問題
問33
システム監査報告書に関する記述として、最も適切なものはどれか。
- 監査報告書は、監査人個人の意見を表明するものであり、組織としての承認は不要である。
- 監査で発見した事実、それに基づく結論、および改善提案などを記載し、経営者などに報告する。
- 指摘事項に対する改善策は、被監査部門が策定するため、監査報告書に記載する必要はない。
- 監査報告書の提出先は、被監査部門の責任者に限定される。
正解
正解は「イ」です。
解説
正解は「監査で発見した事実、それに基づく結論、および改善提案などを記載し、経営者などに報告する。」です システム監査報告書は、システム監査の最終成果物であり、非常に重要な文書です。監査人が監査活動を通じて発見した客観的な事実(証拠に基づいた事実)をまず記載します。そして、その事実から導き出される評価や判断(結論)を述べます。
例えば、「サーバ室の入退室記録がつけられていない(事実)」→「情報資産が不正に持ち出されるリスクがある(結論)」といった形です。さらに、監査は問題点を指摘するだけでなく、その問題を解決するための改善提案まで行うことが一般的です。これらの内容をまとめた監査報告書は、最終的に経営者や監査を依頼した部門の責任者など、組織の意思決定を行う立場の人々に報告され、今後の改善活動に役立てられます。健康診断の結果報告書が、ただ検査結果を載せるだけでなく、医師の所見や「生活習慣を改善しましょう」といったアドバイスまで書かれているのと同じです
ア(監査報告書は、監査人個人の意見を表明するもの…):
監査報告書は監査人の個人的な意見ではなく、監査チームや監査部門といった組織としての公式な見解を示すものであり、適切な承認プロセスが必要です
ウ(指摘事項に対する改善策は、被監査部門が策定するため…):
改善策は最終的に被監査部門が策定・実行しますが、監査報告書には監査人の立場からの改善「提案」を記載することが求められます
エ(監査報告書の提出先は、被監査部門の責任者に限定される。):
提出先は被監査部門だけでなく、経営者や取締役会など、より上位の意思決定層にも報告されるのが一般的です
解法のポイント
システム監査報告書の役割と記載内容を正しく理解しているかが問われる問題です。ポイントは、監査報告書が「監査活動の集大成」であるということです。そのため、単なる事実の羅列ではなく、そこから導かれる「結論」や、今後どうすべきかという「改善提案」まで含んだ、具体的で建設的な内容であることが求められますまた、その報告は、現場の担当者だけでなく、組織全体の方針を決定する「経営者」の判断材料となる重要な情報であるという点も押さえておきましょう。これらのポイントを踏まえると、選択肢イが最も監査報告書の本質を捉えた記述であることがわかります。
用語補足
システム監査報告書:
システム監査の結果をまとめた公式な文書です監査の目的、範囲、発見事項、結論、改善提案などが記載されます。学校の成績表のように、評価とその理由、今後の課題などが書かれています。
監査証拠:
監査人が監査意見を表明するための根拠となる情報のことです。ヒアリングの記録、設定ファイルのコピー、各種ログなどが含まれます。裁判における証拠と同じで、客観的な事実を示すものでなければなりません。
被監査部門:
監査を受ける側の部門や組織のことです。監査人は、この被監査部門の業務やシステムをチェックします。
指摘事項:
監査の結果、問題点や改善が必要だと判断された事柄のことです。監査報告書に記載され、被監査部門に対応が求められます。
