問題
問39
システム監査人の役割に関する記述として、適切なものはどれか。
- 業務の流れや内容に着目して、業務フロー,業務記述書,リスクコントロールマトリクスを作成し、リスクを評価し適切な統制を導入する。
- 情報システムの企画、開発,運用,保守などの各局面に沿って、適切なモニタリングや自己点検の仕組みを導入し、情報システムが安定的に運用されるような措置を講じる。
- 情報システムのリスクが適切かつ効果的にコントロールされているかについて、被監査部門から独立した立場で検証し、依頼者に報告する。
- 情報システムのリスクが適切にコントロールされるように、方針や目標を定め体制を整える。
[出典:ITパスポート試験 平成28年度春期 問39]
正解
正解は「ウ」です。
解説
システム監査人の主な役割は、情報システムが組織の目標達成に貢献しているか、また、リスクが適切に管理されているかを、独立した立場で評価し、その結果を報告することです。具体的には、システムの信頼性や安全性、効率性などを客観的にチェックし、問題点があれば改善を促します。
例えば、ある会社のシステムが顧客データを安全に扱っているか、不正アクセス対策は十分かなどを、システムの開発や運用を担当する部署とは別の、中立的な立場の監査人が調査し、経営陣に報告するといったイメージです。これにより、システムの透明性が高まり、組織全体の信頼性向上につながります。
ア(業務の流れや内容に着目して、業務フロー,業務記述書,リスクコントロールマトリクスを作成し、リスクを評価し適切な統制を導入する。):
この記述は、システム開発や運用を担当する部門が行う、リスク管理や内部統制の構築に関する業務です。監査人は統制を導入する側ではなく、導入された統制が適切に機能しているかを評価する側です。
イ(情報システムの企画、開発,運用,保守などの各局面に沿って、適切なモニタリングや自己点検の仕組みを導入し、情報システムが安定的に運用されるような措置を講じる。):
この記述は、情報システムの安定運用を目指す運用部門や管理者側の役割です。監査人は、モニタリングや自己点検の仕組みが適切に導入され、運用されているかを評価する立場です。
エ(情報システムのリスクが適切にコントロールされるように、方針や目標を定め体制を整える。):
この記述は、リスク管理体制の構築や情報セキュリティポリシーの策定など、組織の経営層や情報システム部門の責任者が行うべき役割です。監査人は、定められた方針や体制が実効性があるかを検証する立場です。
難易度
この問題は、システム監査人の役割について問う基本的な知識問題です。選択肢をよく読むと、監査人が「評価し報告する」立場であることと、監査対象から「独立した立場」であるというキーワードに気づけば、正解を導き出しやすいでしょう。他の選択肢は、システム開発者、運用者、または経営層の役割に該当するため、それぞれの役割の違いを理解していれば、比較的容易に解答できる難易度だと考えられます。
用語補足
システム監査人:
企業や組織の情報システムが、安全性、信頼性、効率性などの観点から適切に運用されているかを、独立した立場で評価・検証し、その結果を報告する専門家のことです。例えば、経理システムが正しく計算されているか、顧客情報が漏洩しないよう対策されているかなどをチェックする役割です。
業務フロー:
業務がどのような手順で進められるかを図や文章で示したものです。例えば、商品が注文されてから発送されるまでの一連の流れを図にまとめたものが業務フローです。これにより、業務全体を可視化し、効率化や問題点の発見に役立ちます。
リスクコントロールマトリクス:
業務上のリスクと、そのリスクを軽減するためのコントロール(統制)を一覧にした表のことです。例えば、「データ入力ミス」というリスクに対して、「二重入力チェック」や「承認プロセス」という統制を対応させる形で整理します。
独立した立場:
ある対象を評価・検証する際に、その対象を開発・運用する立場から切り離され、偏りのない客観的な視点を持つことです。例えば、自分のテストしたプログラムを自分で評価するのではなく、別の人が評価することで、より公平な判断ができるといった状況です。
対策
システム監査に関する問題では、「独立性」「客観性」「評価・検証」「報告」といったキーワードが重要です。監査人は、システムを「構築する」「運用する」「方針を定める」といった直接的な役割ではなく、それらの活動が適切に行われているかを「チェックし、意見を述べる」役割を担います。各選択肢が示す行動が、システムの「作り手」「使い手」「管理者」「評価者」の誰の役割に該当するのかを明確に区別することが、正解にたどり着くポイントです。役割の違いを理解するために、それぞれの立場がどのような業務を行うかを具体的にイメージしてみましょう。
