情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅰ 問22: システム監査人が行う改善提案のフォローアップとして，適切なものはどれか。

問題本文

システム監査人が行う改善提案のフォローアップとして，適切なものはどれか。

選択肢

• ア.改善提案に対する改善の実施を監査対象部門の長に指示する。
• イ.改善提案に対する監査対象部門の改善実施プロジェクトの管理を行う。
• ウ.改善提案に対する監査対象部門の改善状況をモニタリングする。
• エ.改善提案の内容を監査対象部門に示した上で改善実施計画を策定する。

正解

ウ. 改善提案に対する監査対象部門の改善状況をモニタリングする。

解説

システム監査人は独立・客観の立場を保つため、改善の実施そのものには関与せず、指摘した改善提案が適切に実行されているかをフォローアップ(モニタリング)する。よってウが正解。改善の指示や実施計画策定、プロジェクト管理を監査人が行うと、自らの活動を監査する自己監査となり独立性を損なう。監査人は助言・確認に徹するという原則の理解が要点。

選択肢ごとの解説

• ア.改善実施を指示するのは被監査部門の管理者の役割で、監査人が行うと独立性を損ない誤り。
• イ.改善実施プロジェクトを管理すると監査人が当事者になり、独立性を欠くため不適切。
• ウ.改善状況をモニタリングして実施を確認するのがフォローアップであり、監査人の役割として正しい。
• エ.改善実施計画の策定は被監査部門の責任であり、監査人が行うと独立性を損なうため誤り。