問題
問42
システム監査の実施後に、評価結果を受けて被監査部門がまとめるものとして、適切なものはどれか。
- 改善計画書
- 監査証拠
- サービスレベル合意書
- システム監査報告書
[出典:ITパスポート試験 平成30年度春期 問42]
正解
正解は「ア」です。
解説
システム監査は、企業の情報システムが適切に運用されているか、セキュリティ対策は十分かなどを第三者の視点から評価する活動です。監査が実施され、その評価結果(システム監査報告書)がまとまると、被監査部門(監査された側の部門)は、報告書で指摘された問題点や改善が必要な点に対して、具体的にどのように改善していくかを計画する必要があります。この計画を「改善計画書」と呼びます。
例えば、健康診断で「血糖値が高い」と指摘された場合、医師からの診断結果(システム監査報告書)を受け取ったあなたは、「食事改善をする」「運動を始める」といった具体的な行動計画(改善計画書)を立てるのと同じです。システム監査においても、問題点が明らかになったら、それを放置せず、計画的に改善を進めることが重要です。したがって、監査結果を受けて被監査部門がまとめるのは、改善に向けた具体的な行動を示す「改善計画書」が適切となります。
イ(監査証拠):
監査証拠は、監査人が監査の過程で収集する、システムの状況を示す客観的な情報や資料のことで、被監査部門がまとめるものではありません。
ウ(サービスレベル合意書):
サービスレベル合意書(SLA)は、サービス提供者と利用者間で、提供されるサービスの品質水準について合意した文書であり、監査結果を受けて作成するものではありません。
エ(システム監査報告書):
システム監査報告書は、監査人が監査結果を評価し、経営層や被監査部門に報告する文書であり、被監査部門が自らまとめるものではありません。被監査部門はこれを受けて「改善計画書」を作成します。
難易度
この問題は、システム監査の一連の流れと各文書の役割を理解していれば、比較的容易に解答できます。特に、監査の「結果」を受けて「被監査部門」が「まとめるもの」というキーワードに注目できれば、正解の「改善計画書」を導き出すことは難しくありません。基本知識を問うレベルの問題と言えるでしょう。
用語補足
システム監査:
企業や組織の情報システムが適切に機能しているか、安全性や効率性が確保されているかなどを、独立した第三者の視点から評価・検証することです。例えば、会社の会計システムが正しく動いているか、情報漏洩対策は十分かなどを専門家がチェックするようなものです。
被監査部門:
システム監査の対象となる部門や組織のことです。監査を受ける側の部門を指します。例えば、システム部門や経理部門など、情報システムを運用している部署が該当します。
改善計画書:
システム監査の結果、指摘された問題点や改善が必要な事項に対して、具体的にどのような対策を、いつまでに、誰が実施するかを詳細にまとめた文書です。健康診断で異常が見つかったときに、食生活の改善や運動計画を立てるのと同じように、システムの課題に対する行動計画を示します。
システム監査報告書:
システム監査人が監査の結果をまとめ、監査の目的、範囲、実施した手続き、監査で発見された問題点、改善提言などを記載した公式な文書です。健康診断の結果を医師がまとめる診断書のようなものです。
対策
この問題を解くためのポイントは、システム監査のプロセス全体を把握することです。特に、監査を実施する「監査人」と監査を受ける「被監査部門」の役割分担、そしてそれぞれの段階で作成される文書の種類と目的を理解することが重要です。この問題では、監査結果を受けて「被監査部門」が行動する内容であるため、「改善計画書」が正解となります。各文書が誰によって、どのタイミングで作成されるのかを整理して覚えるようにしましょう。
