令和3年度38マネジメント系

ITパスポート 令和3年度 問38:システム監査に関する問題

システム監査の手順に関して,次の記述中のa,bに入れる字句の適切な組合せはどれか。 システム監査は,[a]に基づき[b]の手順によって実施しなければならない。

  • aa:監査計画 b:結合テスト,システムテスト,運用テスト
  • ba:監査計画 b:予備調査,本調査,評価・結論正答
  • ca:法令 b:結合テスト,システムテスト,運用テスト
  • da:法令 b:予備調査,本調査,評価・結論
正答:Ba:監査計画 b:予備調査,本調査,評価・結論

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b(a:監査計画/b:予備調査,本調査,評価・結論) です。

システム監査は「会社のシステム、ちゃんとしてる?」を第三者がチェックする活動。

やみくもに調べず、まず"計画"を立ててから、決まった順番で進めます。

順番は:①予備調査(下調べ)→②本調査(じっくり証拠集め)→③評価・結論(OKか問題ありか判断)。

👉 覚え方:「計画してから、下調べ→本調べ→結論」。

ひっかけ:「結合テスト・システムテスト…」はシステムを"作るとき"のテストの話で、監査の手順ではありません。「法令」も土台ではあるけど、直接の"よりどころ"は監査計画です。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。システム監査は「監査計画に基づき、予備調査 → 本調査 → 評価・結論」の手順で実施する。まず監査計画を策定し、予備調査で対象の概要・実態を把握、本調査で監査証拠を収集・分析し、最後に評価・結論として監査意見をまとめ報告書を作成する。

各選択肢の解説

  • a:手順が「結合テスト・システムテスト・運用テスト」になっており、これはシステム開発工程のテストであって監査手順ではない。
  • c:aの基づくものを「法令」とした誤り(手順も誤り)。
  • d:基づくものを「法令」とした点が誤り。手順(予備調査・本調査・評価結論)は正しいが、システム監査が直接拠り所とするのは監査計画。

覚え方・ひっかけ注意

システム監査の3ステップ=「予備調査→本調査→評価・結論」をセットで暗記。aの"〜テスト"は開発工程のひっかけ。拠り所は「監査計画」(システム監査基準に沿って計画を立てて実施する)と押さえる。

上級誤答論破・背景理論まで深掘り

システム監査の法的・規範的根拠

システム監査は経済産業省が策定した「システム監査基準」(2023年改訂版で大幅見直し)と「システム管理基準」を主要な拠り所とする。システム監査基準は「システム監査の目的・対象・手順・監査人の要件」を、システム管理基準は「監査対象となるシステム管理のあるべき姿(チェックリスト的な管理目標)」を定める。さらに金融商品取引法に基づくJ-SOX(財務報告に係る内部統制の評価・監査)では、IT全般統制・IT業務処理統制の評価が義務付けられており、上場企業の内部監査部門はシステム監査と一体的に実施する。国際的にはISACA(情報システムコントロール協会)のCOBITフレームワークやISACA認定のCISA(公認情報システム監査人)資格が標準的。

実施手順の詳細

監査計画策定:リスクアプローチ(監査リスクの高い領域を優先)に基づき監査範囲・重点領域・スケジュール・担当者を決定。監査計画の承認後に監査着手。②予備調査:既存資料(システム仕様書・業務マニュアル・前回監査報告書等)の収集・ヒアリングで対象システムの概要・統制環境・リスクの仮説を形成。③本調査:チェックリスト・インタビュー・現地視察・サンプリング・ログ分析・ペネトレーションテスト等で監査証拠を収集。内部統制の整備状況・運用状況をそれぞれ評価。④評価・結論:監査証拠に基づき監査意見(適切・条件付き適切・不適切)を形成し、監査報告書を作成・提出。⑤フォローアップ:改善勧告の実施状況を追跡確認。監査過程の記録は監査調書として保管(証拠力・再現性の確保)。

J-SOXとのIT統制評価

上場企業のIT全般統制(ITシステム全体の管理基盤:アクセス制御・変更管理・開発・運用の適切性)とIT業務処理統制(業務プロセス内の自動化された内部統制:入力検証・計算処理の正確性等)はシステム監査の重点領域。外部監査人はIT全般統制の有効性を確認した上でIT業務処理統制への依拠を判断する構造になっており、システム監査と財務諸表監査が連携している。

上位資格への接続

基本情報技術者ではシステム監査の3ステップ・監査人の独立性(監査対象から独立した立場)・監査証拠・監査調書・内部統制(COSO)との関係が問われる。応用情報以上ではリスクアプローチ・サンプリング手法・ITガバナンス(COBIT)・ISMS(ISO/IEC 27001)監査との比較・クラウド環境でのシステム監査の特殊性(監査権限の確保・証跡ログのアクセス)まで踏み込む。

選択肢の発展補足

選択肢aのテスト工程名(結合テスト・システムテスト・運用テスト)は開発工程のVモデルに対応するテスト段階で、監査とは全く異なる活動。ただし実務では「テスト工程の妥当性(テスト計画・実施・結果の記録が適切か)」がシステム監査の対象になる点に注意——テスト自体を監査するという関係がある。選択肢dの「法令を拠り所として実施」という誤りのポイントは、確かに監査は法令や規程に準拠して実施するが、個々の監査の直接的な拠り所は「その監査のために策定された監査計画書」であるという点。法令は背後にある根拠であり、監査の実施手順・範囲・判断基準を直接定めるのは監査計画という階層関係を理解することが重要。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和3年度38/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

マネジメント系の他の過去問

35
system_audit
36
project_management
37
project_management
38
development_management
39
project_management

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。