問題
問55
システム監査の業務は、監査計画の立案,監査証拠の入手と評価,監査手続の実施,監査報告書の作成、フォローアップのプロセスに分けられる。これらのうち、適切な対策の実施を指導するプロセスはどれか。
- 監査証拠の入手と評価
- 監査手続の実施
- 監査報告書の作成
- フォローアップ
[出典:ITパスポート試験 平成31年度春期 問55]
正解
正解は「エ」です。
解説
正解は「エ:フォローアップ」です。システム監査におけるフォローアップとは、監査報告書で指摘された問題点や改善提案に対して、実際に組織がどのような対策を講じ、それが適切に実施されているかを確認し、必要に応じてさらなる改善活動を指導するプロセスを指します。監査の目的は、単に問題を発見するだけでなく、その問題を解決し、システムの安全性や効率性を継続的に向上させることにあります。そのため、監査結果に基づいて具体的な改善が確実に行われているかを検証し、指導するフォローアップは非常に重要な役割を果たします。
例えば、健康診断で「運動不足なので、毎日30分散歩しましょう」とアドバイスされた後、本当に散歩を始めたか、効果が出ているかを後日確認してもらうようなイメージです。システム監査においても、指摘事項に対する改善策が着実に実行され、効果が出ているかを定期的に確認し、必要に応じて助言を行うのがフォローアップの役割です。これにより、指摘事項が放置されることを防ぎ、システム全体の継続的な改善を促します。
ア(監査証拠の入手と評価):
監査証拠の入手と評価は、監査の対象から、システムの適切性を判断するための情報や資料を集め、それが信頼できるかどうかを評価するプロセスです。ここでは問題点を発見することが主な目的であり、直接的に対策の実施を指導する段階ではありません。
イ(監査手続の実施):
監査手続の実施は、監査計画に基づいて、実際にシステムの調査や確認、証拠収集などを行う活動を指します。このプロセスも問題点やリスクを発見することが主な目的であり、対策の指導は後続の段階で行われます。
ウ(監査報告書の作成):
監査報告書の作成は、監査で発見された問題点、改善提案、評価などを公式文書としてまとめるプロセスです。問題点を組織に提示することはしますが、具体的な対策の実施指導は報告書提出後に行われるフォローアップの役割です。
難易度
この問題の難易度は中程度です。システム監査のプロセスに関する基本的な知識があれば、正解を導きやすいでしょう。特に「フォローアップ」という言葉が持つ「追跡調査し、改善を促す」というニュアンスを理解していれば、問題文の「適切な対策の実施を指導する」という部分と結びつけて正解を選べます。ITパスポート試験の学習においては、各プロセスの内容を具体的にイメージできると、より理解が深まります。
用語補足
システム監査:
情報システムが適切に運用され、安全性や効率性が確保されているかを、第三者の視点から客観的に評価・検証する活動です。会社の会計をチェックする監査役のような役割を、システムに対して行います。
監査証拠:
システム監査の結論を裏付けるための、信頼できる情報や資料のことです。例えば、システムログ、設定ファイル、業務手順書、担当者へのヒアリング記録などがこれに該当します。探偵が事件の証拠を集めるようなイメージです。
監査報告書:
システム監査の結果をまとめた公式な文書です。発見された問題点、改善が必要な事項、それに対する提言などが具体的に記載されます。病院の診断結果報告書のようなものです。
フォローアップ:
監査報告書で指摘された問題点に対して、組織が実際に改善策を実行しているか、またその効果は出ているかを確認し、必要に応じて指導を行うことです。先生が宿題の進捗を確認し、分からないところを教えるようなイメージです。
対策
この問題を解くためのポイントは、システム監査が「問題点の発見」で終わるのではなく、「問題点の解決と改善」までを含んだ一連の活動であることを理解することです。各プロセスの名称と、そのプロセスで具体的に何が行われるのかを紐付けて覚えることが重要です。特に、監査の最終段階である「フォローアップ」が、指摘事項に対する「対策の実施指導」を担うという役割をしっかり把握しておきましょう。普段の業務でPDCAサイクルを回すことと同じように、改善が確実に実行されているかを確認するプロセスと考えると、理解しやすくなります。
