【ITパスポート練習問題 6.3対応】(2) システム監査

【解説】

正解: 2 情報システムの信頼性を独立した立場で評価すること

この問題は、システム監査人が組織の中でどのような役割を担っているかを理解しているかを確認するものです。特に、開発や運用といった現場とは異なる「独立した立場」から、情報システムを客観的に評価する役割をイメージできているかが問われています。

選択肢2の「情報システムの信頼性を独立した立場で評価すること」がシステム監査人の主な役割を正しく表しています。システム監査人は、システムが安全に、正確に、継続的に動作するかどうかを、内部統制やリスク管理の観点から確認します。その際、監査対象のシステムを作ったり運用したりしている当事者から距離を置き、第三者的な視点で評価することが重要になります。

選択肢1の「情報システムの開発を支援すること」は、開発プロジェクトのメンバーや技術コンサルタントの役割に近く、監査人の本来の役割ではありません。選択肢3の「組織の業務プロセスを最適化すること」は、業務改善や経営コンサルティングの目的であり、監査結果が間接的に最適化に役立つことはあっても、システム監査人の主たる役割を直接表したものではないため誤りです。

【解説】

正解: 2 システム開発プロジェクトの進行管理

この問題は、システム監査人が日常的に行う業務と、監査人が関与すべきではない業務を区別できているかを確認するものです。特に、「監査する側」と「監査される側」の役割分担を理解しているかがポイントになります。

選択肢2の「システム開発プロジェクトの進行管理」は、システム監査人の業務としては適切ではありません。進行管理はプロジェクトマネージャーや開発責任者が担うべき仕事であり、監査人がそこに深く関与すると、監査結果の客観性や独立性が損なわれてしまいます。そのため、「適切でないもの」を問うこの問題では2が正解となります。

選択肢1の「監査計画の策定」は、どの範囲をどの方法で監査するかを定める、システム監査人の重要な業務です。選択肢3の「監査結果の報告」も、監査で得られた評価や指摘事項を関係者に伝える役割であり、監査人が行うべき基本的な業務です。

【解説】

正解: 1 監査の正確性を保証するため

この問題は、システム監査人に「独立性」が求められる理由を理解しているかを確認するものです。監査人が誰の影響も受けずに判断できる状態が、なぜ重要なのかを説明できるかがポイントです。

選択肢1の「監査の正確性を保証するため」が正解です。監査人が開発や運用の当事者から独立していることで、利害関係に左右されない客観的な判断が可能になります。これにより、監査結果の信頼性や妥当性が担保され、経営者や関係者が安心して監査結果を意思決定に利用できます。

選択肢2の「開発チームとの連携を強化するため」は、独立性を高めるというより、むしろ関係性を密にする方向であり、監査の中立性が損なわれるおそれがあります。選択肢3の「業務の効率化を図るため」も、独立性が直接目指す目的ではなく、副次的な効果があるとしても、独立性が重視される本質的な理由とは言えません。

【解説】

正解: 3 監査の目的や手法

この問題は、システム監査基準がどのような内容を定めているかを理解しているかを確認するものです。監査そのものの「やり方」を決める基準なのか、システム開発のための基準なのかを区別できているかが問われています。

選択肢3の「監査の目的や手法」が正解です。システム監査基準には、監査を行う際の目的、基本的な手順や手法、評価の観点などが定められており、監査人がどのような考え方・枠組みで監査を進めるべきかを示します。これにより、監査の一貫性や品質を確保することができます。

選択肢1の「システムの設計基準」は、システム開発における設計ルールや方針に関する内容であり、システム監査基準ではなく設計標準などで定められるものです。選択肢2の「プロジェクトの進行管理手法」は、開発プロジェクトをどのように管理するかという手法であり、プロジェクト管理の領域の内容であって、監査基準が直接定めるものではありません。

【解説】

正解: 2 組織の経営方針の策定

この問題は、システム監査基準に基づく監査の目的と、その範囲外となる活動を区別できているかを確認するものです。監査が対象とするのはあくまで情報システムに関するリスクや信頼性である、という点を押さえられているかがポイントです。

選択肢2の「組織の経営方針の策定」は、システム監査の目的としては適切ではありません。経営方針の策定は、経営者や経営企画部門が担う役割であり、監査人はその方針に従って情報システムが適切に運用・管理されているかを評価する立場にあります。そのため、「目的として適切でないもの」を問うこの問題では2が正解となります。

選択肢1の「情報システムのリスク評価」は、システム監査の中心的な目的の一つです。情報漏えい、障害、運用ミスなどのリスクがどの程度存在し、どのような対策が取られているかを評価します。選択肢3の「システムの信頼性検証」も、システムが安定して正しく動作するかどうかを確認するという意味で、システム監査の重要な目的に含まれます。

【解説】

正解: 3 一貫性と透明性のある監査を行うこと

この問題は、システム監査基準が監査にどのような姿勢や品質を求めているかを理解しているかを確認するものです。個々の監査人の感覚に頼るのではなく、共通の基準で評価することの重要性を把握しているかが問われています。

選択肢3の「一貫性と透明性のある監査を行うこと」が正解です。システム監査基準は、どの監査人が担当しても一定の考え方・手順で監査が行われるようにし、また評価の根拠が第三者から見ても分かるようにすることを目指しています。その結果、監査結果への信頼性が高まります。

選択肢1の「定性的な判断のみで監査すること」は、監査人の感覚や印象に依存しやすく、基準に基づく客観的な評価とは言えません。選択肢2の「主観的な評価を重視すること」も、監査人個人の主観を前面に出すものであり、監査基準が求める客観性や透明性の考え方とは逆の方向になるため不適切です。

【解説】

正解: 2 監査の目的と範囲

この問題は、システム監査計画を立てる際に何を最優先で明確にすべきかを理解しているかを確認するものです。監査の「設計図」として、どの部分をどこまで見るのかを決める重要性をイメージできているかがポイントです。

選択肢2の「監査の目的と範囲」が正解です。監査計画では、何を明らかにするための監査なのか（目的）、どのシステムや業務を対象とするのか（範囲）をはっきりさせることが最も重要です。これが曖昧だと、監査の深さや対象がぶれてしまい、結果として不十分な監査になりかねません。

選択肢1の「開発手順の詳細」は、開発プロセスのドキュメント内容であって、監査計画の中心要素ではありません。選択肢3の「システムの設計仕様」も、監査対象として参照する資料にはなりますが、計画そのものの主要な構成要素ではなく、監査計画の中で最も重要な要素とは言えません。

【解説】

正解: 3 システムの運用手順

この問題は、システム監査計画に含めるべき項目と、監査対象として参照するだけの項目を区別できているかを確認するものです。監査計画が「監査の進め方」を定める文書であることを理解しているかがポイントです。

選択肢3の「システムの運用手順」は、監査計画に含める内容としては不適切です。運用手順そのものは監査の対象となる文書であり、監査計画に書き込むべき内容ではありません。そのため、「含まれないもの」を問うこの問題では3が正解となります。

選択肢1の「監査の手法」は、どのような手続で監査を進めるか（インタビュー、文書確認、テストの実施など）を定めるものであり、監査計画に含まれるべき重要な要素です。選択肢2の「監査のスケジュール」も、いつ、どの順番で監査を行うかを示すもので、監査計画に不可欠な情報です。

【解説】

正解: 1 監査の一貫性を確保するため

この問題は、システム監査計画をわざわざ文書として策定する意義を理解しているかを確認するものです。計画があることで、監査の質や結果にどのような影響が出るのかをイメージできているかが問われています。

選択肢1の「監査の一貫性を確保するため」が正解です。監査計画を事前に作成しておけば、監査人が複数名いても、また複数回にわたって監査を実施する場合でも、同じ目的・範囲・手法に基づいて監査を行うことができます。これにより、監査のばらつきを減らし、結果の比較や説明がしやすくなります。

選択肢2の「システム開発を効率化するため」は、開発側の目的であり、監査計画の直接の目的とは言えません。選択肢3の「業務プロセスを最適化するため」も、監査結果が間接的に改善に役立つことはありますが、監査計画策定そのものの主目的ではありません。

【解説】

正解: 2 リスクが高い領域

この問題は、リスクアプローチに基づく監査手続が、限られた時間や資源の中でどこに重点を置いて監査を行うのかを理解しているかを確認するものです。すべてを同じ深さで見るのではなく、重要度に応じてメリハリをつける考え方を押さえられているかがポイントです。

選択肢2の「リスクが高い領域」が正解です。リスクアプローチでは、重大な損失や障害につながるおそれが大きい部分に監査の重点を置きます。これにより、限られた監査資源を効果的に配分し、重要な問題を見逃さないようにすることができます。

選択肢1の「コストの低い領域」は、監査対象のリスクの大きさとは直接関係がなく、重点監査の基準として適切ではありません。選択肢3の「全ての領域を均等に評価すること」は、一見公平に見えますが、リスクの大小にかかわらず同じ深さで見ることになり、リスクアプローチの考え方とは逆になります。

【解説】

正解: 3 監査対象のリスクを事前に特定すること

この問題は、リスクアプローチに基づく監査を実施する際に、最初に何をしなければならないかを理解しているかを確認するものです。リスクの「洗い出し」と「重点化」のプロセスをイメージできているかがポイントです。

選択肢3の「監査対象のリスクを事前に特定すること」が正解です。リスクアプローチでは、まず監査対象となるシステムや業務にどのようなリスクがあるかを整理し、その発生可能性や影響度を評価します。その結果を踏まえて、どの部分に重点的に監査資源を投入するかを決めていきます。

選択肢1の「全てのシステムを同じ基準で評価すること」は、リスクの大小を区別せずに扱う考え方であり、リスクアプローチとは相いれません。選択肢2の「システムの設計段階を重視すること」は、設計レビューなどの場面では重要な視点ですが、「リスクアプローチそのものの要件」として示されたものではありません。

【解説】

正解: 1 重要なリスクの影響を軽減できる

この問題は、リスクアプローチによる監査手続を採用することで、どのような効果が期待できるかを理解しているかを確認するものです。単に監査のやり方を変えるだけでなく、リスク管理にどう貢献するかを押さえられているかがポイントです。

選択肢1の「重要なリスクの影響を軽減できる」が正解です。リスクアプローチでは、影響が大きいリスクや発生しやすいリスクに監査の重点を置くことで、重大な問題につながりやすい部分を集中的にチェックできます。その結果、重大な事故や障害の発生可能性や影響を低減することが期待されます。

選択肢2の「監査の範囲を広げることができる」は、リスクアプローチの本質ではありません。むしろ、重要でない部分への監査をある程度絞り込むことで、限られた資源を有効活用する考え方です。選択肢3の「コスト削減のために監査の詳細を省略できる」は、必要な検証を省略することにつながりかねず、リスクアプローチの考え方とは異なります。

【解説】

正解: 2 監査意見の形成に必要なデータや文書

この問題は、「監査証拠」という用語が指す具体的な内容を理解しているかを確認するものです。監査人がどのような資料や情報を根拠に結論を出しているのかを説明できるかがポイントです。

選択肢2の「監査意見の形成に必要なデータや文書」が正解です。監査証拠とは、システムのログ、運用記録、手順書、インタビュー結果、画面のスクリーンショットなど、監査人が評価や結論を導くために収集したあらゆる情報を指します。これらの証拠に基づいて、監査人はシステムが適切に運用・管理されているかどうかを判断します。

選択肢1の「システムの開発計画」は、それ自体が監査対象となる文書の一つであり、単体として「監査証拠」と定義されるわけではありません。選択肢3の「システムの利用マニュアル」も同様に、監査の中で確認する資料の一つではありますが、「監査証拠」の定義そのものを表しているわけではありません。

【解説】

正解: 3 証拠の入手コスト

この問題は、収集した監査証拠を評価する際に、どのような観点が重要であり、どの観点は評価の本質には関わらないかを理解しているかを確認するものです。監査証拠の「質」をどう見るかがポイントです。

選択肢3の「証拠の入手コスト」は、監査証拠そのものの評価において重要な観点とは言えません。もちろん、監査計画を立てる際にはコストや工数も考慮しますが、証拠の価値を判断する際に優先すべきなのは、費用ではなく内容の妥当性です。そのため、「重要でないもの」を問うこの問題では3が正解となります。

選択肢1の「証拠の信頼性」は、その情報がどれだけ正確で改ざんの余地が少ないかを示す重要な観点です。選択肢2の「証拠の関連性」も、監査の目的や評価したい事項に直接関係しているかどうかを判断する上で不可欠な観点であり、いずれも監査証拠を評価する際には重視されます。

【解説】

正解: 1 監査の目的に沿って必要な情報を選定すること

この問題は、監査証拠をどのような考え方で収集すべきか、適切な方法論を理解しているかを確認するものです。やみくもに資料を集めるのではなく、目的に応じて取捨選択する姿勢を持てているかがポイントです。

選択肢1の「監査の目的に沿って必要な情報を選定すること」が正解です。まず監査の目的と評価したい事項を明確にし、それに対応する証拠（ログ、文書、インタビューなど）を計画的に収集することが求められます。これにより、過不足のない効率的な証拠収集が可能になります。

選択肢2の「証拠を無作為に選ぶこと」は、重要な情報が漏れたり、不要な情報ばかり集まったりするおそれがあり、合理的な収集方法とは言えません。選択肢3の「利便性の高い証拠のみを収集すること」も、入手しやすさだけで選ぶ姿勢であり、監査の目的に適合した十分な証拠が得られないリスクが高くなるため不適切です。

【解説】

正解: 3 監査活動の記録と監査結果の裏付けを行うこと

この問題は、「監査調書」がどのような役割を持つ文書なのかを理解しているかを確認するものです。監査調書が、監査人の頭の中の記憶ではなく、客観的な記録として残されるべきものであることをイメージできているかがポイントです。

選択肢3の「監査活動の記録と監査結果の裏付けを行うこと」が正解です。監査調書には、どのような手続を実施し、どのような監査証拠を収集し、それをどう評価した結果としてどの結論に至ったのか、といったプロセスが記録されます。これにより、監査結果が妥当であることを後から検証できるようになります。

選択肢1の「システムの設計図を記録すること」は、設計書そのものの内容であり、監査調書の目的とは異なります。選択肢2の「業務手順書を作成すること」も、業務を実施するための手順をまとめたドキュメントであり、監査調書が担う役割ではありません。

【解説】

正解: 2 適切な期間、秘密保持を守りつつ保管すること

この問題は、監査調書という機密性の高い文書をどのように管理・保管すべきかを理解しているかを確認するものです。情報の保護と、必要なときに参照できる状態の両立を意識できているかがポイントです。

選択肢2の「適切な期間、秘密保持を守りつつ保管すること」が正解です。監査調書には、内部統制の状況や指摘事項など、外部に漏れると問題となる情報が含まれます。そのため、アクセス権限を限定しつつ、法令や社内規程で定められた期間は確実に保管することが求められます。

選択肢1の「誰でもアクセスできる状態にすること」は、機密情報の漏えいにつながるおそれがあり、極めて不適切です。選択肢3の「監査が終了したらすぐに破棄すること」も、後から内容を確認できなくなるため、監査の正当性を証明できなくなり、適切とは言えません。

【解説】

正解: 1 証拠の評価内容を詳細に記録すること

この問題は、監査調書を作成する際に、どの程度の内容を残しておくべきかを理解しているかを確認するものです。単なる結果だけでなく、そこに至る考え方を記録する意義を押さえられているかがポイントです。

選択肢1の「証拠の評価内容を詳細に記録すること」が正解です。監査調書には、「どの証拠をどのような観点で評価し、その結果どのような判断に至ったか」を分かるように残す必要があります。これにより、将来第三者が見ても、監査人の結論が妥当であるかどうかを追跡できるようになります。

選択肢2の「監査調書を簡潔に作成するために内容を省略すること」は、必要な情報まで削ってしまうおそれがあり、後から監査の妥当性を説明できなくなる危険があります。選択肢3の「監査報告書の内容をそのまま書き写すこと」は、報告書の要約にとどまり、実際にどのような手続や証拠に基づいて報告書が作成されたかを示せないため、監査調書の役割を果たしません。

【解説】

正解: 3 監査の結論と改善提案

この問題は、システム監査報告書に何を書かなければならないか、その中核となる内容を理解しているかを確認するものです。報告書が単なる事実羅列ではなく、結論と提案を含む文書であることを把握しているかがポイントです。

選択肢3の「監査の結論と改善提案」が正解です。システム監査報告書では、監査の結果として明らかになった問題点やリスクの水準をまとめるとともに、それに対してどのような改善策を実施すべきかを提案します。これにより、経営者や管理者が具体的なアクションにつなげやすくなります。

選択肢1の「システム開発計画の詳細」は、開発プロジェクトの計画書に記載される内容であり、監査報告書の中心的な項目ではありません。選択肢2の「業務マニュアルの記載」も、業務遂行の手順を示す文書の内容であり、監査報告書に必ずしも詳細に記載するものではありません。

【解説】

正解: 2 監査結果を客観的かつ明確に記述すること

この問題は、システム監査報告書を作成する際に特に意識すべきポイントを理解しているかを確認するものです。報告書が読み手にとって分かりやすく、かつ信頼できる内容になっているかが重要であることを押さえられているかがポイントです。

選択肢2の「監査結果を客観的かつ明確に記述すること」が正解です。監査報告書では、事実と意見を区別しながら、評価の根拠を分かりやすく示す必要があります。これにより、経営者や関係者が報告書をもとに適切な意思決定を行えるようになります。

選択肢1の「監査対象者の名前を必ず記載すること」は、必要に応じて記載されることはありますが、報告書作成の最重要ポイントではありません。選択肢3の「全ての業務手順を詳細に説明すること」は、報告書を過度に膨らませてしまい、肝心の監査結果や指摘事項が埋もれてしまうおそれがあり、本質的な要求とは言えません。

【解説】

正解: 3 経営者や監査対象の責任者

この問題は、システム監査報告書が誰に向けて作成される文書なのか、その主な提出先を理解しているかを確認するものです。監査結果をもとに、誰がどのような判断や対応を行うのかをイメージできているかがポイントです。

選択肢3の「経営者や監査対象の責任者」が正解です。システム監査報告書は、組織のトップやシステム管理の責任者がリスクや問題点を把握し、必要な対策や改善方針を決定するための資料として提出されます。

選択肢1の「システム開発チーム」は、監査結果の内容に応じて具体的な対応を依頼されることはありますが、報告書の直接の提出先・最終的な受け手として想定されるのは経営層や責任者です。選択肢2の「一般の従業員」は、監査報告書の詳細を共有する対象とは通常ならず、必要に応じて要点のみが周知されるにとどまります。

【解説】

正解: 2 提案された改善策が実施されているか確認すること

この問題は、監査で示された改善提案に対して、その後どのような確認活動（フォローアップ）を行うべきかを理解しているかを確認するものです。監査が報告書で終わりではなく、その後の実行状況まで見届ける役割を持つことを押さえられているかがポイントです。

選択肢2の「提案された改善策が実施されているか確認すること」が正解です。フォローアップでは、監査報告書で指摘した事項に対して、責任部署が具体的な対応を行ったかどうか、その結果リスクが適切に低減されたかどうかをチェックします。

選択肢1の「監査報告書の内容を再度検証すること」は、報告書自体の見直しであり、フォローアップの主目的とは異なります。選択肢3の「システムの新規機能を開発すること」は、開発プロジェクトの業務であり、監査のフォローアップが直接担う活動ではありません。

【解説】

正解: 1 監査の終了後、全ての問題が解決されるわけではないため

この問題は、なぜフォローアップという追加の活動が必要になるのか、その背景理由を理解しているかを確認するものです。監査が指摘した内容が、報告書提出の時点ではまだ「対応中」であることが多い現実を踏まえられているかがポイントです。

選択肢1の「監査の終了後、全ての問題が解決されるわけではないため」が正解です。多くの場合、監査が指摘する改善事項は、すぐには対応が完了せず、一定期間をかけて対応を進めていく必要があります。そのため、後から状況を確認するフォローアップが求められます。

選択肢2の「システムの利用者に報告書を配布するため」は、フォローアップの目的というより、情報共有の方法に関する内容です。選択肢3の「新しいシステム開発計画を立案するため」は、経営や企画の活動であり、フォローアップが行われる主な理由とは言えません。

【解説】

正解: 2 提案した改善策が予定通り実施されているか確認すること

この問題は、改善提案のフォローアップにおいて、監査人がどのような立場・役割で関わるべきかを理解しているかを確認するものです。監査人が「実務担当」ではなく「確認・評価者」であることを意識できているかがポイントです。

選択肢2の「提案した改善策が予定通り実施されているか確認すること」が正解です。監査人は、フォローアップの場面でも、実際の改善作業を行うのではなく、責任部署が計画したとおりに対応を進めているか、残されたリスクがないかをチェックする役割を担います。

選択肢1の「システムの操作方法を従業員に指導すること」は、教育・研修の担当者や運用部門の役割であり、監査人の本来の役割とは異なります。選択肢3の「新しいシステムの設計図を作成すること」も、システム開発者や設計者の業務であり、監査人が行うべきものではありません。

【解説】

正解: 1 ウォークスルー

この問題は、代表的なシステム監査技法の名称と、その内容を結び付けて理解しているかを確認するものです。特に、業務手順を実際にたどって確認するような手法をイメージできているかがポイントです。

選択肢1の「ウォークスルー」が正解です。ウォークスルーとは、実際の業務手順やシステム処理の流れを、監査人が担当者と一緒に追いながら確認する方法です。実際に画面操作や帳票の流れをたどることで、手順上の抜け漏れや内部統制上の問題点を具体的に把握できます。

選択肢2の「内部統制評価」は、組織の統制活動全体が適切に機能しているかを評価する目的や領域を指すものであり、個別の技法名ではありません。選択肢3の「リスクベース監査」は、リスクの高い領域に重点を置く監査の考え方（アプローチ）を示す用語であり、「業務手順を実際に試行する」ことを意味するものではありません。

【解説】

正解: 3 リスクの高い領域に重点を置いて評価する

この問題は、リスクベース監査の考え方を簡潔に説明できるかを確認するものです。全てを同じように見るのではなく、どこに重点を置くかを理解しているかがポイントです。

選択肢3の「リスクの高い領域に重点を置いて評価する」が正解です。リスクベース監査では、発生すると影響が大きい、あるいは発生しやすい領域に監査の力を集中させます。これにより、限られた監査資源であっても、重要な問題を効率よく見つけ出すことができます。

選択肢1の「全ての業務を均等に評価する」は、一見公平ですが、リスクの大きさにかかわらず同じ深さでチェックすることになり、リスクベース監査の考え方とは逆です。選択肢2の「システムの操作マニュアルを確認する」は、監査手続の一つとして行うことはあっても、リスクベース監査の特徴そのものを説明したものではありません。

【解説】

正解: 2 組織の業務プロセスが適切に管理されているか評価するため

この問題は、「内部統制評価」の目的が何であるかを理解しているかを確認するものです。システムそのものではなく、業務全体の管理の仕組みに注目する評価であることを把握しているかがポイントです。

選択肢2の「組織の業務プロセスが適切に管理されているか評価するため」が正解です。内部統制評価では、承認手続、職務分掌、アクセス権管理など、業務が誤りや不正なく実施されるようにする仕組みが、きちんと整備・運用されているかを確認します。

選択肢1の「システムの新規機能を開発するため」は、開発プロジェクトの目的であり、内部統制評価の目的とは無関係です。選択肢3の「全てのシステムを廃止するため」は、極端で現実的でない内容であり、内部統制評価の目的とは明らかに異なるため誤りです。