問題
問47
監査を会計監査,業務監査,情報セキュリティ監査,システム監査に分けたとき,システム監査に関する記述として,最も適切なものはどれか。
- 業務で使用している情報の漏えいに関するリスクマネジメントが効果的に実施されていることの検証
- 財務諸表の作成に至る業務全般に関して,不正や誤りがなく処理されていることの検証
- 情報システムに係るリスクに対して,組織において適切に対応していることの検証
- 情報システムの利用を含めた組織内の諸業務が組織の方針に従って,合理的かつ効率的に運用されていることの検証
[出典:ITパスポート試験 令和8年度 問47]
正解
正解は「ウ」です。
解説
正解はウです。システム監査とは、組織の情報システムが抱えるリスクを適切に管理・コントロールできているかを、独立した専門的な立場の監査人が客観的に評価する活動です。
IT社会において、情報システムは業務の根幹を支えており、もしシステムに不具合やセキュリティ上の欠陥があれば、ビジネスが停止したり情報漏えいが発生したりといった重大な被害につながります。そのため、システム開発や運用のプロセスに問題がないか、セキュリティ対策は十分か、災害時でも継続できる体制があるかなどを総合的に確認します。
例えるなら、健康診断で「今の体の状態にリスクはないか、病気の予兆はないか」を医師が調べるようなものです。システム監査人は、経営目標に貢献できるように情報システムが安全かつ健全に運用されているかをチェックし、改善の助言を行うことで、組織の信頼性や競争力を高める役割を担っています。
ア(業務で使用している情報の漏えいに関する…):
これは情報セキュリティ監査の対象であり、特定のセキュリティ対策に特化した評価になります。
イ(財務諸表の作成に至る業務全般に関して…):
これは会計監査の対象であり、決算書の内容が正しいかをチェックする活動になります。
エ(情報システムの利用を含めた組織内の諸業務が…):
これは業務監査(またはITガバナンスに関連する組織運営の監査)に近い記述です。
難易度
システム監査、会計監査、業務監査など、似たような言葉が多く混同しやすいのが特徴です。「何を守るための監査なのか」という視点を持つと整理しやすくなります。ITパスポートでは、監査の対象が「お金(財務)」なのか、「情報システムそのもの」なのか、「特定のセキュリティルール」なのかを区別する問題が頻出するため、それぞれの定義を明確に理解しておく必要があります。
用語補足
システム監査:
情報システムが安全で効率的かを専門家が第三者の立場でチェックすることです。
会計監査:
会社の決算書(財務諸表)が法律や基準に従って正確に作成されているかを検証することです。
業務監査:
会社の業務プロセスがルール通りに、かつ効率的に行われているかを調べる活動です。
情報セキュリティ監査:
情報資産を漏えいや改ざんから守るための対策が適切に行われているかを評価することです。
対策
監査の種類(システム、会計、業務、セキュリティ)それぞれの目的を明確に理解しましょう。システム監査は「情報システムのリスク管理」を重視し、会計監査は「財務の正確性」、業務監査は「業務プロセスの妥当性」とキーワードを関連付けると、問題文から正解を絞り込みやすくなります。各監査の役割を区別することが最も重要な対策です。
