情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ 問22: システム監査基準（令和5年）におけるフォローアップの説明として，適切なものはどれか。

問題本文

システム監査基準（令和5年）におけるフォローアップの説明として，適切なものはどれか。

選択肢

• ア.監査対象先が，監査報告書の指摘事項及び改善提案を基に改善計画の策定を行うこと
• イ.監査部門の責任者が，監査報告書を基に監査の実施状況と指摘事項の妥当性を確認すること
• ウ.システム監査人が，監査報告書に記載した改善提案の実施状況に関する情報を収集し，改善状況をモニタリングすること
• エ.システム監査人が，時間の関係で調査が終了しなかった監査項目を追跡調査して報告すること

正解

ウ. システム監査人が，監査報告書に記載した改善提案の実施状況に関する情報を収集し，改善状況をモニタリングすること

解説

フォローアップとは、システム監査人が監査報告書で示した改善提案について、その後の実施状況に関する情報を収集し、改善が適切に進んでいるかをモニタリングする活動である。ウが正しい。指摘の出しっぱなしを防ぎ、監査の実効性を確保する重要な段階。改善計画の策定は監査対象先の役割であり、監査人が行うフォローアップとは区別される。是正の確実な完了を促す点に意義がある。

選択肢ごとの解説

• ア.指摘や提案を基に改善計画を作るのは監査対象先側の作業で、監査人によるフォローアップではない。
• イ.監査の実施状況や指摘の妥当性を確認するのは監査の品質管理(査閲)で、フォローアップとは異なる。
• ウ.改善提案の実施状況を収集し改善をモニタリングする、フォローアップの説明として正しい。
• エ.未了の監査項目を追跡調査するのは監査の継続作業で、改善状況を追うフォローアップとは別物である。