問題
問46
システム監査に当たるものはどれか。
- 監査対象の情報システムの運用管理者が行う, 日常点検
- 監査対象の情報システムの運用担当者が行う, 自己点検
- 監査対象の情報システムの利用者が行う, 満足度評価
- 内部監査の担当部署が行う、監査対象の情報システムの評価
[出典:ITパスポート試験 平成29年度春期 問46]
正解
正解は「エ」です。
解説
正解は「エ. 内部監査の担当部署が行う、監査対象の情報システムの評価」です。システム監査とは、企業のシステムが適切に機能しているか、セキュリティは安全か、法律や社内ルールを守っているかなどを、独立した立場から客観的に評価する活動のことです。「内部監査の担当部署」は、会社の中に設けられた、この監査を専門に行う部署のことです。この部署は、会社の他の部門とは独立した立場にあり、公平な目でシステムを評価します。
例えば、ある会社が新しいオンラインサービスを導入したとします。このサービスが顧客情報を適切に管理しているか、不正アクセス対策は十分かなどを、内部監査の担当部署がチェックし、問題があれば改善を促します。これにより、システムの信頼性を高め、会社の目標達成に貢献することがシステム監査の重要な役割です。
ア(監査対象の情報システムの運用管理者が行う, 日常点検):
これはシステム運用の一部であり、運用管理者が日常的にシステムの正常性を確認する作業です。監査は独立した第三者の視点で行われるため、運用担当者自身が行う日常点検はシステム監査には該当しません。
イ(監査対象の情報システムの運用担当者が行う, 自己点検):
自己点検は、運用担当者が自身の業務をチェックするもので、システム監査のような独立した客観的な評価ではありません。監査は、組織から独立した立場の専門家が行う必要があります。
ウ(監査対象の情報システムの利用者が行う, 満足度評価):
満足度評価は、利用者の視点からシステムの使いやすさや機能への満足度を測るもので、システムの安全性や信頼性、効率性などを客観的に評価するシステム監査とは目的が異なります。
難易度
この問題の難易度は、ITパスポート試験の知識を問う基本的な問題なので比較的易しいと言えます。システム監査の定義と、誰がどのような目的で行うのかを理解していれば、迷わずに正解を選べるでしょう。特に、「独立した立場からの評価」というシステム監査の重要な特性を理解しているかどうかがポイントになります。
用語補足
システム監査:
企業の情報システムが、ビジネス目標の達成に貢献しているか、安全性は確保されているか、法律や社内ルールを遵守しているかなどを、独立した専門家が客観的に評価し、改善を提言する活動です。例えば、会社の顧客情報システムが個人情報保護法に違反していないか、不正アクセス対策は十分かなどを調べます。
運用管理者:
情報システムの日常的な稼働状況を監視し、問題が発生しないように管理する責任者です。システムの安定稼働を維持するために、障害対応や性能管理などを行います。例えば、ウェブサイトが常に閲覧できる状態にあるか、サーバーの負荷が高すぎないかなどを管理する人です。
内部監査:
企業や組織の内部に設置された部署(内部監査部門)が、その組織の業務活動全般(会計、ITシステム、コンプライアンスなど)を評価し、経営目標達成に貢献するための助言や改善提案を行う活動です。外部の監査法人とは異なり、組織内部からの視点で監査を行います。
満足度評価:
製品やサービス、システムなどが利用者の期待やニーズをどれだけ満たしているかを評価することです。アンケート調査やヒアリングなどを用いて、利用者の主観的な意見や感想を収集します。例えば、新しいスマホアプリが使いやすいか、求めている機能があるかなどをユーザーに評価してもらうことです。
対策
この問題を解くためのポイントは、システム監査が「独立した第三者の視点」で行われる活動であることを理解することです。システム監査は、運用管理者が行う日常業務の延長ではなく、客観的な評価を通じてシステムの健全性を確保する目的があります。したがって、業務を直接担当する人が行う活動は監査とは異なるという判断基準を持っていれば、正解にたどり着けます。関連する「内部監査」や「外部監査」の役割の違いも押さえておくと良いでしょう。
