問48

ITパスポート過去問令和6年度（2024年）問48

システム監査で用いる判断尺度の選定方法に関する記述として，最も適切なものはどれか。

選択肢

正解：イ

あなたの回答：未回答

システム監査の判断尺度（評価の基準）は、監査の目的やテーマに合わせて選定するのが原則です。「システム管理基準」は代表的な判断尺度ですが、監査テーマによっては法令、各種ガイドライン、社内規程など、システム管理基準以外の基準を併用してもよいとされます。したがって正解は「イ」です。

ア：不正解: 「システム管理基準」は監査テーマや監査範囲に応じて適用する項目を選んで使うのが一般的であり、全項目をそのまま使用しなければならない、とはいえません。

イ：正解: 監査の目的やテーマに応じて、「システム管理基準」以外に、法令、ガイドライン、社内規程などを判断尺度として採用することがあります。したがって適切です。

ウ：不正解: 監査テーマによっては、「システム管理基準」以外の基準を判断尺度として用いる方が適切な場合があります。一律に使用すべきでない、とはいえません。

エ：不正解: アジャイル開発であっても、管理や統制、リスクへの対応は必要です。開発手法を理由に「システム管理基準は使用すべきでない」とは判断できません。

システム監査で使う「判断尺度」は固定ではなく、監査の目的やテーマに応じて適切な基準を選ぶ必要がある点を理解しているかを確認する問題です。「システム管理基準」を常に全項目適用する、または他の基準を排除する、といった誤った理解を区別できることが求められます。

この問題を解くには、システム監査における判断尺度の意味と、「システム管理基準」の位置付けを理解している必要があります。

用語名	意味
システム監査	組織の情報システムに関する管理や運用などが、目的に沿って適切に行われているかを、独立した立場から評価し、助言することです。
判断尺度	監査対象が「あるべき状態」かどうかを判定するために用いる基準です。法令、公的な基準、社内規程などが該当します。
システム管理基準	経済産業省が公表している、情報システムの管理に関する基準です。システム監査で判断尺度として広く用いられます。

判断尺度は、監査の目的やテーマに合わせて選定するのが原則です。

監査テーマの例	併用されやすい判断尺度の例（一般論）
法令遵守	対象となる法令、社内規程
情報セキュリティ	セキュリティに関するガイドライン、社内のセキュリティ規程
外部委託管理	契約、委託先管理規程

用語名	意味
アジャイル開発	短い期間で開発とリリースを繰り返し、状況に応じて仕様変更に対応しやすい開発手法です。

選択肢	内容の妥当性	判断理由
ア	不適切	「システム管理基準」は代表的な判断尺度ですが、監査テーマや監査範囲に合わせて、適用する項目を選んで使う考え方が一般的です。全項目をそのまま使用する必要はありません。
イ	適切	監査テーマに応じて、法令、各種ガイドライン、社内規程などを判断尺度として用いることがあります。「システム管理基準」以外を使用してもよい、が正しい考え方です。
ウ	不適切	監査テーマが法令遵守や情報セキュリティなどの場合、「システム管理基準」以外の基準を用いた方が適切なことがあります。したがって一律に使用すべきでないとはいえません。
エ	不適切	開発手法（アジャイル開発かどうか）で判断尺度の利用可否が決まるわけではありません。管理や統制の観点は、手法に関わらず必要になります。

ア：不正解: 「システム管理基準」は監査テーマや監査範囲に応じて適用する項目を選んで使うのが一般的であり、全項目をそのまま使用しなければならない、とはいえません。

イ：正解: 監査の目的やテーマに応じて、「システム管理基準」以外に、法令、ガイドライン、社内規程などを判断尺度として採用することがあります。したがって適切です。

ウ：不正解: 監査テーマによっては、「システム管理基準」以外の基準を判断尺度として用いる方が適切な場合があります。一律に使用すべきでない、とはいえません。

エ：不正解: アジャイル開発であっても、管理や統制、リスクへの対応は必要です。開発手法を理由に「システム管理基準は使用すべきでない」とは判断できません。

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

マネジメント系 > サービスマネジメント > システム監査