ITパスポート 令和6年度 問42：system_auditに関する問題

答えは b「a, d」 です。

システム監査人は“チェックする人（第三者）”。学校でいうと「テストを採点して、ここを直すといいよと助言する先生」みたいな役割です。

• a 監査の計画を立てる → 監査人の仕事◎
• d 直してと言った後、ちゃんと直ったか様子を見る（モニタリング） → 監査人の仕事◎

👉 覚え方：監査人は「計画して・チェックして・助言して・見守る」。自分で直したり命令はしない。

ほかは違います：b 報告書を社内に公開する（公開先は依頼者で、勝手に社内公開はしない）／c 改善の実施を“指示・命令”する（命令は監査人ではなく経営者・対象部門の仕事）。

なぜこれが正解か

正解は b（a, d）。システム監査人は独立した第三者の立場で評価・助言する役割。

• a 監査手続の種類・時期・範囲などの監査計画を立案：監査人の基本業務。
• d 改善提案に基づく改善の実施状況をモニタリング（フォローアップ）：監査人が行う適切な活動。

各選択肢の解説

• b 監査報告書を作成し社内に公開する：報告書は監査依頼者（経営者等）へ提出するもので、監査人が独断で“社内公開”するのは適切でない。
• c 改善の実施を監査対象部門に指示する：改善を指示・命令する権限は監査人にはない（独立性を保つため）。指示するのは経営者であり、実施するのは対象部門。

覚え方・ひっかけ注意

監査人は 「計画・評価・報告・助言・フォローアップ」はするが、「指示・命令・自ら改善実施」はしない。独立性・客観性を保つため、自分が関与した業務は監査できない。cの「指示する」は権限逸脱、bの「社内公開」は守秘・報告ルートの誤りという典型ひっかけ。

理論的背景

システム監査人（IT Auditor）の役割と権限の範囲は、「経済産業省のシステム監査基準」（2023年改訂）と「システム管理基準」によって明確に規定されている。システム監査の本質は「独立した立場での客観的評価」にあり、このため監査人の「独立性」と「権限の限界」が厳格に定義されている。

正解bの「a（監査計画の立案）とd（改善実施状況のモニタリング）」が適切なシステム監査人の役割である理由を分析する。aの「監査手続の種類・実施時期・適用範囲などの監査計画立案」は、システム監査の実施主体として当然担うべき計画活動であり、監査基準第3章に定める「監査計画」に対応する。dの「改善提案に基づく改善実施状況のモニタリング」は、改善の実施を強制はせず「客観的に確認する」というフォローアップ監査の文脈であり、監査人の独立性を損なわずに実施できる。

bの「監査報告書の社内全公開」は「適切な宛先（経営者・監査委員会等）への報告」は義務であるが「社内全員への公開」という形式的義務は監査基準に存在せず、むしろ機密事項の管理という観点から問題がある場合もある。

cの「改善実施の指示」が最も重要なアウト事例である。システム監査人は「勧告（Recommendation）」を行う権限を持つが、「指示（Direction）」を行う権限は持たない。監査の独立性・客観性を維持するためには、監査対象部門の業務運営・意思決定に介入してはならない（これを「独立性の原則」という）。改善の実施は被監査部門・経営者が自らの責任で行うべき事項であり、監査人が指示することは「監査と管理の混同」に当たる。

実務での使われ方

IT監査の実務は国際的なフレームワークであるCOBIT（Control Objectives for Information and related Technology）やISACA（情報システム監査・統制協会）が定めるCSA（Control Self-Assessment）・IS Audit（情報システム監査）の手法に基づいて実施される。監査手続きとしては①インタビュー、②書類レビュー（ドキュメントレビュー）、③テスト（コントロールの有効性テスト）、④観察（Business Process Observation）が使われる。

フォローアップ監査（正解dの実務的形態）は「前回監査での指摘事項・改善提案の実施状況を確認する」目的で実施される。モニタリングの結果は「改善完了」「改善中（進捗確認要）」「改善未着手（再指摘）」に分類され、経営者へのフォローアップ報告書として提出される。この「指示ではなくモニタリング」という役割の明確化が監査人の独立性保全の実務的表現である。

試験での位置づけ

システム監査人の役割・権限はITパスポートのシステム監査分野の最頻出テーマであり、「監査人は何をすべきか/すべきでないか」という判断問題は毎年出題される。本問の核心は「勧告（できる）vs 指示（できない）」「モニタリング（できる）vs 強制執行（できない）」という境界線の理解にある。

「改善の指示を出す」というcの選択肢が典型的誤答で、「監査して問題を見つけたら直すよう命令するのは当然では？」という直感に反する設問設計が巧妙。「監査人は経営者に対して独立した客観的評価を行う立場であり、経営者の代わりに指示を出す権限はない」という原則を理解することが正解への鍵。

基本情報技術者ではシステム監査基準の全体像（計画→実施→報告→フォローアップ）と「ITガバナンス」「内部統制（COSO）」との関連が問われる。情報処理安全確保支援士・ITガバナンスの上位試験では「COBIT 2019のガバナンス・ドメイン（EDM：評価・指示・モニタリング）」との接続が出題される。

選択肢の発展補足

bの「監査報告書の社内公開」の問題点：監査報告書は通常「宛先（経営者・取締役会・監査委員会等）」に対して提出されるものであり、その内容は「セキュリティ上の脆弱性」「コンプライアンス違反の詳細」「改善が必要な内部統制の弱点」といった機密情報を含む場合がある。「社内全員に公開する」ことは、これらの機密情報の漏洩リスクを高め、悪意ある内部者による悪用を招く可能性があるため、「公開方針は経営者が決定する」が適切な実務対応。

cの「改善実施の指示」の詳細な問題性：監査人が改善実施を「指示」する権限を持ってしまうと、①被監査部門への実質的な経営関与・支配関係が生じ独立性が損なわれる、②次回監査で「自分が指示した改善策の有効性を評価する」という自己審査（Self-Review）の問題が発生する。公認内部監査人（CIA）の職業倫理基準でも「独立性の維持」が最重要原則として位置づけられており、cは内部監査の本質に反する行為として不適切。