情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ 問22: 情報システムの可監査性を説明したものはどれか。

問題本文

情報システムの可監査性を説明したものはどれか。

選択肢

• ア.コントロールの有効性を監査できるように，情報システムが設計・運用されていること
• イ.システム監査人が，監査の目的に合致した有効な手続を行える能力をもっていること
• ウ.情報システムから入手した監査証拠の十分性と監査報告書の完成度が保たれていること
• エ.情報システム部門の積極的な協力が得られること

正解

ア. コントロールの有効性を監査できるように，情報システムが設計・運用されていること

解説

可監査性とは、情報システムが備えるべき性質で、コントロール(統制)の有効性を後から監査・検証できるように設計・運用されていることを指す。ログ取得や証跡の保全などがその例で、アが正解。可監査性はシステム側の性質であり、監査人の能力(イ)や監査報告の完成度(ウ)、部門の協力姿勢(エ)といった監査実施側・運用側の事情とは区別される。

選択肢ごとの解説

• ア.統制の有効性を監査できるよう設計・運用されている性質が可監査性で、正しい。
• イ.監査人の手続遂行能力は監査人側の資質で、システムの可監査性とは異なり誤り。
• ウ.監査証拠の十分性や報告書の完成度は監査の品質の話で、可監査性の定義ではなく誤り。
• エ.情報システム部門の協力は監査の進めやすさに関わるが、可監査性そのものではなく誤り。