システム監査とは？ITパスポート試験 2013年 (平成25年 春期) 問51を解説

問題文

この問題の出題ポイント

• システム監査の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
• マネジメント系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
• 関連タグ: システム監査、監査実施、第三者評価。

選択肢

1. アISO 9001に基づく品質マネジメントシステムを,品質管理責任者が構築し運営する。
2. イ開発担当者が自ら開発したシステムの内容をテストする。
3. ウ情報システムのリスクに対するコントロールが適切に整備・運用されているかを,監査対象から独立した第三者が評価する。正解
4. エ専用のソフトウェアを使って,システム管理者がシステムのセキュリティホールを自ら検証する。

解説

なぜ他の選択肢が違うのか

• ア

  ISO 9001に基づく品質マネジメントシステムを品質管理責任者が構築・運営するのは品質マネジメント活動そのもの.内部の責任者による構築・運営であり,監査対象から独立した立場で検証する活動ではないためシステム監査の実施内容としては誤り.監査と品質管理は別概念のため不適切.

• イ

  開発担当者が自ら開発したシステムの内容をテストするのは自己テスト(自己検証)で,監査の独立性原則に明確に反する.監査対象とテスト主体が同一人物では客観性・公正性が確保されないため,システム監査の実施内容として明確に誤り.監査は独立第三者による検証が前提.

• ウ（正解）

  正解.情報システムのリスクに対するコントロール(統制)が適切に整備・運用されているかを,監査対象から独立した第三者が客観的に評価するのはシステム監査の本質的活動.独立性・客観性・専門性を備えた監査人がIT統制の整備・運用を検証し依頼者に報告する仕組みで,設問の趣旨と完全合致.

• エ

  専用ソフトウェアを使ってシステム管理者がシステムのセキュリティホールを自ら検証するのは,対象部門であるシステム管理者による自己検証.脆弱性診断としては有用だが監査対象から独立した第三者による評価ではないため,システム監査の実施内容としては誤り.独立性原則を欠く.

解き方の整理

システム監査の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

前後の問題

2013年 (平成25年 春期) の関連する問題

2013年 (平成25年 春期)の問題一覧 ITパスポート試験の解説一覧