令和3年度49マネジメント系

ITパスポート 令和3年度 問49:システム監査に関する問題

ITガバナンスに関する次の記述中のaに入れる,最も適切な字句はどれか。 [a]は,現在及び将来のITの利用についての評価とIT利用が事業の目的に合致することを確実にする役割がある。

  • a株主
  • b監査人
  • c経営者正答
  • d情報システム責任者
正答:C経営者

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c「経営者」 です。

ITガバナンスとは、会社のITが“ちゃんと事業の役に立つように、トップが舵取りすること”。会社の進む方向を決めて責任を持つのは社長などの経営者ですよね。だから将来のIT活用を評価して事業に合っているか見届けるのも経営者の役目です。

船でたとえると、船長(経営者)が「この航路でいいか」を判断するイメージ。

👉 覚え方:ガバナンス=「経営トップの舵取り」。

ほかの選択肢:a 株主=お金を出す出資者/b 監査人=ちゃんとできてるか調べる人/d 情報システム責任者=現場でITを動かす担当。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。ITガバナンスとは、企業がIT活用を組織的に統制し、事業目的に合致させる仕組み。その最終責任を負い、現在および将来のIT利用を「評価・指示・モニタ」する役割は経営者にある。本問の「IT利用が事業目的に合致することを確実にする」という記述は経営者の責務そのもの。

各選択肢の解説

  • a 株主:会社に出資する者。経営の監督機能はあるがIT利用の評価・指示の主体ではない。
  • b 監査人:統制が適切に機能しているか独立した立場で点検・評価する者。指示は出さない。
  • d 情報システム責任者(CIO等):経営者の方針に基づきITを実行・推進する立場。最終責任主体ではない。

覚え方・ひっかけ注意

「ガバナンス=統治=経営者の責任」と直結させる。dの情報システム責任者は実務上の中心人物なので引っかかりやすいが、ガバナンス(統治)の主役はあくまで経営者。マネジメント(管理・実行)と切り分けて覚える。

上級誤答論破・背景理論まで深掘り

理論的背景

ITガバナンスの国際規格は JIS Q 38500(ISO/IEC 38500:2015) であり、経営者がITを統治するための原則とモデルを定義している。同規格の中核は「評価(Evaluate)・指示(Direct)・モニタ(Monitor)」の EDM モデルだ。

  • 評価(Evaluate): 現在および将来のIT利用について選択肢を検討し、事業目標への整合性を判断する
  • 指示(Direct): 適切な方針・計画の策定と実施を指示する
  • モニタ(Monitor): 方針への適合・計画に対する実績を追跡する

本問の「現在及び将来のITの利用についての評価とIT利用が事業の目的に合致することを確実にする役割」は EDM の「評価」機能そのものであり、それを担う主体が 経営者(取締役会・最高経営責任者等) と定義される。同規格はさらに6つの原則(責任・戦略・取得・パフォーマンス・適合・人間行動)を設定しており、どれも経営層が主体となって遵守する義務を負う。

実務での使われ方

ITガバナンス(統治)とITマネジメント(管理・実行)の明確な役割分離は、実務では取締役会・IT戦略委員会がガバナンス主体となり、CIO(最高情報責任者)・情報システム部門がマネジメント主体となる二層構造として具現化される。より精緻な体系が COBIT(Control Objectives for Information and Related Technologies) で、ISACA が策定するフレームワークだ。COBIT 2019 ではガバナンス領域(EDM:5プロセス)とマネジメント領域(APO・BAI・DSS・MEA:35プロセス)を峻別し、それぞれの責任主体を明示している。コーポレートガバナンスの文脈では J-SOX(内部統制報告制度)との連携も求められ、IT統制の整備・評価が経営者の直接責務となっている。

試験での位置づけ

ITパスポートおよびストラテジ系ではITガバナンスの主体識別が頻出で、「ガバナンス=経営者の責任」「マネジメント=CIO・情報システム部門の実行責任」「監査=独立した第三者の評価」という三者の役割分離が繰り返し問われる。特に選択肢の情報システム責任者(CIO)は実務上のIT推進の中心人物であるため、「ガバナンスの主役は経営者」という点で引っかかりやすい。基本情報技術者・ITストラテジスト試験では COBIT の構成やエンタープライズアーキテクチャ(EA)との接続、内部統制の三点セット(統制環境・リスク評価・統制活動)まで問われる。

選択肢の発展補足

選択肢 a「株主」 は会社への出資者であり、株主総会を通じた経営監督機能は有するが、日常的なIT利用の評価・指示をする主体ではない。コーポレートガバナンス上は株主が取締役会を通じて経営者を監視するという構造があるため混同しやすいが、ITガバナンスの「統治主体」としての文脈では経営者が主役だ。

選択肢 b「監査人」 は、統制が適切に機能しているかを独立した立場で評価・検証する第三者。指示は出さず、あくまでも「点検・勧告」が役割。本バッチの別問(f3e9f5b2)でも登場する「独立性」がシステム監査人の最重要要件であり、被監査対象からの組織的・身分的独立が必須。

選択肢 d「情報システム責任者(CIO等)」 は経営者の IT 戦略方針を受けて実行・推進する役割。ガバナンスの「統治」ではなくマネジメントの「実行」を担う。経営者とCIOの役割分離を問う問題はITパスポートでも繰り返し出題されるため、「方向性を定める=経営者/実行する=CIO」という図式を確実に固めておきたい。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度49/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

マネジメント系の他の過去問

35
system_audit
36
project_management
37
project_management
38
development_management
39
project_management

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。