基本情報 平成25年度 秋期 問58：マネジメント系に関する問題

答えは c です。

「システム監査」は情報システムが安全に・正しく・効率的に使われているかをチェックする活動。社内の健康診断のイメージ。

目的は「リスクをコントロールする仕組みが整っているか」を評価し、ITガバナンス（経営層がITをきちんと統治すること）の実現につなげること。

👉 覚え方：「監査＝チェック。健康診断と同じで、結果を改善に使う」。

ほかの選択肢：a ネットワーク脆弱性診断（自社による限定範囲）／b SWOT分析（経営戦略）／d 生産性評価（CMM等）は別の活動。

なぜこれが正解か

正解は c。「システム監査基準」（経済産業省、令和5年改訂）における監査目的の定義は「情報システムにまつわるリスクに対するコントロールが整備・運用されているかを評価し、改善につなげることでITガバナンスの実現に寄与する」とされており、cがほぼ原文。

各選択肢の解説

• a：システム部門自身が脆弱性診断＝自己点検であり、独立性のある監査ではない。
• b：SWOT分析による経営戦略策定の話で、システム監査の目的ではない。
• c：原文準拠の正答。
• d：CMM/CMMI による開発組織の能力評価＝プロセスアセスメントであり、システム監査ではない。

覚え方・ひっかけ注意

「監査の3要件＝独立性・客観性・専門性」。社内の人が自部署を監査するのは独立性違反でNG（aの罠）。監査人は第三者性が命。「ITガバナンス」「リスクコントロール」「改善」の3キーワードが揃ったらシステム監査の定義文。経産省「システム監査基準」と「システム管理基準」はセットで覚える（前者は監査人向け、後者は被監査側向け）。

理論的背景

システム監査は経済産業省「システム監査基準」（最新2023年版）に準拠し、情報システムガバナンス・マネジメント・コントロールの整備運用状況を独立・客観的立場で評価する活動。監査の3要件は独立性・客観性・専門性。コントロールフレームワークとしてCOSO（内部統制）、COBIT（ITガバナンス）、ISO/IEC 27001（情報セキュリティ）、ITIL（サービスマネジメント）が参照される。

システム監査基準では監査の目的を「組織体が情報システムにまつわるリスクをマネジメントし、ITガバナンスを実現することに寄与する」と明示。改善提案型（assurance & advisory）が現代の主流で、保証型監査（assurance audit）と助言型監査（consulting audit）に大別される。

実務での使われ方

上場企業では金融商品取引法（J-SOX法）に基づくIT全般統制（ITGC）・IT業務処理統制（ITAC）の監査が必須。会計監査人（監査法人）が財務報告に関わるITコントロールを評価し、不備があれば内部統制報告書に記載。独立した内部監査部門が経営層直属で活動し、外部監査人と協働する3線ディフェンスモデル（1線=現場、2線=リスク管理部門、3線=内部監査）が標準。

クラウド時代ではSOC 2 Type II 報告書（AICPAのTrust Services Criteria準拠）がSaaSベンダーの標準的な第三者監査。AWSやGCPは独自にISO 27001/27017/27018、PCI DSS、HIPAA等の認証を取得し顧客に提供する責任共有モデルを構成する。

試験での位置づけ

FE/AP/SAのマネジメント系（システム監査）で頻出。①システム監査基準の目的・原則、②監査計画・実施・報告・フォローアップの監査プロセス、③IT統制（ITGC/ITAC）、④監査証拠・監査調書、⑤助言型 vs 保証型監査、が主要論点。高度試験のシステム監査技術者（SA）はこの領域専門。

選択肢の発展補足

ITガバナンスは「経営層がITの方向付け、評価、モニタリングを行うこと」（ISO/IEC 38500）で、ITマネジメント（IT部門が日常運用すること）と区別する。COBIT 2019フレームワークでは「Govern」と「Manage」を分離し、Governに5プロセス、Manageに35プロセス（合計40プロセス）を定義。デジタル変革（DX）の進展でビジネスとITの一体化が進み、CIO/CDXO（Chief Digital Transformation Officer）の役割がガバナンスの中核となる。SOC 1（財務報告のIT統制）、SOC 2（5つのTrust Services Category）、SOC 3（要約版）の使い分けも実務で重要。