情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問25: システム監査報告書に記載された改善勧告に対して，被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち，適切なものはどれか。

問題本文

システム監査報告書に記載された改善勧告に対して，被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち，適切なものはどれか。

選択肢

• ア.1年以内に実現できる改善を実施する。
• イ.経営資源の状況を踏まえて改善を実施する。
• ウ.情報システムの機能面の改善に絞って実施する。
• エ.被監査部門の予算の範囲内で改善を実施する。

正解

イ. 経営資源の状況を踏まえて改善を実施する。

解説

ITガバナンスの観点で改善計画を評価する際は、人員・予算・時間といった経営資源の状況を踏まえ、優先度や実現可能性を勘案して全体最適となる改善を判断するのが適切である。イが正解。実務では監査指摘への対応もリスクと費用対効果を考慮し、経営判断として取捨選択することが求められる。

選択肢ごとの解説

• ア.期間だけを基準に一律1年以内とするのは画一的で、経営資源や重要度を踏まえる観点を欠き誤り。
• イ.経営資源の状況を踏まえて改善を判断するという、ITガバナンスにふさわしい方針で正しい。
• ウ.機能面に限定するのは視野が狭く、統制やリスク全体を見るガバナンスの観点に合わず誤り。
• エ.被監査部門の予算だけに縛るのは局所的で、全社的な経営判断を行うべき観点に反するため誤り。