問題本文
企業におけるIT統制に関する次の記述中のaに入れる最も適切な字句はどれか。 企業は,経営戦略に沿って組織体の[a]に向けて,効果的なIT戦略を立案し,その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルを確立している。この情報システムにまつわるリスクを低減するために,IT統制を整備・運用している。
選択肢
- ア.ITガバナンスの実現
- イ.システム監査の実施
- ウ.情報リテラシの確立
- エ.ソフトウェア開発標準の制定
解説
IT統制とITガバナンスの関係を問う問題. ITガバナンス(IT governance)とは,IT戦略の策定・実行・評価を組織として統制する仕組みで,経営戦略と整合したIT活用を実現するための統制構造のこと. 経営者が責任主体となり,IT統制(IT control)はその実現手段として情報システムの企画・開発・運用・保守ライフサイクル全般で機能する. 経営戦略→ITガバナンス→IT戦略→IT統制→システムライフサイクルという階層構造で位置づけられる. 設問の空欄aには「ITガバナンスの実現」が入り,経営戦略から具体的IT統制活動への橋渡しとなる概念であることを理解することが正答の鍵.
選択肢ごとの解説
- ア.正解. 経営戦略に沿って組織体のITガバナンスを実現するために,効果的なIT戦略を立案し情報システムのライフサイクル(企画・開発・運用・保守)を確立するという階層構造が正しい. ITガバナンスは経営戦略の実現を目的としたIT領域の統制枠組みであり,設問の文脈に一致する.
- イ.誤り. システム監査の実施はIT統制の有効性を確認する手段の一つで,経営戦略から導かれる最終的な目標ではない. 監査は統制を点検・評価する補助活動の位置づけであり,「IT戦略立案・ライフサイクル確立の目的」として置くと階層関係が崩れる. 監査は目的でなく手段と整理.
- ウ.誤り. 情報リテラシの確立は従業員のIT活用能力向上を目指す活動で,経営戦略と直接結びつくIT統制の最終目的とはならない. 個人レベルの能力獲得が中心で,経営戦略実現の目標としては抽象度・対象範囲が合わないため,設問の空欄aに入れるのは不適切となる選択肢である.
- エ.誤り. ソフトウェア開発標準の制定は開発工程の品質確保のための実務的取り組みで,経営戦略実現の最終目的とはならない. 開発の標準化はITガバナンス実現のための手段の一つに過ぎず,空欄に入る上位概念としては抽象度が低く不適切. 階層構造から外れた選択肢.
ITパスポート 2015年 (平成27年 秋期) の過去問一覧へ戻る・問39