ITパスポート 令和7年度 問51：system_auditに関する問題

答えは d です。

テストの採点を「自分でやる」と、つい甘くしたり間違いを見逃したりしますよね。だからチェックは“自分と関係ない人”がやるのが鉄則です。

システム監査も同じで、そのシステムを作った人・使う人・運用する人が自分で点検してはダメ。身内が身内を調べても「問題なし」になりがちだからです。

d の「経営者直轄組織の人」は、経理システムと利害がなく、知識もあって中立に調べられます。

👉 覚え方：監査する人は “当事者じゃない人”。

ほかの選択肢：a 運用担当・c 利用者・b 作った委託会社＝みんな“当事者”なので不向き。

なぜこれが正解か

正解は d。システム監査人に最も求められるのは独立性・客観性。監査対象（経理システムの開発・運用・利用）に直接関わっていない者でなければ、公正な評価ができない。d の「経理とITの知識を有する経営者直轄組織の従業員」は、対象業務から独立しつつ専門知識も持ち、監査人として最適。

各選択肢の解説

• a 運用担当者：被監査側そのもの。自分の業務を自分で監査でき ない（自己監査）。
• b 開発委託会社の従業員：開発の当事者であり独立性を欠く。
• c 利用者の経理担当者：これも被監査側。客観評価ができない。

覚え方・ひっかけ注意

監査人の条件は (1)独立性 (2)専門能力 (3)客観性。「作った・使った・運用した」人はすべて被監査側でNG。“経営者直轄”という独立した立場がキーワード。

理論的背景

システム監査の根幹にあるのは「独立性（independence）」という概念である。監査人が監査対象に対して利害関係や業務上の依存関係を持っていると、客観的な評価が歪む恐れがある。この原則はJIS Q 27001（情報セキュリティ管理）やISO 19011（監査のガイドライン）にも明文化されており、「監査人は自らの業務を監査しない」というルールとして世界標準で採用されている。

経営者直轄組織への所属が求められる理由は二重の独立性を担保するためである。第一の独立性は「業務からの独立性」：経理システムの開発・運用・利用に直接携わっていないこと。第二の独立性は「組織的独立性」：監査対象部門の上長から指揮命令系統が切れており、経営トップに直結した立場であること。この二層の独立性があって初めて実効性のある監査報告が経営層に届けられる。

実務での使われ方

実務において内部監査部門は通常、監査委員会や取締役会直属として設置され、個別部門長の人事評価権が及ばない設計になっている。大企業では「内部監査室」「監査グループ」という名称で独立組織化されており、そこに配属された人員が各部門のシステム・業務プロセス・財務データを横断的に監査する。

外部委託先（本問のb選択肢に相当するベンダー従業員）が監査を行えない理由は自己評価（self-assessment）に陥るからである。ベンダーは自社の納品物を自ら評価することになり、利益相反が生じる。同様に、システム運用担当者（a）は自らの運用手続きを監査することになり客観性が担保されない。経理担当者（c）はシステムの利用者であり、自己の業務環境を評価することになる。

試験での位置づけ

システム監査人の独立性はITパスポート試験のマネジメント系で頻出の概念であり、近年の出題では「適切な監査人は誰か」という形式で選択肢を比較させる問題が繰り返し出題されている。正解パターンは一貫して「被監査部門との利害関係を持たない・経営トップ直属の人物」である。

上位資格（情報処理安全確保支援士・ITストラテジスト）では、監査人の独立性に加えて「監査証拠の収集手法（インタビュー・ドキュメントレビュー・実地観察）」「監査調書の作成基準」「監査報告の開示範囲」まで踏み込んだ出題がある。経済産業省の「システム監査基準（2023年改訂版）」では独立性・専門能力・客観性の三要素が監査人の資質として規定されており、ITパスポートはそのエッセンスのみを問う。

選択肢の発展補足

選択肢aの「運用担当者」とbの「委託会社従業員」は最も典型的な独立性違反パターンとして試験で繰り返し登場する。実務でも、コンプライアンス上の問題として「開発ベンダーによる自社成果物の検収参加」は禁止事項とされることが多く、特定個人情報保護委員会のガイドラインでもベンダー依存の内部監査は不適切とされている。選択肢cの経理担当者は「業務知識があるため監査に参加させたい」という誘惑が実務でも生まれやすいが、利用者が自身の利用環境を評価する構造上の問題があり不可とされる。経理知識とIT知識の双方を持ちつつ利害関係のない人材の育成が、内部監査体制の強化において最重要課題となっている。