ITパスポート 2020年 秋期 問41
問題文
システム監査の目的に関して、次の記述中のa, bに入れる字句の適切な組合せはどれか。
情報システムに関わるリスクに対するコントロールの適切な整備・運用について、[ a ]のシステム監査人が[ b ]することによって、ITガバナンスの実現に寄与する。

選択肢
ア:
イ:
ウ:
エ:(正解)
🔒 解説は解答すると表示されます
システム監査の目的に関する穴埋め問題【ITパスポート 解説】
正解の理由
問題文は「情報システムに関わるリスクに対するコントロールの適切な整備・運用について、[ a ]のシステム監査人が[ b ]することによって、ITガバナンスの実現に寄与する。」とあります。ここで重要なのは「整備・運用」は現場(業務部門やIT部門)が行う行為であり、監査人はそれを作る役割ではなく「適切かどうかを評価する」役割を持つ点です。
さらに、監査が有効であるためには「監査人が独立していること」と「専門的な知見を持つこと」が求められます。したがって、aには「独立かつ専門的な立場」、bには「評価」が入ります。よって選択肢エが正しい組合せです。
(用語補足)
- システム監査(システムかんさ):情報システムに関する管理や運用が適切かを専門的に点検・評価する活動。
- コントロール:リスクを低く抑えるための仕組み(例:アクセス制限、バックアップ、手続きなど)。
- ITガバナンス:企業の目的に沿ってITを適切に管理・運用する仕組み。経営とITを一致させること。
解法ステップ
- 文をよく読む:主語と動詞に注目する(誰が、何をするか)。
- 「コントロールの整備・運用」は現場が行うことと理解する(作る・運用する側)。
- 「寄与する」ために監査人は「整備・運用が適切かどうか」を判断する役割であることを思い出す(=評価)。
- 監査が有効であるためには監査人が独立で専門的である必要があると結び付ける。
- 以上から、a=「独立かつ専門的な立場」、b=「評価」を選ぶ(選択肢エ)。
選択肢別の誤答解説
-
ア:業務に精通した主管部門/構築
誤り。主管部門(業務に精通した部署)はコントロールを構築・実行する側です。監査人が「構築」することは通常ありません。 -
イ:業務に精通した主管部門/評価
誤り。評価(監査)は正しい動詞ですが、「業務に精通した主管部門」を監査人とするのは誤りです。監査人は評価の客観性を保つために独立性が必要です。主管部門が自分の仕事を評価するのは第三者性が不足します。 -
ウ:独立かつ専門的な立場/構築
誤り。監査人が独立で専門的である点は正しいですが、監査人の主な役割は「構築」ではなく「評価(点検・監査)」です。 -
エ:独立かつ専門的な立場/評価
正解。監査人は独立性と専門性を持ち、整備・運用の適切性を「評価」することでITガバナンスに寄与します。
よくある誤解
-
監査人がコントロールを作ると思ってしまう
→ 監査人は点検・評価が主な仕事です。実際に作る(設計・構築・運用する)のは主管部門やIT部門です。 -
「内部監査=独立ではない」と考える
→ 内部監査でも独立性が求められます。社内の一員でも、監査機能は業務執行部門からの独立性を確保して行うべきです。 -
「評価」と「検査」を混同する
→ 評価は目的・基準に照らして適切かどうか判断する行為です。検査は具体的な事実確認や手続きのチェックに近い場合があります。監査は広い意味で評価的な活動です。
補足コラム
-
監査の独立性の確保方法
組織では監査部門を経営層に報告する形にする、監査人が監査対象の業務に直接関与しない、外部の専門家を使うなどで独立性を保ちます。 -
ITガバナンスを支える3つの要素(覚え方)
- 戦略との整合(ITが経営方針に合っているか)
- 価値の実現(IT投資が効果を出しているか)
- リスク管理とコンプライアンス(情報漏えいなどのリスクを管理しているか)
監査はこれらをチェックして改善につなげます。
FAQ
Q1. 監査人は社内の人でもよいですか?
A1. 社内の人でも構いませんが、監査の独立性を確保する必要があります。独立性が保てない場合は外部監査人を用いることもあります。
A1. 社内の人でも構いませんが、監査の独立性を確保する必要があります。独立性が保てない場合は外部監査人を用いることもあります。
Q2. 「構築」と「評価」は具体的にどう違いますか?
A2. 「構築」は仕組みや手順を作る行為です(例:アクセス制御を設定する)。「評価」はその仕組みが目的を果たしているか、適切に運用されているかを確認する行為です(例:アクセス制御が適切に機能しているかを点検する)。
A2. 「構築」は仕組みや手順を作る行為です(例:アクセス制御を設定する)。「評価」はその仕組みが目的を果たしているか、適切に運用されているかを確認する行為です(例:アクセス制御が適切に機能しているかを点検する)。
Q3. 監査の結果はどう使われますか?
A3. 問題点や改善点を関係部署に報告し、コントロールの見直しや改善提案につなげます。これがITガバナンスの向上に寄与します。
A3. 問題点や改善点を関係部署に報告し、コントロールの見直しや改善提案につなげます。これがITガバナンスの向上に寄与します。
関連キーワード: システム監査、ITガバナンス、コントロール、監査人、内部監査、独立性、評価

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

