対象試験と出題頻度
システム監査は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される、マネジメント系の重要分野です。
特に「システム監査人の行為として適切なものはどれか」という形式で、独立性・客観性・改善勧告の範囲を問う問題が定番化しています。内部統制やシステム管理基準と絡めた出題も多く、関連用語との役割の違いを正確に区別できるかが得点の分かれ目になります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
情報処理試験を勉強していると、「システム監査って結局誰が何をするの?セキュリティ対策と何が違うの?」と混乱しがちです。
システム監査(System Audit)とは、一言で言うと
「独立した立場の専門家が、情報システムが安全・適切に運用されているかを点検・評価し、改善をすすめる仕組み」
のことです。
イメージとしては、「飲食店の保健所による立入検査」です。
保健所の検査官は、その店の従業員ではありません。
外部の独立した立場だからこそ、厨房の衛生状態を公正にチェックできます。検査官は問題を見つけたら「ここを直しましょう」と指摘・勧告しますが、自ら掃除を始めたり、調理方法を命令したりはしません。あくまで点検と評価が仕事です。
システム監査も同じで、社内のシステム部門から独立した監査人が、システムの安全性や効率性を客観的にチェックし、改善をうながす役割を担います。
📊 システム監査の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | System Audit |
| 実施する人 | システム監査人(被監査部門から独立した立場) |
| 判断の尺度 | システム管理基準・システム監査基準 |
| 監査人ができること | 点検・評価・指摘・改善勧告(命令や実作業はしない) |
解説
企業が情報システムに依存するほど、「そのシステムは本当に安全に、ルール通りに運用されているのか」を確かめる必要が高まります。
しかし、システムを作った当事者が自分で「問題ありません」と言っても、説得力に欠けます。身内のチェックには甘さが混じるためです。
そこで、利害関係のない第三者が公正な目で点検する仕組みが整えられました。
これがシステム監査であり、経済産業省の「システム監査基準」と「システム管理基準」がそのよりどころになっています。
監査人に最も求められる「独立性」
監査人にとって生命線となるのが独立性です。これには2つの側面があります。
外観上の独立性:監査人が、監査対象の部門に所属していたり、指揮命令を受ける関係にあったりしないこと。組織図のうえで切り離されている状態を指します。
精神上の独立性:監査人が、特定の立場に肩入れせず、公正・客観的な姿勢で判断すること。誰かに忖度せず、事実に基づいて結論を出す心構えです。
システム監査の4ステップ
システム監査は、行き当たりばったりではなく、決まった流れに沿って進みます。
① 監査計画
目的・範囲を決める
② 監査の実施
予備調査→本調査
→評価・結論
③ 監査報告
報告書で指摘・勧告
④ フォローアップ
改善状況を確認
▲ 報告して終わりではなく、改善されたかを確認する「フォローアップ」まで含まれる
ここで重要なのは、監査人が報告書で行えるのは「指摘」と「改善勧告」までだという点です。
実際に改善するのは監査を受けた部門の仕事であり、監査人が直接システムを修正したり、改善を「命令」したりすることはありません。検査官が掃除をしないのと同じです。
監査の根拠となる「証拠」と「調書」
監査意見は、思いつきや過去の経験ではなく、必ず客観的な事実にもとづかなければなりません。その裏付けとなるのが次の2つです。
| 用語 | 意味 |
|---|---|
| 監査証拠 | 監査意見を裏付ける事実。ログ、設定資料、ヒアリング記録など |
| 監査調書 | 監査の実施過程と結論の根拠を記録した文書。証拠と結論をつなぐ作業記録 |
混同しやすい関連用語との整理
システム監査を正しく位置づけるには、似た役割の用語と「誰が・何のために行うか」で並べて比較するのが近道です。
| 用語 | 何のために行うか | 見分けキーワード |
|---|---|---|
| システム監査 | 情報システムを独立した立場で点検・評価する | 監査人、独立性、改善勧告 |
| 内部統制 | 業務が適正に行われる仕組みを組織内に整える | 統制活動、職務分掌、組織内部 |
| システム管理基準 | 監査の判断のものさしとなる項目集 | 尺度、評価項目、ガイドライン |
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 システム監査の核心を3行で
・独立した監査人が情報システムを客観的に点検・評価し、改善をうながす仕組み
・流れは「計画→実施→報告→フォローアップ」の4ステップ
・監査人ができるのは指摘・勧告まで。実作業や命令はしない
試験ではこう出る!
システム監査は、各試験の午前問題で繰り返し出題されている定番テーマです。出題パターンは大きく2つに分かれます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| FE H30春 問58 |
システム監査人の行為として適切なものを選ぶ問題。 | ・正解は「発見した問題点について改善指摘を行った」 ・「改善を命令した」「不十分な調査で経験に基づき意見をまとめた」がひっかけ |
| IP H27春 問40 |
システム監査の説明として正しいものを選ぶ問題。 | ・「独立かつ専門的な立場での点検・評価」がキーワード |
| IP 複数回 (H22春問42 ほか) |
システム監査・監査証拠・監査調書の用語を問う問題。ほぼ毎回いずれかが出題。 | ・判断の尺度は「システム管理基準」 ・内部統制との混同に注意 |
| AP 午後 問11(ほぼ毎期) |
応用情報の午後では問11がシステム監査の指定席。事例から監査手続を読み取る。 | ・独立性の確保、監査証拠の十分性が頻出 |
📝 IPA試験での出題パターン
パターン1:「監査人の行為として適切なものを選べ」
FE H30春問58が典型。正解の軸はいつも同じで、「監査人は指摘・勧告まで」「命令や実作業はしない」「意見は必ず証拠に基づく」の3点を外さなければ正解できる。「改善を命令した」という選択肢は不適切として除外する。
パターン2:「用語の説明を選べ」
システム監査・監査証拠・監査調書・フォローアップの説明文が並び、該当するものを選ぶ形式。キーワードは「独立した立場」「客観的」「システム管理基準」。内部統制(組織内部の仕組み)の説明が紛れ込むひっかけに注意する。
試験ではこの2パターンを押さえればOKです。監査基準の細かな条文番号まで問われることはほぼないので、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. システム監査人の行為として、最も適切なものはどれでしょうか?
- A. 調査が不十分な事項について、過去の経験に基づいて監査意見をまとめた。
- B. 調査によって発見した問題点について、改善の指摘を行った。
- C. 調査の過程で発見した問題点について、その都度、改善を命令した。
正解と解説を見る
正解:B
解説:
システム監査人は、監査の結論として監査報告書に問題点の指摘や改善勧告を含めることができます。これが監査人に認められた行為であり、Bが正解です。
選択肢Aは不適切です。監査意見は必ず客観的な監査証拠に基づくものでなければならず、調査が不十分なまま過去の経験で結論を出すことは許されません。選択肢Cも不適切です。監査人が行えるのは「指摘」と「勧告」までであり、被監査部門に対して改善を「命令」する権限はありません。改善を実行するかどうかは、監査を受けた部門が判断します。
よくある質問(FAQ)
Q. システム監査と会計監査・業務監査は何が違うのですか?
対象が違います。会計監査は財務諸表が正しいかを、業務監査は業務全般が適正かを対象とします。システム監査はそのうち情報システムに焦点を当てた監査です。これらは「内部監査」という大きな枠の中で並列に位置づけられることが多く、システム監査人が会計監査人と連携する場面もあります。
Q. 監査人は必ず社外の人でなければなりませんか?
いいえ。社内の人でも、監査対象の部門から独立していれば監査人になれます。これを内部監査と呼びます。逆に、外部の監査法人などが行う場合は外部監査です。重要なのは「社内か社外か」ではなく「監査対象から独立しているか」という点です。自分が運用しているシステムを自分で監査することはできません。
Q. 「予備調査」と「本調査」はどう違うのですか?
予備調査は、本格的な調査の前に監査対象の概要やリスクを把握する準備段階です。資料の収集や担当者へのヒアリングを通じて、どこを重点的に見るかの当たりをつけます。本調査では、その計画にもとづいて実際に証拠を集め、評価を下します。AP午後問11では、この予備調査で何を確認すべきかが問われることがあります。
Q. 実務ではどんな人がシステム監査を担当しているのですか?
大企業では内部監査部門の担当者や、IPAの高度試験である「システム監査技術者」の有資格者、外部の監査法人やコンサルティング会社の専門家が担当します。なお、システム監査技術者試験は令和8年度からCBT方式での実施に移行する予定です。会社の規模によっては情報システム部門と独立した監査担当を置けないこともあり、その場合は外部委託で独立性を確保します。
