応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問60: 情報システムの可監査性を説明したものはどれか。

問題本文

情報システムの可監査性を説明したものはどれか。

選択肢

• ア.コントロールの有効性を監査できるように，情報システムが設計・運用されていること
• イ.システム監査人が，監査の目的に合致した有効手続を行う能力をもっていること
• ウ.情報システムから入手した監査証拠の十分性と監査報告書の完成度が保たれていること
• エ.情報システム部門の積極的な協力が得られること

正解

ア. コントロールの有効性を監査できるように，情報システムが設計・運用されていること

解説

情報システムの可監査性(オーディタビリティ)の意味を問う問題である。可監査性とは、情報システムに組み込まれたコントロール(統制)が有効に機能しているかを監査人が確かめられるように、システム自体が設計・運用されていることをいう。例えば操作ログや処理の記録が残っていれば、後から検証(監査)が可能になる。したがってアが正解となる。可監査性は監査人の能力や協力姿勢ではなく、被監査側であるシステムの性質である点に注意する。

選択肢ごとの解説

• ア.正しい。コントロールの有効性を監査できるように情報システムが設計・運用されていることが可監査性である。
• イ.監査人が有効な監査手続を行う能力をもつことは監査人の専門能力に関する事柄であり、システム側の性質である可監査性ではない。
• ウ.監査証拠の十分性や監査報告書の完成度は監査の実施・成果物の質に関する事柄であり、システムの可監査性そのものではない。
• エ.情報システム部門の協力が得られることは監査を円滑に進める条件ではあるが、システムが監査可能に作られているという可監査性とは異なる。