基本情報 平成28年度 秋期 問69：ストラテジ系に関する問題

答えは c「情報システムにまつわるリスクのコントロール整備・運用を評価し、ITガバナンス実現に寄与する」 です。

システム監査は、会社の情報システムが「ちゃんと安全か」「ルール通りに動いているか」を第三者の目でチェックして、問題があれば直していく活動です。健康診断のIT版みたいなものですね。

👉 覚え方：監査＝第三者がチェックしてITガバナンスに貢献。

ほかの選択肢：a 強み・弱みを整理＝SWOT分析（経営戦略の話）／b ネットワーク脆弱性テスト＝セキュリティ運用部門の仕事／d 開発生産性の向上＝CMMIなど開発組織の能力評価。

なぜこれが正解か

正解は c。経済産業省「システム監査基準」では、システム監査の目的を「組織体の情報システムに関わるリスクへのコントロール（統制）の整備・運用状況を独立かつ専門的立場で評価し、改善を促すことでITガバナンスの実現に寄与すること」と定義している。第三者性・客観性が本質。

各選択肢の解説

• a：自社の機会・脅威を整理して新戦略を立てる＝SWOT分析・経営戦略策定。
• b：システム運用部門による脆弱性テスト＝当事者の運用業務であり、独立第三者の監査ではない。
• d：開発組織の生産性向上＝CMMI等のプロセス改善アセスメント。

覚え方・ひっかけ注意

システム監査は「評価して改善につなげる」が要。実施主体は独立性のある監査人（運用部門や開発部門の自己テストではない）。bは「監査=テスト」と勘違いさせる典型のひっかけ。

制度的背景

「システム監査基準」は経済産業省が1985年初版、最新は2018年改訂。同時に「システム管理基準」（被監査側が遵守すべき統制項目集）が対で整備され、両者をペアで運用する。監査基準ではシステム監査人の独立性・客観性・専門能力と監査プロセス（計画→実施→報告→フォローアップ）を規定する。

ITガバナンスとの関係

ITガバナンスはCOBIT等のフレームワークで体系化され、「経営者が情報システムを統制する仕組み」を指す。システム監査はこのうち保証活動（assurance）を担い、内部統制報告制度（J-SOX、金融商品取引法）におけるIT全般統制（ITGC）評価とも連動する。

実務での使われ方

上場企業ではJ-SOX対応の一環でIT統制監査が必須。情報セキュリティ監査基準やISMS（ISO/IEC 27001）認証審査と組み合わせ、外部監査法人・内部監査部門・コンサルが実施する。監査人はCISA（公認情報システム監査人）資格者が中心。

試験での位置づけ

FE「ストラテジ系」のシステム監査分野は毎期1〜2問出題され頻出。応用情報・高度試験（システム監査技術者）まで一貫して問われる。「監査の目的＝ITガバナンス寄与」「監査人の独立性」「監査証跡の保全」が3大頻出テーマ。

選択肢の発展補足

bの脆弱性テスト（ペネトレーションテスト）は運用部門が自ら行うのは監査ではなく自己点検。第三者監査人が監査手続として実施する場合のみ「監査の一部」となる。dのCMMI／SPI（Software Process Improvement）は監査ではなくプロセスアセスメント（ISO/IEC 33000系）。