基本情報技術者試験でシステム監査や内部統制が出てくると、言葉は堅いのに選択肢は似た表現ばかりで迷いやすいですよね。監査、統制、ガバナンス、職務分掌、監査証跡が一度に出ると、どれが誰の役割なのか見失いやすい分野です。
この記事では、基本情報のシステム監査と内部統制を、試験で問われる判断ポイントに絞って整理します。システム監査は「第三者が情報システムを点検して改善につなげる活動」、内部統制は「組織の中でミスや不正を防ぐ仕組み」と押さえると、かなり読みやすくなります。
IPAの基本情報技術者試験シラバスでも、システム監査、内部統制、ITガバナンス、職務分掌、監査証拠などはマネジメント系・ストラテジ系の重要語として扱われます。最新の出題範囲を確認したい場合は、IPAの試験要綱・シラバスもあわせて見ておくと安心です。
- システム監査は独立した立場で評価し改善を促す活動
- 内部統制はミスや不正を防ぎ業務を安定させる仕組み
- 職務分掌と監査証跡は選択肢で特に狙われやすい
- ITガバナンスは経営側の方向付けとして整理すると覚えやすい
基本情報のシステム監査と内部統制
システム監査の目的
システム監査の目的は、情報システムが組織の目的に合って安全かつ有効に使われているかを、独立した立場から点検することです。基本情報では、細かい監査手続きそのものよりも、「監査は開発や運用を代わりに行う活動ではない」「問題を見つけたら改善提案につなげる」「経営目標やリスクと結び付けて評価する」という方向で問われやすいです。
たとえば、システムが止まりやすい、権限設定があいまい、バックアップが取れていない、変更履歴が残っていないといった状態は、業務継続や情報セキュリティのリスクになります。システム監査は、こうしたリスクに対して統制が効いているかを確認し、必要に応じて改善を求めます。監査人が直接プログラムを修正したり、日々の運用担当者として作業したりするわけではありません。
似た用語として、サービスマネジメントや情報セキュリティ管理も出てきます。運用を回す仕組みはサービスマネジメントのITIL・SLA・SLM、攻撃対策やアクセス管理は基本情報の情報セキュリティ対策とつなげると、監査だけを丸暗記するより理解しやすいです。
監査人の独立性
システム監査で最も狙われやすい考え方の一つが、監査人の独立性です。監査人は、監査対象のシステムを作った本人や、日常的に運用している担当者と同じ立場ではいけません。自分で作った仕組みを自分で監査すると、問題を見落としたり、都合の悪い事実を軽く扱ったりするおそれがあるからです。基本情報の選択肢では、「監査対象部門の責任者が監査結果を自由に修正する」「監査人が改善策を実装する」など、独立性を崩す表現が混ざることがあります。
独立性には、組織上の独立と精神上の独立があります。組織上の独立は、監査人が監査対象部門から指揮命令を受けないことです。精神上の独立は、利害関係や遠慮に左右されず、公正に判断できることです。試験ではここまで細かい言葉を問うより、「監査人は客観的に評価する立場」「監査対象の業務を直接担当しない」という理解で十分に対応できます。
| 立場 | 基本情報での見方 |
|---|---|
| 監査人 | 独立した立場で評価し、改善提案を行う |
| 監査対象部門 | 資料や証拠を提示し、指摘事項を改善する |
| 経営層 | 監査結果を受けて方針や体制を見直す |
選択肢を読むときは、「誰が評価するのか」「誰が実行するのか」を分けてください。監査人が改善案を出すことはありますが、改善作業を自分で実施してしまうと、次にその改善結果を監査するときの客観性が弱くなります。この区別ができると、監査人の役割を問う問題でかなり安定します。
監査計画とリスク
システム監査は、思いついた順に点検するのではなく、監査計画を立てて進めます。監査計画では、監査の目的、対象範囲、実施時期、監査手続き、必要な資料、担当者などを決めます。基本情報では、監査計画を「何をどこまで確認するかを先に決めるもの」と押さえれば十分です。とくに重要なのは、リスクの大きいところから優先して監査するという考え方です。
たとえば、顧客情報を扱うシステム、売上や請求に関わるシステム、長時間停止すると業務に大きな影響が出るシステムは、リスクが高いと考えられます。逆に、影響範囲が小さい補助的なシステムは、同じ労力をかける優先度が下がるかもしれません。監査資源は無限ではないため、リスクに応じて重点を置く範囲を決めるのが合理的です。
- 監査目的が明確になっているか
- 対象システムと対象期間が決まっているか
- 重要リスクを優先しているか
- 必要な監査証拠を集められる計画か
選択肢では、「すべてのシステムを同じ深さで監査する」「リスクを考慮せず無作為に対象を決める」といった表現に注意します。無作為抽出そのものが使われる場面はありますが、監査計画全体の優先順位をリスク抜きで決めるのは不自然です。リスク、重要性、影響度という言葉が出てきたら、監査計画の考え方と結び付けて読みましょう。
監査証拠と調書
監査証拠とは、監査人が判断の根拠にする資料や記録のことです。システム監査では、ログ、設定一覧、アクセス権限表、バックアップ記録、障害対応記録、変更申請書、承認履歴、運用手順書などが監査証拠になります。監査人は、これらを見て「統制が設計どおりに存在するか」「実際に運用されているか」を確認します。単に担当者へ聞いただけでは弱く、記録や証跡で裏付けることが大切です。
監査調書は、監査の過程、入手した証拠、判断の根拠、指摘事項などを記録したものです。あとから監査結果を説明したり、別の人が監査の妥当性を確認したりするために必要になります。基本情報では、監査調書を「監査人が作成し、監査結果の根拠を残す記録」と覚えておくと十分です。監査対象部門が都合よく修正できるものではありません。
「記録が残っているか」「承認者が分かるか」「変更前後を追えるか」を見ると、監査証拠や監査証跡の問題を判断しやすくなります。
監査証跡という言葉も重要です。これは、システム上の処理や操作をあとから追跡できる記録のことです。誰が、いつ、何を変更したのかが分かるログが残っていれば、不正や誤操作が起きたときに原因を調べやすくなります。監査証跡がないと、問題が起きても検証できず、内部統制も弱くなります。ログは単なる技術用語ではなく、監査の根拠になる記録として理解してください。
報告とフォローアップ
システム監査は、報告書を出して終わりではありません。監査で見つかった問題を関係者へ報告し、改善計画を立て、実際に改善されたかをフォローアップします。基本情報では、監査報告の目的を「欠点を責めること」ではなく、「経営や業務の改善に役立てること」と理解しておくと選択肢を読みやすくなります。監査報告書には、監査目的、対象範囲、実施した手続き、発見事項、改善提案などが整理されます。
フォローアップでは、指摘事項が放置されていないかを確認します。たとえば、アクセス権限の棚卸しが行われていないという指摘があった場合、権限一覧が見直され、不要な権限が削除され、定期点検の手順が決まったかを確認します。ここで大切なのは、監査人が改善作業を代行するのではなく、改善の実施状況を確認する立場だという点です。
マネジメント系全体の暗記が不安な場合は、基本情報技術者試験マネジメント系の攻略法と一緒に復習すると、監査、プロジェクト管理、サービス管理の位置づけが整理できます。システム監査は単独テーマとして覚えるより、運用と改善の流れの中で見る方が定着しやすいです。
基本情報で内部統制を解くコツ
内部統制の目的
内部統制は、組織が目的を達成するために、業務を正しく安全に進める仕組みです。基本情報では、財務報告だけに限定して覚えるより、情報システムを使う業務全体で「ミスを減らす」「不正を防ぐ」「法令やルールを守る」「業務を効率よく進める」仕組みと理解する方が使いやすいです。システム監査が外から評価する活動だとすれば、内部統制は組織の中にあらかじめ組み込む予防・発見・是正の仕組みです。
たとえば、重要なデータを一人だけで登録・承認・削除できる状態は、内部統制が弱い例です。入力ミスや不正が起きても止めにくく、あとから原因を追うのも難しくなります。そこで、入力者と承認者を分ける、変更履歴を残す、定期的に権限を見直す、バックアップを確認する、といった統制を置きます。これらはシステム監査で確認される対象にもなります。
| 目的 | ITでの例 |
|---|---|
| 業務の有効性 | 承認フローを整えて処理漏れを減らす |
| 情報の信頼性 | 入力チェックや変更履歴で誤りを追えるようにする |
| 法令遵守 | 個人情報や契約データの取扱いを制限する |
| 資産の保全 | 権限管理やバックアップでデータを守る |
選択肢では、内部統制を「監査人だけが作るもの」とする表現に注意します。内部統制を整備して運用する主体は組織の経営者や業務部門です。監査人は、その内部統制が適切に設計・運用されているかを評価する立場です。この違いをつかむと、システム監査と内部統制の関係が一気に整理できます。
職務分掌の考え方
職務分掌とは、同じ人に権限や作業を集中させすぎないように、役割を分けることです。基本情報の内部統制では、かなり重要な考え方です。たとえば、購入申請、承認、発注、検収、支払いを一人で全部できると、不正な取引を作っても発見されにくくなります。そこで、申請する人、承認する人、支払う人、記録を確認する人を分け、互いにチェックが働くようにします。
情報システムでは、開発担当者が本番環境へ自由に反映できないようにする、運用担当者がログを自由に削除できないようにする、利用者が自分の権限を自分で増やせないようにする、といった形で職務分掌を実現します。これは不正を疑うためだけではなく、うっかりミスを減らすためにも有効です。チェックする人が別にいると、誤った設定や不自然な操作に気づきやすくなります。
- 申請者と承認者を分ける
- 開発環境と本番環境の権限を分ける
- ログを残す人と確認する人を分ける
- 権限付与と権限点検を別の担当にする
問題文で「一人の担当者がすべての処理を行う」「承認なしで本番変更できる」「ログを本人が削除できる」といった表現があれば、職務分掌や内部統制の弱さを疑ってください。逆に、承認、記録、定期点検、権限分離が出てくる選択肢は、内部統制を強める方向の表現です。ここは言葉を丸暗記するより、危ない状態をイメージできるようにするのが近道です。
IT統制とITガバナンス
IT統制は、情報システムを正しく安全に使うための具体的な管理策です。アクセス制御、バックアップ、変更管理、障害管理、ログ管理、運用手順の整備などが含まれます。内部統制の中でも、ITに関係する仕組みを見ていると考えると分かりやすいです。基本情報では、「IT統制は情報システムに関する統制」と押さえ、具体例として権限管理や変更管理を思い出せれば対応できます。
一方、ITガバナンスは、経営がITをどの方向に使うかを決め、投資やリスクを管理する仕組みです。現場の設定作業というより、経営戦略とITを結び付ける考え方です。たとえば、どの業務にシステム投資をするのか、情報セキュリティリスクをどこまで許容するのか、ITの成果をどう評価するのか、といったテーマがITガバナンスに近いです。
試験では、ITガバナンスを単なるセキュリティ対策と混同させる選択肢が出ることがあります。ウイルス対策ソフトの導入やアクセス権限の設定はIT統制の具体例として読みやすいですが、経営目標に合わせてIT投資を評価する、ITリスクを組織全体で管理する、といった表現はITガバナンスに寄ります。どの階層の話かを見るのがコツです。
法令遵守と改善
内部統制やシステム監査は、法令遵守とも深く関係します。個人情報保護、著作権、契約、会計、労務など、システムが扱うデータには多くのルールが関わります。基本情報では、法律名の細かい条文よりも、「組織が守るべきルールに沿って情報システムを運用する」「違反や事故を防ぐために統制を置く」という考え方が問われやすいです。ルールを作るだけでなく、実際に守られているかを確認するところまでが重要です。
たとえば、退職者のアカウントが残っている、個人情報を扱う画面に不要な担当者がアクセスできる、契約上保存してはいけないデータを残している、といった状態はコンプライアンス上のリスクになります。内部統制では、権限棚卸し、アクセスログ確認、データ保存期間の管理、承認フローの整備などによって、ルール違反を起こしにくくします。システム監査では、これらの仕組みが実際に機能しているかを確認します。
「ルールを決めたから十分」ではなく、「記録されているか」「承認されているか」「定期的に見直しているか」まで書かれている選択肢が強いです。
改善の流れも忘れないでください。監査で問題が見つかったら、原因を整理し、対策を決め、期限と責任者を明確にし、実施状況を確認します。これはPDCAに近い発想です。内部統制は一度作って終わりではなく、業務やシステムの変化に合わせて見直します。新しいクラウドサービスを導入した、外部委託が増えた、個人情報の扱いが変わった、といった場合は統制の見直しが必要になります。
まとめ
基本情報のシステム監査と内部統制は、難しい言葉が多いわりに、問われる軸はかなり決まっています。システム監査は「独立した立場で評価し、改善につなげる活動」、内部統制は「組織の中でミスや不正を防ぎ、業務を正しく進める仕組み」です。この2つの関係を押さえるだけでも、選択肢の読み間違いはかなり減ります。
特に覚えておきたいのは、監査人の独立性、監査証拠、監査証跡、職務分掌、IT統制、ITガバナンスです。これらは単語単体で暗記するより、「誰が何をするのか」「記録が残るのか」「権限が分かれているのか」「経営の視点なのか現場の管理策なのか」という観点で整理すると実戦向きです。問題文の表現が少し変わっても、判断の軸が残ります。
- 監査人は評価と改善提案を行う
- 内部統制は組織が整備し運用する
- 職務分掌は権限集中を避ける仕組み
- 監査証跡は操作や変更を追跡する記録
暗記が苦手な人は、まず「危ない状態」を考えてみてください。一人が全部できる、ログが残らない、承認がない、退職者の権限が残る、監査対象者が自分で監査する。このような状態を避けるために、内部統制やシステム監査があります。仕組みの目的が見えると、基本情報のマネジメント系はかなり得点源にしやすくなります。
用語を覚えたら問題で確認
システム監査や内部統制は、選択肢の言い換えに慣れると得点しやすい分野です。まずは短い問題で判断軸を試してみましょう。
コメント