情報セキュリティ

基本情報技術者試験内部監査」の問題

情報セキュリティ情報セキュリティ難易度:normal
K社ではISMSの内部監査を実施するにあたり、監査員の人選を検討している。監査対象には情報システム部の運用業務が含まれる。内部監査の客観性を確保するための監査員の選び方として、最も適切なものはどれか。
対象業務に最も精通した情報システム部の運用担当者本人を充てる。
運用担当者の直属の上司を監査員とし、部門の中で完結させる。
監査の負担を避けるため、外部委託先の運用担当者を充てる。
自部門の業務を対象に含まない、立場の離れた社員を充てる。
正解
自部門の業務を対象に含まない、立場の離れた社員を充てる。

内部監査の信頼性は、監査員が監査対象から独立し客観的であることに支えられる。監査員が自分自身や自部門の業務を監査すると評価が甘くなりがちである。被監査部門に属さない独立した立場の者を選べば、利害から離れて公正に適合性を判断できる。

?選択肢ごとの解説

ア ×運用担当者自身が自らの業務を監査するのは自己監査であり、客観性が確保できず内部監査の独立性の原則に反する。
イ ×直属の上司も同じ部門の利害関係者であり、部門内で完結する監査では身内に甘い評価となり客観性を欠く。
ウ ×外部委託先の運用担当者は当該業務の利害関係者であるうえ、内部監査は組織内部の独立した者が行うべきで、適任とはいえない。
エ ○内部監査の信頼性は、監査員が監査対象から独立し客観的であることに支えられる。監査員が自分自身や自部門の業務を監査すると評価が甘くなりがちである。被監査部門に属さない独立した立場の者を選べば、利害から離れて公正に適合性を判断できる。

くわしく

内部監査の二大要件は『独立性(被監査部門から離れていること)』と『客観性(事実に基づき公正に判断すること)』である。監査員が自業務を監査しないという原則は、これらを担保する具体的なルールであり、監査結果の信頼性の根幹をなす。

本番での押さえどころ

試験のコツ

内部監査員は『自分の業務・自部門を監査しない』独立した立場が原則。当事者・直属上司は客観性を欠き不可。

覚え方

監査は『自分の答案を自分で採点しない』。別の独立した人が見るから公正になる。

よくある誤り

『業務に詳しい人ほど良い監査ができる』と考え、被監査部門の当事者を監査員に選んでしまい独立性を損なう。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0143

【基本情報技術者試験】内部監査の問題 — 解答・解説|ukamiru 過去問