基本情報技術者試験 平成31年度 春期 午前 問58
システムの監査、インタビューの方法に関しての問題。
--------------------------
平成31年度 春期 午前 問58
システム監査人がインタビュー実施後にすべきことのうち、最も適切なものはどれか。
ア
インタビューで監査対象部門から得た情報を裏付けるための文書や記録を入手するよう努める。
イ
インタビューの中で気が付いた不備事項について、その場で監査対象部門に改善を指示する。
ウ
監査対象部門内の監査業務を経験したことのある管理者をインタビューの対象者として選ぶ。
エ
複数の監査人でインタビューを行うと記録内容に相違が出ることがあるので、1人の監査人が行う。
--------------------------
解説
システムの監査について。
監査とはざっくりと、決められた規則にちゃんとしたがって日々の業務が遂行されているかを確認すること。
- 決められた手順で作業している?証拠になる作業記録は残してる?
- 管理表は正しい頻度で更新している?更新の承認は誰がしている?押印ある?
- 決められた書類はちゃんと作っている?じゃあこの資料見せて?
- 社外にデータや資産を持ち出すときのルールは?
- 障害が起きた時の対応ルールは?記録はどうやって残している?
といった質問が一日中続く。
ISO9001 認証などを取得している場合、定期的に社外の機関による監査を受けないと認証が更新できなくなってしまう。
IT の分野でよく聞く認証は品質に関わる QMS(ISO9001)と、情報セキュリティに関わる ISMS(ISO27001)。
QMS:Quality Management System(品質マネジメントシステム)
ISMS:Information Security Management System(情報セキュリティマネジメントシステム)
ちなみに ISO は International Organization for Standardization(国際標準化機構)の頭文字ではないとのこと。ギリシア語らしい。知らなかった。
監査を受けたこともしたこともあるけど、どちらも非常に大変。
監査に関わると社内の規則にすごい詳しくなる。
そして何か分からなかったらあいつに聞けとなっていく。
自分で調べなさい。
さて、この問題は監査のインタビューを実施した後にやることは何か?というもの。
なのに選択肢のウとエはインタビューそのもののやり方について書いているので、すぐに除外できる。聞かれているのはインタビューした“後"のこと。
ちなみに選択肢の内容も適切とは言えない。
選択肢ウ「監査対象部門内の監査業務を経験したことのある管理者をインタビューの対象者として選ぶ。」
わざわざ監査の経験者を選ぶことはしない。
上に書いたように監査に関わると嫌でも規則に詳しくなる。
インタビューの目的は実態として規則通りにできているか、規則が会社全体に周知されているかを確認することなので、特別詳しい人を対象者(=確認のサンプル)にしてしまっては意味がない。
選択肢エ「複数の監査人でインタビューを行うと記録内容に相違が出ることがあるので、1人の監査人が行う。」
むしろ相違があるほうが良い。
捉え方が複数あるような曖昧な回答だった可能性があることになるので、詳細に正しく確認するためのきっかけになる。
監査の結果次第では認証取り消しもあり得るので、複数の視点で確認して誤認の可能性は減らすべき。
あと、一人でやると負担が半端ない。
選択肢イ「インタビューの中で気が付いた不備事項について、その場で監査対象部門に改善を指示する。」
監査の改善指示があった場合、監査対象部門は改善の計画や経過、実施結果を報告することになる。
なので、気付いた不備が本当に不備事項となるか裏をとり、文書として正式に改善指示をするべき。
裏をとらず "その場で" 改善指示はしない方がいい。
選択肢ア「インタビューで監査対象部門から得た情報を裏付けるための文書や記録を入手するよう努める。」
選択肢イと反対に、ちゃんと裏をとっているので、インタビュー実施後の行動として適切。
ということで正解は選択肢ア。
前後の問題はこちら。