基本情報技術者試験「内部監査」の問題
K社ではISMSの内部監査を実施するにあたり、監査員の人選を検討している。監査対象には情報システム部の運用業務が含まれる。内部監査の客観性を確保するための監査員の選び方として、最も適切なものはどれか。
ア対象業務に最も精通した情報システム部の運用担当者本人を充てる。
イ運用担当者の直属の上司を監査員とし、部門の中で完結させる。
ウ監査の負担を避けるため、外部委託先の運用担当者を充てる。
エ自部門の業務を対象に含まない、立場の離れた社員を充てる。
正解
エ.自部門の業務を対象に含まない、立場の離れた社員を充てる。
内部監査の信頼性は、監査員が監査対象から独立し客観的であることに支えられる。監査員が自分自身や自部門の業務を監査すると評価が甘くなりがちである。被監査部門に属さない独立した立場の者を選べば、利害から離れて公正に適合性を判断できる。
?選択肢ごとの解説
ア ×運用担当者自身が自らの業務を監査するのは自己監査であり、客観性が確保できず内部監査の独立性の原則に反する。
イ ×直属の上司も同じ部門の利害関係者であり、部門内で完結する監査では身内に甘い評価となり客観性を欠く。
ウ ×外部委託先の運用担当者は当該業務の利害関係者であるうえ、内部監査は組織内部の独立した者が行うべきで、適任とはいえない。
エ ○内部監査の信頼性は、監査員が監査対象から独立し客観的であることに支えられる。監査員が自分自身や自部門の業務を監査すると評価が甘くなりがちである。被監査部門に属さない独立した立場の者を選べば、利害から離れて公正に適合性を判断できる。
✎くわしく
内部監査の二大要件は『独立性(被監査部門から離れていること)』と『客観性(事実に基づき公正に判断すること)』である。監査員が自業務を監査しないという原則は、これらを担保する具体的なルールであり、監査結果の信頼性の根幹をなす。
✓本番での押さえどころ
試験のコツ
内部監査員は『自分の業務・自部門を監査しない』独立した立場が原則。当事者・直属上司は客観性を欠き不可。
覚え方
監査は『自分の答案を自分で採点しない』。別の独立した人が見るから公正になる。
よくある誤り
『業務に詳しい人ほど良い監査ができる』と考え、被監査部門の当事者を監査員に選んでしまい独立性を損なう。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0143