対象試験と出題頻度
健康診断で「血圧が高めなので減塩を心がけましょう」と医師に言われた経験はありませんか。
医師は薬を勝手に飲ませることはできず、できるのは「こうした方がいい」という提案までです。システム監査における改善勧告(助言)も、これとまったく同じ立ち位置にあります。
基本情報技術者・応用情報技術者で問われるテーマです。
対象試験と頻度の詳細
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
システム監査の勉強をしていると、「改善勧告って、監査人が命令して直させることでしょ?」と勘違いしがちです。
ここを間違えると失点に直結します。
改善勧告(助言)とは、一言で言うと
「監査人が見つけた問題点に対し、こう直すべきだと改善策を提言する行為」
のことです。あくまで「提言」であり、強制力のある命令ではない点が肝になります。
イメージとしては、冒頭の「健康診断の医師」そのものです。医師は検査結果から問題を見つけ「運動した方がいい」とアドバイスしますが、実際に運動するかどうかを決めるのはあなた自身です。監査人も同じで、改善を決断し実行するのは監査される側の責任になります。
📊 改善勧告(助言)の基本情報
| 項目 | 内容 |
|---|---|
| 誰が行うか | システム監査人 |
| 誰に対して | 監査依頼者(経営者など) |
| 記載される場所 | システム監査報告書 |
| 強制力 | なし(あくまで助言・提言) |
解説
そもそも監査人は、なぜ「命令」ではなく「助言」にとどまるのでしょうか。
理由は監査人の立場にあります。監査人は組織の外(または独立した内部部門)から客観的に評価する第三者です。
もし監査人が改善を強制し、その実行まで関わってしまうと、次の監査で「自分が手を加えた仕組み」を自分で評価することになり、客観性が崩れます。
独立性を守るために、監査人は「指摘と提言」までで線を引きます。
監査の流れの中での位置づけ
改善勧告が、システム監査全体のどのタイミングで登場するかを図で押さえておきましょう。
本調査
(改善勧告)
アップ
▲ 改善勧告は報告(④)で示し、その後フォローアップ(⑤)で改善状況を確認する
「勧告」と「フォローアップ」「指摘」の関係
混同しやすい近接用語を、役割の違いで整理します。
改善勧告だけが単独で成り立つわけではなく、前後の活動とセットで理解すると一気に頭に入ります。
| 用語 | 何をすること | タイミング |
|---|---|---|
| 指摘事項 | 見つけた問題点そのものを示す | 報告時 |
| 改善勧告 | どう直すべきかの提言を示す | 報告時 |
| フォローアップ | 勧告どおり改善されたか確認する | 報告後 |
📌 覚えるのはここだけ・3行整理
・監査人ができるのは「提言」まで、改善を実行するのは監査される側
・強制力はなく、独立性を保つために命令はしない
・勧告後はフォローアップで改善状況を確認する
この「命令ではなく助言」という性質が、そのまま試験の急所になります。
試験ではこう出る!
この用語は、システム監査人の「権限の範囲」を問う文脈でFE・APの午前に登場します。出題者が仕掛けてくる罠は、ほぼ1点に集約されます。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP H30秋 午前 問59 |
システム監査人が監査報告書で行う行為を問う問題。 | ・正解は「改善を提言する」 ・「改善を命令する」「自ら改善を実施する」がひっかけ |
| FE H29春 午前 問59 |
監査人の役割として適切なものを選ぶ問題。 | ・「客観的評価と助言」が正解 ・改善の実行責任は被監査側にある点が狙われる |
| AP H27春 午前 問60 |
フォローアップと改善勧告の関係を問う問題。 | ・勧告後に改善状況を確認するのがフォローアップ ・両者の順序が逆の選択肢がひっかけ |
📝 ひっかけ選択肢の典型パターン
罠1:「命令」「強制」「是正させる」という強い動詞
監査人が改善を「命令する」「強制的に直させる」とする選択肢は誤り。監査人にその権限はない。動詞が強すぎたら疑う、が鉄則。
罠2:「監査人が自ら改善を実施する」
監査人が改善作業まで手を下す選択肢も誤り。実行すると独立性が失われ、自分で作った仕組みを自分で監査する矛盾が生じる。実行はあくまで被監査部門の役割。
罠3:勧告とフォローアップの順序逆転
「フォローアップで問題を見つけ、その後に勧告する」は順序が逆。正しくは勧告が先、確認が後。
ここが得点ラインです。動詞の強さと「実行責任は誰か」さえ押さえれば、午前対策はこれで十分です。
【確認テスト】理解度チェック
Q. システム監査における「改善勧告(助言)」の説明として、最も適切なものはどれでしょうか?
- A. 監査人が発見した問題点について、改善策を経営者などに提言する行為であり、実行を強制する権限は持たない。
- B. 情報資産が許可された者だけに公開され、不正な閲覧を防げている状態を維持すること。
- C. 利用者が必要なときにシステムを停止なく使い続けられる状態を確保すること。
正解と解説を見る
正解:A
解説:
改善勧告(助言)は、監査人が問題点に対する改善策を提言する行為であり、命令や強制ではない点が核心です。実行するかどうかの判断と責任は被監査側にあります。
選択肢Bは情報セキュリティの「機密性」の説明です。許可された者だけがアクセスできる状態を指すもので、監査人の権限とは無関係です。選択肢Cは「可用性」の説明です。必要なときにシステムを使える状態を表す概念であり、こちらも改善勧告とは別物です。BとCはセキュリティのCIAに関する用語が紛れ込んだひっかけです。
よくある質問(FAQ)
Q. 改善勧告を無視したら、監査人は罰則を与えられますか?
与えられません。監査人に処分や罰則を科す権限はなく、勧告を受け入れるかどうかは経営者の経営判断です。ただし無視した結果トラブルが起きれば、その責任は経営者側に問われます。監査人は「リスクを伝えきった」時点で役割を果たしており、最終決定権は組織のトップにある、という線引きを理解しておくと実務でも混乱しません。
Q. 内部監査と外部監査で、勧告の重みは変わりますか?
提言という性質自体は変わりませんが、受け止められ方は異なります。外部監査は契約や法令対応の文脈で行われることが多く、勧告が事実上の対応必須事項として扱われる場面があります。一方、内部監査は組織改善が主目的で、現場と協力しながら勧告を実務に落とし込むスタイルになりがちです。試験では両者を区別する難問はほぼ出ないため、「立場が違っても助言止まり」という原則だけ押さえれば十分です。
Q. 改善勧告と「指導」は同じものですか?
ニュアンスが異なります。指導は教える・しつけるという上下関係を含む言葉ですが、改善勧告は対等な立場からの専門的な提言です。監査人は被監査部門の上司ではないため「指導」という表現は本来そぐわず、IPAの文脈でも「助言」「勧告」「提言」が使われます。選択肢の言葉づかいから出題者の意図を読み取る練習にもなる、地味に重要なポイントです。
Q. 実務では勧告はどんな形で残されますか?
システム監査報告書の中に、発見した問題点とセットで文書化されます。多くの現場では「指摘事項一覧表」のような表形式で、問題点・リスク・推奨する改善策・対応期限の目安をまとめます。口頭だけで終わらせず文書で残すのは、後のフォローアップで「何をどう直すと言ったか」を客観的に追跡できるようにするためです。証跡として形に残す、という監査の基本姿勢が表れる部分です。
