情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問39: システム監査基準（平成 16 年）における，組織体がシステム監査を実施する目的はどれか。

問題本文

システム監査基準（平成 16 年）における，組織体がシステム監査を実施する目的はどれか。

選択肢

• ア.自社の強み・弱み，自社を取り巻く機会・脅威を整理し，新たな経営戦略・事業分野を設定する。
• イ.システム運用部門によるテストによって，社内ネットワーク環境の脆弱性を知り，ネットワーク環境を整備する。
• ウ.情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し，改善につなげることによって，IT ガバナンスの実現に寄与する。
• エ.ソフトウェア開発の生産性のレベルを客観的に知り，開発組織の能力を向上させるために，より高い生産性レベルを目指して取り組む。

正解

ウ. 情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し，改善につなげることによって，IT ガバナンスの実現に寄与する。

解説

システム監査は、独立かつ専門的な立場の監査人が、情報システムにまつわるリスクに対するコントロール(統制)が適切に整備・運用されているかを評価し、問題点の改善を促すことで組織の IT ガバナンス実現に寄与することを目的とする。この目的を述べた「ウ」が正しい。

選択肢ごとの解説

• ア.強み・弱みや機会・脅威を整理して経営戦略を立てるのは SWOT 分析など経営戦略策定の活動であり、システム監査の目的ではない。
• イ.運用部門自身が脆弱性をテストするのは独立性を欠き、システム監査ではない。監査は独立した立場の監査人が評価する点に意義がある。
• ウ.正しい。情報システムのリスクに対するコントロールの整備・運用状況を評価して改善につなげ、IT ガバナンスの実現に寄与するのがシステム監査の目的である。
• エ.開発の生産性レベルを評価して能力向上を図るのは CMMI などのプロセス成熟度の取組みであり、システム監査の目的とは異なる。