問題
問44
情報システムに関わる業務a~cのうち、システム監査の対象となり得る業務だけを全て挙げたものはどれか。
- a 情報システム戦略の立案
- b 情報システムの企画・開発
- c 情報システムの運用・保守
- a
- a, b, c
- b, c
- c
[出典:ITパスポート試験 平成31年度春期 問44]
正解
正解は「イ」です。
解説
正解は「イ」のa, b, cの全てです。システム監査とは、情報システムに関する様々な活動が、組織の目標達成、情報資産の保護、法令の遵守などに貢献しているかを、独立かつ専門的な立場のシステム監査人が検証・評価し、助言・勧告を行うことです。システム監査の対象となる業務は、情報システムのライフサイクルの全て、つまり戦略の立案、企画、開発、運用、保守の全工程に及びます。
- a 情報システム戦略の立案:戦略が経営目標と合致しているか、投資効果は適切かなどを監査します。
- b 情報システムの企画・開発:開発プロセスが適切か、品質基準を満たしているか、納期やコストが守られているかなどを監査します。
- c 情報システムの運用・保守:セキュリティ対策、データのバックアップ、サービスの継続性、日常の業務運用が適切に行われているかなどを監査します。
システム監査は、特定の時点でのシステムの状態だけでなく、システムがどのように計画され、構築され、日々の活動で使われているかというプロセス全体を評価することが目的です。したがって、情報システムに関わる全ての業務がシステム監査の対象となり得ます。
ア(a):
b(企画・開発)とc(運用・保守)もシステム監査の重要な対象となるため、これだけでは不適切です。
ウ(b, c):
a(戦略の立案)は、IT投資の方向性を評価する上で最も重要な監査対象の一つであり、対象から除外することはできません。
エ(c):
c(運用・保守)は対象ですが、戦略立案や企画・開発の段階も監査対象に含まれます。
難易度
システム監査の適用範囲に関する基礎知識を問う問題です。システム監査が、システムのライフサイクル全体(企画から運用まで)を対象とするという包括的な性質を理解していれば、解答は容易です。この知識は、ITガバナンスや内部統制の文脈で重要であり、ITパスポート試験で頻出するため、基本事項として押さえておきましょう。
用語補足
システム監査:
情報システムに関する活動が適切に行われ、組織の目標達成に貢献しているかを、独立した第三者の立場で評価・検証し、助言・勧告を行う活動です。
情報システム戦略:
企業の経営目標を実現するために、どのようなITシステムを、いつまでに、どのように導入・活用していくかの方針や計画のことです。
情報システムの運用・保守:
稼働中のシステムを日々安定的に利用できるように管理し(運用)、不具合の修正や改善対応を行う活動(保守)のことです。
ITガバナンス:
経営戦略に基づいてIT投資やリスク管理を適切に行うための、組織全体の統制の仕組みです。
対策
システム監査は、情報システムのライフサイクル全般を通じて実施されることが原則です。つまり、企画段階(戦略の適合性)から、開発段階(品質と進捗管理)、そして運用段階(セキュリティと継続性)に至るまで、全てが監査の対象となります。システム監査は、特定の時期や工程に限定されるものではなく、組織の情報活動全体を健全に保つための仕組みであることを理解することがポイントです。
