問題本文
A社の内部監査人が同社の事業継続計画(BCP)についてシステム監査を行った。システム監査の指摘事項として,コンピュータ電源のバックアップ対策において,システム運用部門が管理する無停電電源装置のバッテリーに一部劣化が生じていることが挙げられた。この指摘事項に対して改善を行う責任者は誰か。
選択肢
- ア.システム運用部門長
- イ.システム開発の責任者
- ウ.内部監査人
- エ.無停電電源装置を購入した購買部門長
解説
システム監査で指摘事項に対する改善実施の責任は,その指摘対象を所管する管理職にあるのが原則である. 本問では「システム運用部門が管理する無停電電源装置(UPS)のバッテリー一部劣化」が指摘事項であるため,改善責任者はシステム運用部門長となる. 内部監査人は独立した立場で監査・指摘を行うが,改善活動の実行責任者ではない. システム開発の責任者や購買部門長は本件の管理主体ではないため,改善を主導する立場ではない. 「監査=検出と報告,改善実施=被監査側の管理者」という役割分担を押さえることが本問の要点となる.
選択肢ごとの解説
- ア.正解. 無停電電源装置(UPS)のバッテリーを管理するのはシステム運用部門であり,その劣化に対する改善実施の責任者はシステム運用部門長となる. 監査の指摘事項に対しては,対象資産・業務を所管する管理職が改善計画の策定・実行を担うのが原則であり,これは内部統制上の責任の所在として明確である.
- イ.誤り. システム開発の責任者は,新規システムの設計・実装を統括する立場であり,既存システムの運用フェーズで管理されているUPSの保守責任は負わない. UPSの維持管理は運用部門の所掌であって開発部門の所掌ではないため,本指摘事項の改善責任者として不適切となる. 部門の責務範囲を整理する.
- ウ.誤り. 内部監査人はシステム監査を実施し指摘事項を報告する立場であり,独立性確保の観点から自ら改善を実行する立場ではない. 監査と是正は分離するのが内部統制の原則で,内部監査人は指摘までを担い,被監査側の管理者が改善を実施するという役割分担を理解することが重要である.
- エ.誤り. 無停電電源装置を購入した購買部門長は,調達手続きを管轄する立場であり,稼働後の保守・運用を所管する立場ではない. 設備の劣化への改善は購買ではなく運用の領域であり,本指摘事項の責任者として不適切である. 調達と運用は責任範囲が明確に分かれている.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問40