システム監査基準(平成 30 年)における、改善提案のフォローアップに関する記述のうち、最も適切なものはどれか。
  1. 監査対象部門と改善責任部門がともに改善を実施しないという意思決定を行った場合は、システム監査人が代わって改善を実施する。
  2. 監査対象部門と改善責任部門によって実施された改善策が不十分な場合は、システム監査人が経営陣に追加の改善策の実施を指示する。
  3. 監査報告書の中で指摘事項とされたかどうかにかかわらず、監査調書に記載された全ての不備に対して、改善実施状況のフォローアップを実施する必要がある。
  4. システム監査人は、監査対象部門が提出した改善実施状況報告書の確認に加え、改善内容の追加的な検証が必要かどうかを検討する。

出典:令和2年度 システム監査技術者試験 午前2 問7




正解:エ
経済産業省のシステム監査基準にて記載されている「改善提案(および改善計画)のフォローアップ」についての問題です。

「フォローアップ」は監査報告書で指摘された不備に対し、改善が適切かつ計画通りに行われているかを確認し、必要に応じて追加検証を行うための活動です。

回答ア:
誤りです。システム監査人が直接改善を行うことはなく、その責任もありません。

回答イ:
誤りです。改善策が不十分であった場合、経営陣に報告することがありますが、実施を指示することはありません。

回答ウ:
誤りです。監査報告書の改善提案を対象に改善状況をモニタリングします。

回答エ:
正しい記述です。改善内容の妥当性、改善体制、改善の進捗を確認し、指摘事項の重大性等を勘案して追加の検証を検討することがあります。


出典:https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf
休日プログラマー