問題
問51
システム監査における被監査部門の役割として、適切なものはどれか。
- 監査に必要な資料や情報を提供する。
- 監査報告書に示す指摘事項や改善提案に対する改善実施状況の報告を受ける。
- システム監査人から監査報告書を受領する。
- 予備調査を実施する。
[出典:ITパスポート試験 平成29年度春期 問51]
正解
正解は「ア」です。
解説
システム監査において、被監査部門は、監査の対象となるシステムや業務を実際に運用している部署を指します。この部門の主な役割は、監査人がシステムや業務の状況を適切に評価できるよう、必要な情報や資料を正確かつタイムリーに提供することです。監査人は、提供された情報に基づいて現状を把握し、リスクや問題点を洗い出していきます。
例えば、システムの運用記録や設定情報、関連する業務手順書などを提出することが求められます。これは、医師が患者のカルテや検査結果を見て診断するのと同じように、監査人が企業の「健康状態」を診断するために不可欠な情報提供のプロセスです。したがって、「監査に必要な資料や情報を提供する」という選択肢アが、被監査部門の最も適切な役割となります。
イ(監査報告書に示す指摘事項や改善提案に対する改善実施状況の報告を受ける。):
監査報告書を受け取り、改善状況を報告を受けるのは、監査を実施したシステム監査人や経営層の役割です。被監査部門は指摘された改善を実行し、その状況を「報告する」立場にあります。
ウ(システム監査人から監査報告書を受領する。):
監査報告書を受領するのは、主に監査対象となった被監査部門や経営層、関連部門などです。被監査部門は監査対象であるため、最終的な報告書を受け取る側であり、システム監査人から報告を受ける立場ではありません。
エ(予備調査を実施する。):
予備調査は、システム監査人が監査計画を立てるために、被監査部門の業務内容やシステム概要を事前に把握する目的で行うものです。これはシステム監査人側の役割であり、被監査部門が自ら実施するものではありません。
難易度
この問題の難易度は、ITパスポート試験の知識を問う基礎的なものであり、比較的易しいと言えます。システム監査の基本的なプロセスと、関係者の役割を理解していれば、正解を導き出すことは難しくありません。特に「被監査部門」が「監査される側」であることを理解していれば、誤った選択肢は容易に除外できるでしょう。
用語補足
システム監査:
企業や組織の情報システムが、安全性、効率性、信頼性などの観点から適切に運用されているかを、独立した立場の専門家(システム監査人)が評価し、助言・勧告を行う活動です。例えば、会社の会計システムが正しく動いているか、情報漏洩のリスクはないかなどをチェックし、改善点を指摘するイメージです。
被監査部門:
システム監査の対象となるシステムを実際に運用している部署や業務部門のことです。例えば、経理部門が使用している会計システムが監査対象であれば、経理部門が被監査部門となります。彼らは監査に必要な情報を提供し、指摘された改善点を実行する役割を担います。
システム監査人:
システム監査を計画し、実行し、報告書を作成する独立した専門家です。監査の公平性を保つため、被監査部門とは異なる立場にいます。会社の外部の専門家が担当することもありますし、社内の別の部署の人が担当することもあります。
監査報告書:
システム監査の結果をまとめた公式な文書です。監査人が発見した情報システムの弱点や改善すべき点、それらに対する推奨事項などが記載されており、被監査部門や経営層に提出されます。
対策
この問題は、システム監査における各関係者の役割を正確に理解しているかがポイントです。特に「監査人」と「被監査部門」のそれぞれの立場と責任範囲を明確に区別することが重要です。日頃から、各IT用語がどのような活動や役割を持つのかを具体的にイメージしながら学習すると、応用問題にも対応できるようになります。関連するITサービスマネジメントや情報セキュリティマネジメントの知識と結びつけて学習するのも効果的です。
