平成22年度春期問58マネジメント系

基本情報平成22年度春期問58：マネジメント系に関する問題

システム監査におけるヒアリングを実施する際に, システム監査人の対処として, 適切なものはどれか。

aヒアリングの結果, 調査対象の現状に問題があると判断した場合は, その調査対象のあるべき姿について被監査部門の専門的な相談に応じる。
bヒアリングの結果, 問題と思われる事項を発見した場合は, その召付けとなる記録の入手や現場確認を行う。正答
cヒアリングを行っている際に, 被監査部門との間で見解の相違が生じた場合は, 相手が納得するまで十分に議論を行う。
d被監査部門のヒアリング対象者が複数の場合は, 職制上の上位者から集中的に話を聞く。

正答：Bヒアリングの結果, 問題と思われる事項を発見した場合は, その召付けとなる記録の入手や現場確認を行う。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b です。

システム監査人は「第三者として客観的にチェックする立場」。聞き取り（ヒアリング）で「これは問題かも？」と思ったら、その裏付けとなる記録を集めたり、現場確認したりして、証拠で問題を立証します。

👉 覚え方：「監査人=裁判の証拠を集める人」。話だけでなく証拠が命。

ほかの選択肢：a「あるべき姿の相談に応じる」=コンサル化してしまい中立性を失う／c「相手が納得するまで議論」=説得が仕事ではない／d「上位者から集中的に聞く」=部下に圧力かかると本音が出ない。どれも監査の独立性・客観性に反する。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。システム監査人はヒアリングで指摘事項を発見したら、その裏付けとなる証拠（記録、ログ、文書、運用実態の現場確認）を入手して立証するのが原則。監査意見は客観的事実に基づき形成される必要があり、聞き取りのみでは不十分。

各選択肢の解説

a「被監査部門のあるべき姿の専門相談に応じる」：監査人がコンサルティング化すると独立性が損なわれ、自己監査の問題が生じる（監査基準違反）。
c「相手が納得するまで議論」：監査人の役割は説得ではなく事実の把握。
d「上位者から集中的に聞く」：階層的偏りが生まれ、現場の実態が把握できない。

覚え方・ひっかけ注意

システム監査人の3要件：独立性（被監査部門と利害関係なし）／客観性（事実に基づく判断）／専門性（IT知識と監査手法）。「監査人は問題を見つける人、解決策を示す人ではない」が基本姿勢。証拠主義（Evidence-Based Auditing）が監査の核心。

上級誤答論破・背景理論まで深掘り

理論的背景

システム監査は経済産業省「システム監査基準」（2018年改訂版）と「システム管理基準」を準拠規範とする。監査プロセス：(1) 予備調査（範囲・体制確認）、(2) 本調査（証拠収集、ヒアリング・閲覧・観察・突合）、(3) 評価結論、(4) 報告書作成、(5) フォローアップ。監査証拠は (a) 物理的証拠（現場観察）、(b) 文書証拠（規程、ログ、契約書）、(c) 証言証拠（ヒアリング）、(d) 分析的証拠（数値分析、トレンド）、(e) デジタル証拠（システムログ）に分類され、組み合わせて十分性と適格性を確保する。監査手続としてサンプリング（統計的/非統計的）、突合（マッチング）、再実行（Re-performance）が標準。

実務での使われ方

国際監査基準：ISACA（Information Systems Audit and Control Association）のCOBIT（Control Objectives for Information and related Technology）が世界標準のITガバナンスフレームワーク。CISA（Certified Information Systems Auditor）資格が監査人のグローバル標準。SOC 2（Service Organization Control 2、Trust Services Criteria：Security/Availability/Processing Integrity/Confidentiality/Privacy）はクラウドサービスの監査報告書としてSaaS企業で必須化。ISMS監査（ISO/IEC 27001）、プライバシマーク、Pマークも国内主要監査。継続的監査（Continuous Auditing）はSIEM・SOAR・データ分析で常時実施する近年トレンド。

試験での位置づけ

FE科目Aでシステム監査の基本問題が出題。システム監査技術者試験は独立した上位資格で、監査計画・手続・報告・フォローアップが論述試験対象。応用情報・ITサービスマネージャ・ITストラテジストではITガバナンス、内部統制（J-SOX、COSO Framework、3Lines Model）、リスク評価、コンプライアンス監査が問われる。

選択肢の発展補足

内部統制関連：J-SOX（日本版企業改革法、2008〜、内部統制報告書制度）／COSO Framework（米国Treadway委員会、3要素：内部統制目的×内部統制構成要素×組織単位）／COSO ERM（Enterprise Risk Management）／COBIT 2019（5原則、7イネーブラー）／ITIL 4（サービス管理の世界標準）／3 Lines Model（IIA、第1線：現場管理、第2線：リスク管理、第3線：内部監査）。AI監査は新領域で、AI公平性・説明可能性・データドリフト・モデル劣化の監査基準が策定中（NIST AI RMF、ISO/IEC 42001 AIマネジメントシステム）。サイバーセキュリティ監査ではNIST CSF（Cybersecurity Framework）、CIS Controls、CMMC（米国政府調達サイバーセキュリティ認証）が業界標準。DX監査は経済産業省「デジタルガバナンス・コード」に基づきDX推進状況を監査。サステナビリティ監査（ESG情報、TCFD/ISSB）は今後の主要監査領域として急成長中。

出典・引用について

出典：IPA（情報処理推進機構）公式基本情報技術者試験平成22年度春期問58／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。