情報処理安全確保支援士 2014年 春期 午前2 問25
問題文
システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち、適切なものはどれか。
選択肢
ア:1年以内に実現できる改善を実施する。
イ:経営資源の状況を踏まえて改善を実施する。(正解)
ウ:情報システムの機能面の改善に絞って実施する。
エ:被監査部門の予算の範囲内で改善を実施する。
システム監査の改善計画評価方針【午前2 解説】
正解の理由
選択肢イ「経営資源の状況を踏まえて改善を実施する。」が正解です。ITガバナンスの観点では、改善施策は組織全体の戦略、リスク許容度、資源配分に照らして優先順位を付けられる必要があります。単に1年以内や被監査部門の予算内で実施可能かだけを基準にすると、重要度の高いリスクや全社的な影響を見落とす恐れがあります。経営者は限られた資源を最も有効に使う責務があるため、「経営資源の状況」を踏まえて評価・決定するのが適切です。
解法ステップ
- 問題文のキーワードを確認:「経営者がITガバナンスの観点で評価する方針」→ 経営視点・資源配分が関連。
- 各選択肢をガバナンスの基本(戦略整合性、リスク管理、資源配分)で照らす。
- ガバナンスに直接合致するもの(資源の状況を踏まえる)を正答とする。
- 他選択肢が部分的には妥当でも、ガバナンス全体観点を欠いている点を理由に除外する。
選択肢別の誤答解説
-
ア: 1年以内に実現できる改善を実施する。
短期実現性は実現可能性の一要素にすぎず、重要なリスク対策や戦略的投資を後回しにするおそれがあるため不適切です。 -
イ: 経営資源の状況を踏まえて改善を実施する。
正解。経営者は全社最適の観点で人員・予算・時間・技術の配分を判断し、リスクと効果に基づき優先順位を決めるべきです。 -
ウ: 情報システムの機能面の改善に絞って実施する。
機能改善は重要だが、組織・運用・人材・プロセス等の非機能面もガバナンス上無視できないため不十分です。 -
エ: 被監査部門の予算の範囲内で改善を実施する。
部門予算のみで判断すると全社的な重要性や共有リスクを見落とすため、経営判断として不適切です。
よくある誤解
- 「短期間でできるものを優先すれば効率的」という誤解:短期実現は魅力的だが、リスク軽減効果が小さい施策に資源を割くと本質的なリスクを放置することになる。
- 「被監査部門の予算範囲内なら良い」という誤解:局所最適な判断で終わると全社的リスクや戦略との不整合を招く。必要なら部門横断で資源配分を見直すべき。
- 「システム機能改善だけで十分」という誤解:運用プロセス、人材、組織体制など非機能面の課題もガバナンス上重要。
補足コラム
ITガバナンスは単なる技術管理ではなく、経営戦略達成のための仕組みです。具体的には、改善計画を評価する際に次の観点でチェックすることが推奨されます: (1) 目的・期待効果の明確さ、(2) リスク軽減度合いと残留リスク、(3) 費用対効果、(4) 他部門への影響や依存関係、(5) 実行可能性(スキル・体制・時間)。これらを踏まえ、経営資源配分の最適化を図ることがガバナンスの本筋です。
FAQ
Q1: 「経営資源の状況を踏まえる」とは具体的に何を評価するのですか?
A1: 人員、予算、技術、時間、外部調達可能性、業務優先度、全社的なリスク許容度などを総合的に評価します。
A1: 人員、予算、技術、時間、外部調達可能性、業務優先度、全社的なリスク許容度などを総合的に評価します。
Q2: 被監査部門の意見を尊重すべきですか?
A2: 部門の現場知見は重要ですが、最終的には全社最適の観点から経営者が評価・意思決定します。
A2: 部門の現場知見は重要ですが、最終的には全社最適の観点から経営者が評価・意思決定します。
Q3: 緊急性の高い改善はどう扱うべきですか?
A3: 緊急かつ重大なリスク軽減が見込める改善は優先度が高く、経営資源を優先配分して速やかに実施するべきです。
A3: 緊急かつ重大なリスク軽減が見込める改善は優先度が高く、経営資源を優先配分して速やかに実施するべきです。
関連キーワード: システム監査、ITガバナンス、内部統制、改善計画、リスク管理、資源配分、優先順位付け、費用対効果

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

