選択肢
- ア.業務の流れや内容に着目して,業務フロー,業務記述書,リスクコントロールマトリクスを作成し,リスクを評価し適切な統制を導入する。
- イ.情報システムの企画,開発,運用,保守などの各局面に沿って,適切なモニタリングや自己点検の仕組みを導入し,情報システムが安定的に運用されるような措置を講じる。
- ウ.情報システムのリスクが適切かつ効果的にコントロールされているかについて,被監査部門から独立した立場で検証し,依頼者に報告する。
- エ.情報システムのリスクが適切にコントロールされるように,方針や目標を定め体制を整える。
正解
ウ. 情報システムのリスクが適切かつ効果的にコントロールされているかについて,被監査部門から独立した立場で検証し,依頼者に報告する。
解説
システム監査人は,被監査部門から独立した立場で,情報システムに係るリスクやコントロールが適切かつ有効に機能しているかを点検・評価し,その結果を依頼者(経営者など)に報告する役割を担う. 監査人は独立性・客観性を維持しなければならず,自らコントロールを設計・運用したり,改善策を実施したりすることはしない. 業務フローやリスクコントロールマトリクスの作成と統制導入,モニタリング・自己点検の仕組み導入,方針や目標を定め体制を整える活動は,いずれも被監査側の業務遂行や統制構築の活動であり,監査人ではなく事業部門・経営層・コンプライアンス部門等の役割である.
選択肢ごとの解説
- ア.誤り. 業務フローや業務記述書,リスクコントロールマトリクスを作成し,リスクを評価して適切な統制を導入する活動は,被監査部門や内部統制担当部署が実施する業務である. システム監査人は独立した立場で検証・報告する役割であり,統制そのものを設計・導入する立場ではないため,本選択肢は監査人の役割とは異なる.
- イ.誤り. 情報システムの企画・開発・運用・保守の各局面でモニタリングや自己点検の仕組みを導入し,安定運用のための措置を講じるのは,事業部門や情報システム部門による内部統制の構築・運用活動である. システム監査人は独立した立場で評価する側にあり,本選択肢は監査人の役割の説明としては適切ではない.
- ウ.正しい. システム監査人は,被監査部門から独立した立場で情報システムのリスクが適切かつ効果的にコントロールされているかを検証し,その結果を依頼者(経営者など)に報告する役割を担う. 検証と報告に役割を限定し,改善策の実施は被監査側に委ねる点が重要であり,本選択肢が監査人の役割として最も適切である.
- エ.誤り. 情報システムのリスクが適切にコントロールされるように,方針や目標を定め体制を整えるのは経営者やCIO,リスク管理部門の役割である. これらはガバナンスや内部統制の構築活動であり,独立した立場で検証・報告するシステム監査人の役割とは異なるため,本選択肢は不適切である.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問39