問題本文
システム監査の説明として,適切なものはどれか。
選択肢
- ア.ISO 9001品質マネジメントシステム規格に基づき実施する。
- イ.ISO 14001環境マネジメントシステム規格への適合性を確認する。
- ウ.監査ツールとしてITを利用する監査の総称である。
- エ.情報システムのリスクに対するコントロールの整備状況,運用状況を検証又は評価する。
正解
エ. 情報システムのリスクに対するコントロールの整備状況,運用状況を検証又は評価する。
解説
システム監査は,情報システムに関わるリスクに対するコントロール(統制)の整備状況・運用状況を,独立した立場で検証または評価し,結果を依頼者に報告する活動である. ISO 9001(品質マネジメント)やISO 14001(環境マネジメント)の認証監査・適合性確認とは別の枠組みとなる. 「監査ツールとしてITを利用する監査」(CAAT)は単なる手段の話で,システム監査の定義そのものではない. システム監査基準では「情報システムにかかわるリスクのコントロール」が中心キーワードとなる. システム監査の目的と範囲を正確に押さえることが本問のポイント.
選択肢ごとの解説
- ア.誤り. ISO 9001(JIS Q 9001)品質マネジメントシステム規格に基づくのは品質マネジメントシステム監査(QMS監査)であり,情報システムのリスクに対するコントロール整備・運用評価を中心とするシステム監査とは目的が異なる. 関連はあるが同一視できず,監査の対象範囲を取り違えた誤答である.
- イ.誤り. ISO 14001(JIS Q 14001)環境マネジメントシステム規格への適合性確認は,環境マネジメントシステム監査(EMS監査)の領域. 情報システムのリスクコントロールを評価するシステム監査とは異なるテーマであり,認証監査と一般的なシステム監査を区別する必要がある.
- ウ.誤り. 「監査ツールとしてITを利用する監査の総称」はCAAT(Computer Assisted Audit Techniques,コンピュータ支援監査技法)の説明に近く,これは監査手法・ツールの活用方法を指すもの. システム監査そのものの定義ではないため,本問の正解とはならない. 手段と目的を取り違えない.
- エ.正解. システム監査は,情報システムに関わるリスクに対するコントロール(統制)の整備状況・運用状況を,独立した立場で検証または評価する活動である. 情報資産の信頼性・安全性・効率性等を担保するための統制が有効に機能しているかを確認し,改善提言を行うのが主な役割となる.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問45