対象試験と出題頻度
システム監査人は、ITパスポート・基本情報技術者・応用情報技術者のいずれでも出題されるテーマです。
とりわけ「システム監査」の分野では、監査人に求められる独立性を正しく判断できるかが繰り返し問われます。内部監査・外部監査の立場の違いとあわせて整理しておくと得点源になります。
詳細をクリックして確認
ITパスポート
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
監査の問題を勉強していると、「システム監査人って結局どんな立場の人?普通のエンジニアと何が違うの?」と混乱しがちです。
システム監査人(System Auditor)とは、一言で言うと
「第三者の立場から、ITシステムの利活用を検証・評価する独立した専門家」
のことです。
イメージとしては、「飲食店に入る保健所の検査員」です。
検査員はその店の従業員ではありません。だからこそ「衛生管理は本当に大丈夫か」を遠慮なくチェックできます。もし店長の親戚が検査をしたら、甘い判定になりかねません。
システム監査人も同じで、調べる相手と利害関係のない立場だからこそ、公正な評価を下せます。この「相手とつながっていない立場」こそが最大の武器です。
📊 システム監査人の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | System Auditor |
| 分類 | マネジメント系/システム監査 |
| 拠り所 | システム監査基準(経済産業省・2023年改訂) |
| 最重要キーワード | 独立性(精神的独立性・外観的独立性) |
解説
そもそもなぜ「専任の監査人」という役割が必要なのでしょうか。自分の部署のシステムを自分たちで点検すれば手っ取り早いように思えます。
しかし、作った本人が自分の仕事を採点すると、無意識に甘くなったり都合の悪い点を見逃したりします。
そこで、利害関係のない立場の評価者を置くことで、客観的な判定を担保するのです。経済産業省の「システム監査基準」も、専門性と客観性を備えた監査人が一定の基準に基づいて検証・評価を行うと定めています。
2種類の独立性
監査人に求められる独立性は、性質の異なる2つに分けて理解するのが正攻法です。日本公認会計士協会やシステム監査基準でも、この2区分が明記されています。
| 種類 | 意味 |
|---|---|
| 精神的独立性 (精神上の独立性) |
心の持ちようの話。何事も当然と決めつけず疑ってかかり、公正不偏の態度を貫けること。「正当な懐疑心」とも結びつく |
| 外観的独立性 (外観上の独立性) |
見た目・立場の話。第三者から見ても「身内ではない」と分かる状態。監査対象と同じ指揮命令系統に属さないことが条件 |
ポイントは、本人が「私は公正です」と思っているだけでは足りないことです。
傍から見て身内に見えれば、それだけで外観的独立性は崩れます。
独立性が保たれる位置関係
監査人がどこに立てば独立性を保てるのか、組織図のイメージで示します。
監査される側
監査される側
独立した別系統
監査部門 ━━ 検証・評価 ━━▶ 情報システム部門・利用部門
監査人はどの被監査部門の下にも属さず、経営者に直接報告する
⭕ 独立性が保てる配置
監査部門が情報システム部門・利用部門とは別の系統にあり、経営者直属になっている。
❌ 独立性が崩れる配置
情報システム部門の中に監査担当を置く。自分の部署を自分で監査することになりNG。
内部監査人と外部監査人
監査人は「どこの人か」で2タイプに分かれます。どちらであっても、独立性が求められる点は共通します。
| タイプ | 所属 | 特徴 |
|---|---|---|
| 内部監査人 | 自社内の独立した監査部門 | 社内事情に詳しい。ただし監査対象部門とは別系統に置く必要がある |
| 外部監査人 | 社外の専門家(監査法人など) | 利害関係が薄く、外観的独立性を確保しやすい |
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 システム監査人の核心を3行で
・監査対象と利害関係のない第三者の立場で検証・評価する専門家
・独立性は「精神的独立性(心の態度)」と「外観的独立性(見た目の立場)」の2本立て
・内部監査人でも、監査対象部門と同じ指揮命令系統に属してはならない
試験ではこう出る!
システム監査人は、IP・FE・APのいずれでも午前問題の定番です。出題パターンはほぼ2つに固定されています。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R7秋 午前 問58 |
システム監査基準の用語説明で適切なものを選ぶ問題。 | ・「独立性=不当な影響や圧力を受けていない状態」が正解 ・所見/正当な懐疑心/正当な注意の説明がひっかけ |
| AP H22秋 午前 問59 |
独立性の観点から「避けるべき体制」を選ぶ問題。 | ・被監査部門の要員が自部門を監査するのはNG ・所属と監査対象が重なる選択肢が誤り |
| FE H24春 午前 問58 |
独立性が保たれている状況を選ぶ問題。 | ・外部から登用+別部門が対象なら独立性○ ・自部門の要員を監査チームに入れる選択肢が誤り |
| IP H24秋 問51 |
独立性に反する事例を選ぶ問題。 | ・監査対象の構築担当者が自ら監査する選択肢が反例 |
📝 IPA試験での出題パターン
パターン1:「独立性に反する/保たれている事例を選べ」
選択肢に複数の監査体制が並び、適切なもの(または不適切なもの)を選ぶ形式。判定の決め手は1つだけで、「監査する人が、監査される対象の関係者になっていないか」を見ます。自分が作ったシステムを自分で監査する、所属部門を自分で監査する、といった選択肢は即アウトです。
パターン2:「用語の説明として正しいものを選べ」
AP R7秋のように「独立性」「所見」「正当な懐疑心」など監査用語の定義文を識別させる形式。ひっかけは似た用語同士の説明文の入れ替えです。「独立性=外部から不当な影響を受けない状態」とセットで覚えると確実です。
試験ではここまででOKです。監査の細かい手続き名まで丸暗記する必要はなく、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. システム監査人に求められる「独立性」の説明として、最も適切なものはどれでしょうか?
- A. 許可された正当な利用者だけが情報資産にアクセスでき、第三者に内容が漏れないように保たれている状態のこと。
- B. 必要なときにシステムやサービスが中断せず、利用者がいつでも使える状態が確保されていること。
- C. 監査対象と利害関係を持たず、第三者から不当な影響や圧力を受けていない状態が確保されていること。
正解と解説を見る
正解:C
解説:
独立性とは、第三者から不当な影響や圧力等を受けていない状態を指し、精神的独立性と外観的独立性から構成されます。AP R7秋 午前 問58でも、まさにこの定義文が正解として問われました。
選択肢Aは情報セキュリティの「機密性(Confidentiality)」の説明です。アクセスを許可された者だけが情報を扱える性質であり、監査人の立場の話ではありません。選択肢Bは「可用性(Availability)」の説明です。必要なときにシステムが使える性質を指し、独立性とは別概念です。これらはセキュリティのCIAに関する用語で、システム監査人の独立性とは無関係なため誤りです。
よくある質問(FAQ)
Q. システム監査人とシステム監査技術者試験の合格者は同じものですか?
役割の名称と国家試験の名称が紛らわしいですが、別物です。「システム監査人」は監査を行う人の役割・立場を指す一般名称で、特定資格の保有は必須ではありません。一方「システム監査技術者試験」はIPAの高度試験区分の一つで、合格すると監査の専門性を客観的に証明できます。実務では合格者が監査人を担うケースが多いものの、イコールではありません。
Q. 監査の結果、監査人が直接システムを修正することはありますか?
ありません。監査人の仕事は検証・評価と、問題点の指摘・改善提案(助言)までです。実際に直すのは被監査側の責任で行います。もし監査人が自ら修正してしまうと、次回は「自分が直したものを自分で採点する」ことになり、独立性が崩れます。「指摘はするが手は下さない」が原則です。
Q. 監査人と「監査役」は同じですか?
違います。「監査役」は会社法上の役職で、取締役の業務執行を監視する機関です。一方システム監査人は、ITシステムの利活用を専門的に検証・評価する立場で、会社法上の機関ではありません。試験では文脈で見分けますが、ITシステムを技術的観点で点検するのが監査人、と押さえれば混同しません。
Q. 監査を依頼するのは誰ですか?
原則として経営者(トップマネジメント)です。システム監査は経営者が組織のIT活用の妥当性を確かめるために実施するもので、監査人は経営者に対して報告します。だからこそ監査人は現場の各部門から独立した位置に置かれ、忖度なく報告できる体制が求められます。この「誰のための監査か」を押さえると、独立性が必要な理由まで一本の線でつながります。
