ITパスポート 令和6年度 問53：system_auditに関する問題

答えは c「現在と将来」 です。

ITガバナンスとは、経営者が「会社のITの使い方、これでいい？」をしっかり見て方向づけすること。ポイントは、今うまく回っているか（現在）だけでなく、これから先も役に立つか（将来）の両方を見ること。だから「現在と将来」が入ります。

👉 覚え方：経営者がITを見るときは“今”と“これから”の両方をセットで。

ほかの選択肢：a 過去と現在／b 現在だけ／d 将来だけ＝どれも片方しか見ておらず、未来志向の経営の考え方に合わないので×。

なぜこれが正解か

正解は c「現在と将来」。ITガバナンスは、経営者が事業目的の達成を支援する観点から、現在と将来のITの利用について「評価・指示・モニタリング」する仕組み。現在の運用が適切かに加え、将来の事業環境やニーズに合致するITの方向づけを行う点が本質なので、空欄には「現在と将来」が入る。

各選択肢の解説

• a 過去と現在：過去の検証は監査的視点で、ガバナンスの“方向づけ”は未来志向。
• b 現在のみ：将来を見据えた経営判断が抜け落ちる。
• d 将来のみ：現在の利用状況の評価が抜け落ちる。

覚え方・ひっかけ注意

ITガバナンスの定義（ISO/IEC 38500）にある「評価（Evaluate）・指示（Direct）・モニタ（Monitor）」の3動詞をセットで押さえる。評価対象は常に現在と将来のIT利用。ITマネジメント（現場の管理）との違いは、ガバナンスが経営者による統治・方向づけである点。「経営者が」「事業目的を支援」とあればガバナンスの問題と判断する。

理論的背景

ITガバナンス（IT Governance）はコーポレートガバナンスの一部として位置づけられ、「経営陣が情報技術の利用について評価・指示・モニタリングを行う仕組み」と定義される。ISO/IEC 38500（IT Governanceの国際規格）は「経営者によるITの方向付け・評価・モニタリング」という3機能をITガバナンスの核心として規定し、CobiTフレームワークはこれを「EDM（Evaluate-Direct-Monitor）」と体系化している。

正解cの「現在と将来」が入ることの理由：ISO/IEC 38500:2015に基づくITガバナンスの定義において、経営者は「現在の事業目的を支援するITの利用」だけでなく「将来の事業目標達成に向けたIT戦略の方向付け」も担う。ITへの投資は長期的性格を持ち（多年度にわたる費用対効果）、技術的変化のスピードが事業計画を超えて進むため、「現在の最適化」だけでは不十分で「将来への対応設計」が不可欠である。

「現在のみ（b）」では長期的IT戦略の策定・将来の技術変化への対応が視野に入らない。「過去と現在（a）」は過去を踏まえた現在の評価には有効だが、将来指向のITガバナンスの本質を欠く。「将来のみ（d）」では現在進行中のITサービスの評価・コントロールが機能しない。「現在と将来（c）」の組み合わせが経営者によるITの「評価（今）・指示（今と将来）・モニタリング（今）」という包括的責務を最適に表現する。

実務での使われ方

ITガバナンスの実務的フレームワークとして最も広く使われるCOBIT 2019は、5つのガバナンスドメイン（EDM：Evaluate-Direct-Monitor）と5つの管理ドメイン（APO・BAI・DSS・MEA）で構成される。このフレームワークの採用企業は経営レベルのIT関与（取締役会・IT委員会によるIT戦略の承認・KPIモニタリング）を制度化しており、内部監査・外部監査の判断尺度としても機能する。

デジタルトランスフォーメーション（DX）時代のITガバナンスは「現在の基幹システムの安定運用（SoR管理）」と「将来の新規デジタル事業への投資判断（SoE・DX投資）」の両立というバイモーダルIT管理の難題に直面している。経産省の「DX推進指標」にもITガバナンス評価項目が含まれており、2025年崖問題（レガシーシステムの2025年問題）への対応という「将来指向の戦略的ITガバナンス」が日本企業の喫緊課題となっている。

試験での位置づけ

ITガバナンスの定義問題はITパスポートのシステム監査・ITガバナンス分野で出題される。本問の「穴埋め選択」形式は「a（過去と現在）vs c（現在と将来）」の区別が最大の判断ポイントであり、「ガバナンスは前向き（将来指向）か後ろ向き（過去評価）か」という問いに答えることが正解への鍵。「ガバナンス＝方向付け・評価・モニタリング」という機能はすべて「現在の状況を把握し将来の目標達成のために行動する」という前向きな性格を持つ点を理解する。

基本情報技術者ではITガバナンスと「コーポレートガバナンス（企業全体の統治）」「内部統制（財務報告の信頼性確保）」「システム監査（独立した評価）」の役割分担と相互関係が問われる。ITストラテジスト・ITガバナンスの上位試験ではCOBIT・ISO/IEC 38500・ISACA GEiT（IT Governance and Enterprise IT）の詳細実装が出題される。

選択肢の発展補足

aの「過去と現在」の限界：経営者が「過去と現在のITを評価する」だけであれば、それは後追い的なレビューに留まり、戦略的投資意思決定・技術選択の方向付けという「前向きなガバナンス」機能が失われる。監査・コントロールのみのガバナンスは反応的（Reactive）であり、ITガバナンスの本来機能（Proactive・戦略的）とは区別される。

bの「現在のみ」の問題：多くのITプロジェクト・IT投資は複数年にわたる「将来へのコミットメント」を伴う。現在時点の評価だけでは「3年後・5年後の技術的陳腐化リスク」「AIクラウド等の将来技術への移行計画」という長期的ガバナンスの責務を果たせない。「現在の最適化が将来の最適解とは限らない」という技術的不確実性への対応がITガバナンスの重要課題。

dの「将来のみ」の非現実性：将来指向のIT戦略策定も重要だが、「現在稼働中のシステムの品質・セキュリティ・コストのモニタリング」「現在進行中のプロジェクトの進捗評価」という現時点のコントロール機能なしには実効的なガバナンスが機能しない。経営者のITガバナンス責務は「現在のパフォーマンス担保」と「将来への戦略的投資」の両方にあるという点が正解cの根拠。