問題本文
システム監査の実施内容に関する記述のうち,適切なものはどれか。
選択肢
- ア.ISO 9001に基づく品質マネジメントシステムを,品質管理責任者が構築し運営する。
- イ.開発担当者が自ら開発したシステムの内容をテストする。
- ウ.情報システムのリスクに対するコントロールが適切に整備・運用されているかを,監査対象から独立した第三者が評価する。
- エ.専用のソフトウェアを使って,システム管理者がシステムのセキュリティホールを自ら検証する。
正解
ウ. 情報システムのリスクに対するコントロールが適切に整備・運用されているかを,監査対象から独立した第三者が評価する。
解説
システム監査は,情報システムが安全・有効・効率的に機能しているかを,監査対象から独立した第三者(システム監査人)が客観的に評価・検証して依頼者に報告する活動.独立性確保のため監査人は監査対象部門と利害関係を持たない立場(社長直轄の品質保証部門など)に所属する.アはISO 9001に基づく品質マネジメントシステムの構築・運営で品質管理活動そのもの(監査ではない),イは開発担当者の自己テストで監査の独立性原則に反する,エはシステム管理者自身による検証で対象部門の活動.以上から監査対象から独立した第三者がリスクへのコントロールを評価するというウがシステム監査の本質を述べた正解.
選択肢ごとの解説
- ア.ISO 9001に基づく品質マネジメントシステムを品質管理責任者が構築・運営するのは品質マネジメント活動そのもの.内部の責任者による構築・運営であり,監査対象から独立した立場で検証する活動ではないためシステム監査の実施内容としては誤り.監査と品質管理は別概念のため不適切.
- イ.開発担当者が自ら開発したシステムの内容をテストするのは自己テスト(自己検証)で,監査の独立性原則に明確に反する.監査対象とテスト主体が同一人物では客観性・公正性が確保されないため,システム監査の実施内容として明確に誤り.監査は独立第三者による検証が前提.
- ウ.正解.情報システムのリスクに対するコントロール(統制)が適切に整備・運用されているかを,監査対象から独立した第三者が客観的に評価するのはシステム監査の本質的活動.独立性・客観性・専門性を備えた監査人がIT統制の整備・運用を検証し依頼者に報告する仕組みで,設問の趣旨と完全合致.
- エ.専用ソフトウェアを使ってシステム管理者がシステムのセキュリティホールを自ら検証するのは,対象部門であるシステム管理者による自己検証.脆弱性診断としては有用だが監査対象から独立した第三者による評価ではないため,システム監査の実施内容としては誤り.独立性原則を欠く.
ITパスポート 2013年 (平成25年 春期) の過去問一覧へ戻る・問51