問題本文
システム開発部門のシステム監査における実施事項はどれか。
選択肢
- ア.開発委託先と締結する委託契約書の作成
- イ.外部設計書のレビューで発見された不具合の修正
- ウ.システム開発手順の不備の指摘
- エ.プログラマに対するプログラミング教育
解説
システム監査は,情報システムに係るリスクやコントロールが適切に機能しているかを,被監査部門から独立した第三者的立場で点検・評価し,問題点を指摘・助言する活動である. システム開発部門の監査では,開発・運用に関わる手順や統制状況に不備がないかを検証し,結果を依頼者に報告する. 委託契約書の作成や設計書レビューでの不具合修正,プログラマへの教育などは,被監査部門である開発部門自身が業務として実施する事項であり,監査人が行う実施事項ではない. 監査人は独立性を保ち検証・報告を行う立場である点が重要となる.
選択肢ごとの解説
- ア.誤り. 開発委託先と締結する委託契約書の作成は,開発を発注する業務担当部門や調達部門が遂行する業務であり,被監査側の業務活動に該当する. システム監査人は独立した立場で評価・助言を行う役割であり,自ら契約書を作成する業務は監査の実施事項に当たらないため不適切である.
- イ.誤り. 外部設計書のレビューで発見された不具合の修正は,開発プロセスの中で開発部門が実施するべき作業であり,被監査側の改善・是正活動に該当する. システム監査人は不備を指摘し報告する立場にあり,自ら設計書を修正することは監査の実施事項とはならない.
- ウ.正しい. システム開発手順の不備を指摘することは,監査人が独立した立場で開発部門のコントロール状況を検証し,不適切な点を依頼者に報告するというシステム監査本来の実施事項に該当する. 監査人は改善案の助言までは行うが実施は被監査側に委ねる点に注意が必要であり,本選択肢が適切である.
- エ.誤り. プログラマに対するプログラミング教育は,開発部門や人材育成部門が行う教育研修活動であり,被監査側で自ら品質や生産性向上のために実施する事項である. システム監査人は独立した立場での検証・報告を担うため,教育の実施そのものは監査の実施事項とは言えない.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問37