令和8年度47マネジメント系

ITパスポート 令和8年度 問47:system_auditに関する問題

監査を会計監査、業務監査、情報セキュリティ監査、システム監査に分けたとき、システム監査に関する記述として、最も適切なものはどれか。

  • a業務で使用している情報の漏えいに関するリスクマネジメントが効果的に実施されていることの検証
  • b財務諸表の作成に至る業務全般に関して、不正や誤りがなく処理されていることの検証
  • c情報システムに係るリスクに対して、組織において適切に対応していることの検証正答
  • d情報システムの利用を含めた組織内の諸業務が組織の方針に従って、合理的かつ効率的に運用されていることの検証
正答:C情報システムに係るリスクに対して、組織において適切に対応していることの検証

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c です。

システム監査は「会社が使っているITやコンピュータの仕組みに、危ない点(リスク)はないか、ちゃんと対策できているかをチェックする」ことです。

たとえば、車を定期点検に出して『ブレーキは大丈夫?』と専門家に見てもらうイメージ。IT版の安全点検ですね。

👉 覚え方:「システム監査=ITのリスク対策が大丈夫かチェック」。

ほかの選択肢:a 情報漏えいのリスク中心=情報セキュリティ監査/b 財務諸表(お金の計算書)のチェック=会計監査/d 仕事全般が方針どおり効率よくできているか=業務監査。それぞれ別の監査です。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。システム監査は、情報システムに係るリスク(信頼性・安全性・効率性等)に対して、組織が適切に対応(コントロール)できているかを独立した立場で検証し、改善を助言する活動。選択肢cが情報システムのリスク対応の検証を述べており合致する。

各選択肢の解説

  • a:情報漏えいのリスクマネジメントの検証→情報セキュリティ監査の説明。
  • b:財務諸表作成業務に不正・誤りがないかの検証→会計監査の説明。
  • d:組織内の諸業務が方針に従い合理的・効率的に運用されているかの検証→業務監査の説明。

覚え方・ひっかけ注意

キーワードで切り分ける:『財務諸表』→会計監査(b)、『情報漏えい・セキュリティ』→情報セキュリティ監査(a)、『業務全般・効率』→業務監査(d)、『情報システムのリスク』→システム監査(c)。dの業務監査とcは紛らわしいが、cは『情報システム』に焦点を当てている点が決め手。

上級誤答論破・背景理論まで深掘り

理論的背景

システム監査は経済産業省の「システム監査基準」(最終改訂2023年)に基づく独立した第三者的な評価活動である。システム監査基準では「情報システムに係るリスクに対するコントロールについて、独立かつ専門的な立場のシステム監査人が、総合的に点検・評価し、関係者に必要な勧告を行うことにより、ITガバナンスの実現に寄与すること」を目的として定義する。正解cはこの定義に直接対応している。

4種類の監査の峻別は以下の通り。会計監査:財務諸表の適正性を公認会計士・監査法人が検証(金融商品取引法・会社法上の法定監査)。業務監査:業務プロセス全般の合法性・効率性・有効性を検証(選択肢dが該当するが「組織全般」の業務を対象とする点でシステム監査とは異なる)。情報セキュリティ監査:情報の漏えい・改ざん等のセキュリティリスクに特化した監査(選択肢a)。システム監査:ITに関わるリスク全般(セキュリティ以外にも可用性・信頼性・保守性等を含む)を対象とした包括的監査。

実務での使われ方

企業のITガバナンス強化を背景に、システム監査の需要は増加している。上場企業では財務報告に係る内部統制(J-SOX)の評価においてITGC(IT全般統制)の検証が必須となっており、これはシステム監査の一形態である。アクセス管理・変更管理・バックアップ・ジョブ管理の4領域がITGCの核心であり、外部システム監査人による独立評価が求められる。クラウド化が進んだ現代では、CSP(クラウドサービスプロバイダー)のSOC2(Service Organization Control 2)レポートをシステム監査の証拠として活用するケースが増加している。

誤り選択肢aの情報セキュリティ監査はISMS(ISO/IEC 27001)適合性評価や情報セキュリティ監査基準(経済産業省)に基づく監査として独立した体系を持ち、システム監査よりも機密性・完全性・可用性の3要素に特化する。

試験での位置づけ

ITパスポートのシステム監査関連問題は毎年複数問出題される頻出テーマ。監査の種類の識別(会計・業務・情報セキュリティ・システム)と各監査の特徴・目的・実施主体の対応関係を整理することが得点の鍵。近年の出題傾向として、システム監査人の独立性・客観性要件、監査プロセス(計画→予備調査→本調査→評価・結論→報告)の各フェーズの役割、監査調書・監査報告書の作成基準に関する問題が増加している。基本情報技術者試験ではシステム監査基準・システム管理基準の各項目(IT投資管理・リスクマネジメント・情報セキュリティ管理等)の詳細内容まで問われる。応用情報技術者試験以上では監査証拠の収集技法(インタビュー・ウォークスルー・サンプリング・ペネトレーションテスト)まで踏み込んだ出題がある。

選択肢の発展補足

選択肢dの「組織内の諸業務が組織方針に従って合理的・効率的に運用されていることの検証」は業務監査の典型的定義に近い。業務監査はIIA(内部監査人協会)の内部監査基準に基づく内部監査として実施されることが多く、3ラインモデル(第1ライン:業務部門、第2ライン:リスク管理・コンプライアンス部門、第3ライン:内部監査部門)の中で位置づけられる。システム監査との違いは「IT固有のリスクに特化しているか否か」である。情報セキュリティ監査(選択肢a)との違いは「セキュリティ以外のITリスク(業務継続性・システム信頼性・IT投資効果等)を含むか否か」であり、システム監査の方がより広い射程を持つ。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和8年度47/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

マネジメント系の他の過去問

35
system_audit
36
project_management
37
project_management
38
development_management
39
project_management

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。