ITパスポート 令和4年度 問53：システム監査に関する問題

答えは d「b、c、d」 です。

システム監査人は「会社のITがちゃんとしてるか調べる人」。調べるときの“やり方”を選ぶ問題です。

・b コンピュータの道具を使って調べる ◯

・c 書類や資料を読んで確かめる ◯

・d 担当者に直接お話を聞く（ヒアリング）◯

どれも“調べる手段”ですよね。

でも a の EA は『会社全体のIT設計図を作る取り組み』で、これは“調べる道具”ではなく“経営する側の計画”なので外れます。だから a を抜いた d が正解。

👉 覚え方：監査の調べ方＝『見る・聞く・道具で調べる』。EAは“設計図づくり”で別物。

なぜこれが正解か

正解は d（b、c、d）。システム監査人が予備調査・本調査で証拠を集めるための調査手段は、b コンピュータ支援監査技法（CAAT）の活用、c 資料・文書の閲覧、d ヒアリング（インタビュー）が代表例。これらは監査証拠を得る手段として適切。

各選択肢の解説

• a EAの活用：EA（Enterprise Architecture）は組織の業務とシステムを統一的に設計・最適化する“経営の枠組み”であって、監査人が証拠を集める『調査手段』ではない。よって不適切。
• b CAAT：監査対象のデータをツールで分析・抽出する技法。適切な調査手段。
• c 閲覧：規程・記録・設計書などを確認する基本的手段。適切。
• d ヒアリング：担当者へのインタビューで実態を確認。適切。

覚え方・ひっかけ注意

『調査手段＝閲覧・ヒアリング・CAAT』とセットで覚える。EAは“調べる方法”ではなく“設計の枠組み”というすり替えがひっかけ。「監査人が証拠を集めるために何をするか」を基準に選別する。

理論的背景

システム監査における「調査手段」の識別が本問のテーマである。正解d（b, c, d）は「コンピュータを利用した監査技法の活用」「資料や文書の閲覧」「ヒアリング」の3つであり、これらはシステム監査の予備調査・本調査で合理的な評価・結論を得るための標準的な手段として「システム監査基準（経済産業省、2004年改訂）」で規定されている。

選択肢aの「EA（Enterprise Architecture）の活用」が調査手段として除外される理由は、EAがシステム監査人が使う「調査手段」ではなく、「被監査組織（企業）が自組織のIT資産・業務プロセスを体系的に整理・設計するための枠組み（フレームワーク）」だからである。EAはビジネスアーキテクチャ（BA）・データアーキテクチャ（DA）・アプリケーションアーキテクチャ（AA）・テクノロジーアーキテクチャ（TA）の4層（Zachmanフレームワーク・TOGAF等）で組織の全体像を整理するもので、監査の道具ではなく監査対象の整理ツールである。

実務での使われ方

システム監査の調査手段の実務的内容を各手段ごとに整理すると以下の通りである。

「ヒアリング（d）」はシステム監査の最も基本的な手段で、被監査部門の担当者・管理者・IT部門等から口頭で情報収集する。構造化インタビュー（事前に質問リストを準備）と非構造化インタビュー（自由な対話で深掘り）を使い分ける。ヒアリング結果は「ヒアリング記録書」として文書化し、被監査者の確認署名を得ることで証拠力を高める。

「資料や文書の閲覧（c）」は業務フロー図・システム仕様書・操作ログ・設定ファイル・議事録・アクセス権限台帳などを直接閲覧・分析する手段で、ヒアリングで得た情報の裏付け（証拠収集）として機能する。閲覧したドキュメントは写しを入手し、監査調書として保管する。

「コンピュータを利用した監査技法（b）」はCAAT（Computer-Assisted Audit Techniques）とも呼ばれ、大量のデータを電子的に分析する技法である。具体的にはACL Analytics・CaseWare IDEA・Python・Excelを使って、重複トランザクション検出・異常値検出・アクセスログの統計分析・サンプリング抽出などを実施する。不正調査（フォレンジック）にも応用される。

試験での位置づけ

ITパスポートのシステム監査分野では「監査の調査手段の分類」と「システム監査人の独立性・専門性要件」が頻出テーマである。本問の核心は「EAが監査手段ではなく設計フレームワークである」という識別であり、EAという一般的な略語を混入させて正解選択肢を絞らせるひっかけ構造になっている。

基本情報技術者（FE）では、システム監査の種類（情報セキュリティ監査・会計監査のIT依拠・J-SOX監査）、システム監査人の要件（独立性・専門能力・証拠主義・守秘義務）、監査報告書の記載事項（監査目的・対象・実施日・所見・意見・改善提言）が問われる。システム監査技術者試験（AU）では、リスクアプローチ監査・コンプライアンステスト・実証テストの違い、CAAT技術の具体的適用方法、情報セキュリティ監査基準まで詳細に問われる。

選択肢の発展補足

EA（Enterprise Architecture）の主要フレームワークとして以下が存在する。①Zachmanフレームワーク（1987年）：Who・What・When・Where・Why・Howの6問を行列で整理するマトリクス形式。②TOGAF（The Open Group Architecture Framework）：企業のEAを段階的に構築するADM（Architecture Development Method）サイクルを定義。③FEA（Federal Enterprise Architecture）：米国連邦政府が採用するEA標準。④情報システム・モデル取引・契約書（日本のIPA発行）：EA視点で日本企業のIT調達・開発を標準化する指針。

EAと監査の関係性についてさらに補足すると、監査人はEAドキュメントを「参照・閲覧する資料」として活用することはある（資料閲覧手段bの一部として）。EAが整備されている組織では、システム間の依存関係・データフロー・セキュリティ管理策の分布が可視化されており、監査計画の策定や重点監査領域の特定に役立つ。しかしEAの「活用（利用・構築）」そのものが監査手段ではなく、あくまで監査情報収集の参考資料として機能する。この微妙な関係の理解が上級試験での正確な解答に必要となる。