ITパスポート 2019年 秋期 問36
問題文
システム監査の目的はどれか。
選択肢
ア:情報システム運用段階で、重要データのバックアップをとる。
イ:情報システム開発要員のスキルアップを図る。
ウ:情報システム企画段階で、ユーザニーズを調査し、システム化要件として文書化する。
エ:情報システムに係るリスクをコントロールし、情報システムを安全、有効かつ効率的に機能させる。(正解)
🔒 解説は解答すると表示されます
システム監査の目的【ITパスポート 解説】
正解の理由
設問で問われている「監査の目的」は、情報システムを第三者的・客観的に評価して問題点を見つけ、リスクを管理し、安全で効果的かつ効率的に機能させることです。選択肢の中でこの目的を最も正しく表しているのは エ です。
ここで使う主な語の意味を一言で説明します。リスク(危険・損失につながる不確実性)、コントロール(リスクを抑える仕組み)、安全(不正や障害から守ること)、有効(目的どおりに動くこと)、効率的(無駄なく動くこと)。監査は「それらが適切に行われているかを評価し、改善点を指摘する活動」です。監査自身がバックアップを取ったり、要員を教育したり、ユーザ要件を作るのではなく、そうした運用や開発の仕組みが適切かどうかを検証します。だから目的は エ の記述に合致します。
解法ステップ
- 問題文のキーワードを確認:「システム監査」「目的」。
- 「監査(audit)」の意味を思い出す。→ 第三者的に評価・検証して、改善を促す活動。
- 各選択肢が「監査の目的」を示しているかをチェックする。
- 実作業(バックアップ、教育、要件定義)を述べるものは「監査の実行内容」ではない。
- リスク管理・コントロール・安全・有効性・効率性を示すものが目的に当たる。
- 上の基準で絞って、目的に最も合うものを選ぶ。→ エ を選択。
選択肢別の誤答解説
- ア: 「情報システム運用段階で、重要データのバックアップをとる。」
- これは運用(日々の作業)の具体的な業務です。監査は「バックアップが適切に行われているか」を確認しますが、自らバックアップを取る行為が監査の目的ではありません。
- イ: 「情報システム開発要員のスキルアップを図る。」
- これは人材育成(教育・研修)の目的です。監査は要員の教育状況を評価することはありますが、監査自体の目的は育成ではありません。
- ウ: 「情報システム企画段階で、ユーザニーズを調査し、システム化要件として文書化する。」
- これは企画・要件定義(システム開発の上流工程)の仕事内容です。監査は開発工程の適切さをチェックしますが、要件を作ることが監査の目的ではありません。
- エ: 「情報システムに係るリスクをコントロールし、情報システムを安全、有効かつ効率的に機能させる。」
- 監査はまさにこの「リスク管理の仕組みが機能しているか」「安全性・有効性・効率性が確保されているか」を評価・保証し、改善提案を行う活動です。したがって目的として最も適切です。
よくある誤解
- 監査=単なる点検・チェックだと思う
- 点検やテストは監査の一部ですが、監査は「評価して結論を出す」「改善を促す」ことまで含みます。単に動作確認するだけでは監査とは言い切れません。
- 監査人が現場作業(バックアップや開発)を行うと思う
- 監査人は独立した立場で評価を行います。現場の作業は運用担当者や開発者が行い、監査はそれを検証します(独立性が重要です)。
- 監査はセキュリティだけを対象にすると思う
- セキュリティは重要な対象ですが、監査は「有効性(目的達成)」「効率性(コスト・作業効率)」なども評価します。
補足コラム
- 監査の種類
- 内部監査(組織内部が行う監査。業務改善のため)
- 外部監査(独立機関や会計監査人など、第三者が行う監査)
- IT監査・システム監査(情報システムに特化した監査。情報セキュリティ、変更管理、バックアップ、アクセス制御などを点検)
- 監査でよく見るチェックポイント(例)
- バックアップが定期的に行われているか、リストア確認はされているか
- アクセス権限が適切に管理されているか(不要な権限はないか)
- 変更管理(誰がいつ何を変えたかの記録)が整備されているか
- 業務分掌(不正防止のための役割分担)が守られているか
これらは監査が「仕組みや運用の適切さ」を見る典型例です。
FAQ
Q1: 監査はどのタイミングで行われますか?
A1: 定期的(年1回など)や重要な変更後、問題発生後などに行われます。目的は継続的な改善とリスク低減です。
A1: 定期的(年1回など)や重要な変更後、問題発生後などに行われます。目的は継続的な改善とリスク低減です。
Q2: 誰が監査を行いますか?
A2: 内部監査は社内の監査部門が、外部監査は第三者機関や専門の監査人が行います。独立性が重要です。
A2: 内部監査は社内の監査部門が、外部監査は第三者機関や専門の監査人が行います。独立性が重要です。
Q3: 監査で問題が見つかったらどうなる?
A3: 問題点は報告書にまとめられ、改善指示(是正処置)が出ます。担当部署は改善計画を立てて実行します。
A3: 問題点は報告書にまとめられ、改善指示(是正処置)が出ます。担当部署は改善計画を立てて実行します。
Q4: システム監査と情報セキュリティ監査の違いは?
A4: 情報セキュリティ監査はセキュリティに重点を置きます。システム監査はセキュリティに加え、有効性や効率性、運用・ガバナンス全体を評価します。
A4: 情報セキュリティ監査はセキュリティに重点を置きます。システム監査はセキュリティに加え、有効性や効率性、運用・ガバナンス全体を評価します。
関連キーワード: システム監査, 内部監査, 外部監査, リスクコントロール, 情報セキュリティ, 監査手続, ガバナンス

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

