ITパスポート 令和3年度 問55：システム監査に関する問題

答えは a「社長直轄の品質保証部門」 です。

システム監査とは、ITがちゃんと使われているかを“第三者の立場でチェックする”仕事。だから調べる人は、調べられる相手の身内であってはいけません。公平に見るために、関係ない独立した部署の人が担当します。

スポーツでたとえると、試合の審判は、どちらかのチームの選手であってはダメですよね。中立な人が必要。

👉 覚え方：監査する人＝「中立・独立した立場」。

ほかは身内なので×：b 機器を調達する運用部門／c 費用対効果を評価する企画部門／d 開発部門。これらは“調べられる側”だから審判はできません。

なぜこれが正解か

正解は a。システム監査人には、監査対象から独立した立場（独立性・客観性）が求められる。本問は開発・設備投資の費用対効果を監査するため、その費用対効果の評価や開発・調達に関与する部門は被監査側となり監査人になれない。社長直轄の品質保証部門は、これら業務部門から独立しており適切。

各選択肢の解説

• b 機器の調達を行う運用部門：投資（調達）に直接関与＝被監査側。独立性なし。
• c 費用対効果の評価を行う企画部門：まさに監査対象業務を担う当事者。独立性なし。
• d メールシステムの開発部門：開発投資の当事者＝被監査側。独立性なし。

覚え方・ひっかけ注意

システム監査の鉄則は「独立性」。監査対象の業務に関わっている部門は監査できない、と覚える。b・c・dはすべて監査される側の当事者で、自分で自分を監査する＝自己監査になり客観性が失われる。社長直轄など、業務ラインから外れた組織が監査主体になりやすい。

理論的背景

システム監査の基本規範は経済産業省が策定した 「システム監査基準」（2018年改訂版） と 「システム管理基準」 である。システム監査基準の一般基準では監査人に次の2種類の独立性が要求される。

• 外観上の独立性: 被監査部門から組織的・身分的に独立していること（利害関係を持たない）。本問では「メールサービスに関わる開発・設備投資の当事者部門から独立しているか」が判断基準になる。
• 精神上の独立性: 公正不偏な態度と自立した判断能力を保持すること。

この原則に照らすと、b（調達を行う運用部門）・c（費用対効果を評価する企画部門）・d（開発部門）はいずれも「被監査対象業務の当事者」であり、自己の業務を自ら監査する「自己監査」となって外観上の独立性が失われる。社長直轄の品質保証部門は業務執行ラインから組織的に分離されているため、独立性要件を満たす適切な監査主体となる。

実務での使われ方

監査の実施手順は標準的に「予備調査 → 本調査 → 評価・結論 → 報告（監査報告書・改善勧告）→ フォローアップ」の流れを取る。監査証拠は監査調書に記録し、結論の裏付けとして保管する。証拠入手技術には文書査閲・ヒアリング・観察・確認・再実施・分析的手続きがある。近年はCAAT（Computer Assisted Audit Technique: コンピュータ支援監査技法） が普及し、大量データを統計的にサンプリング・分析してリスクの高い取引を特定する手法が標準化されている。組織内に独立監査部門を設置できない中小企業では、外部の監査法人・コンサルタントへの委託によって独立性を確保する。

監査人は「改善を勧告・助言する」立場であり、改善策の実施（業務執行）には踏み込まない。これを越えると独立性が損なわれるため、「監査人が改善を実行した」場合は次回の独立性に問題が生じる点が実務上の注意点だ。

試験での位置づけ

ITパスポートのシステム監査分野では「独立性」が最頻出のキーワードで、「被監査部門は監査人になれない」「監査人は助言はするが業務執行はしない」という2原則が繰り返し問われる。本問のように具体的な業務シナリオから監査主体の適否を判定させる形式が主流。本バッチの ITガバナンス問（9a2a6c5d: 経営者の役割）とも密接に関連し、「ガバナンス = 経営者の統治」「監査 = 独立した第三者の確認」「マネジメント = CIO の実行」という三者の役割分離を横断的に理解することが得点の鍵になる。基本情報技術者・システム監査技術者では監査手続・監査証跡の概念、リスクアプローチ（リスクの高い領域に監査資源を重点配分）、CAAT の具体的手法まで踏み込んで問われる。

選択肢の発展補足

選択肢 b「調達を行う運用部門」 は設備投資の実行部門であり、まさに今回の監査対象業務の当事者だ。被調達側の部門が自らの調達の費用対効果を監査することは、利益相反そのものであり独立性が根本から失われる。

選択肢 c「費用対効果の評価を行う企画部門」 は本問の監査主題（開発・設備投資の費用対効果の効率性）を直接担当する部門であり、自己の業務を自ら監査するという最も典型的な独立性違反となる。

選択肢 d「メールシステムの開発部門」 は開発投資の執行部門。開発コストの妥当性を自部門で評価することは内部牽制の意味をなさない。内部統制の基本原則「職務分掌（職務の分離）」──承認・実行・記録・保管の四機能を異なる担当者・部門に分散させる──の観点からも不適切。J-SOX（内部統制報告制度）においても「モニタリング（監視）」機能は業務執行部門から独立した立場が担うことが原則とされている。