを管理するための仕組み(何をどう守るか)を定めるものです。監査基準は、その仕組みや業務全体が適切に行われているかを評価する方法や監査人の行動規範を示します。
Q3: 試験対策上、どこを覚えればよいですか?
A3: 「監査基準=監査のやり方と監査人の行動規範を定める」ことを中心に、独立性・客観性・専門性・守秘義務など主要な項目を押さえてください。類似する用語(ISMS、内部統制)との違いを明確にする練習が有効です。

関連キーワード: システム監査、監査基準、監査人の独立性、内部統制、ISMS、監査の品質、守秘義務
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について