ITパスポート 令和6年度 公開問題(過去問) 問55について解説します。
問題
問55 システム監査の目的に関する記述として、適切なものはどれか。
ア 開発すべきシステムの具体的な用途を分析し、システム要件を明らかにすること
イ 情報システムが設置されている施設とその環境を総合的に企画、管理、活用すること
ウ 情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与すること
エ 知識、スキル、ツール及び技法をプロジェクト活動に適用することによって、プロジェクトの要求事項を満足させること
解説・解答
システム監査は、情報システムやその運用管理が適切かどうかを第三者的に評価し、組織のリスクマネジメントと業務目標の達成を支援する活動です。一般的には、内部監査人や外部監査人が、統制・リスク管理・コンプライアンス・効率性などの観点からチェックします。
それぞれの選択肢について確認します。
ア:開発すべきシステムの具体的な用途を分析し、システム要件を明らかにすること
これはシステム開発の上流工程(要件定義)の活動です。監査は分析や開発の支援ではなく、既存システムやその管理の妥当性を評価する立場です。
イ:情報システムが設置されている施設とその環境を総合的に企画、管理、活用すること
これは情報システム部門の管理職やITサービスマネージャの役割です。施設管理や環境の活用は運用の話であり、監査の目的(評価・助言)ではありません。
ウ:情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与すること
システム監査の主な目的は、リスク管理(情報漏洩・システム停止・不正アクセスなど)が正しく行われているかを評価することです。組織が掲げる経営目標やミッション(例:業務の効率化、顧客満足向上、法令遵守)を阻害するようなITリスクに対して、予防・検知・是正の統制が機能しているかを監査します。そのため、この記述が正解です。
エ:知識、スキル、ツール及び技法をプロジェクト活動に適用することによって、プロジェクトの要求事項を満足させること
これはプロジェクトマネジメントの目的で、PMBOK(プロジェクト管理知識体系)に近い記述です。システム監査はプロジェクトの進行管理者ではなく、その妥当性やリスク対応を評価する立場です。
以上により、この問題の解答は「ウ」になります。
