カテゴリ:9.マネジメント > 9.3 システム監査

1.システム監査とは
システム監査は、独立した立場のシステム監査人が,情報システムに対するリスク対応が適切に整備・運用されているかを監査します。参考ですが、監査には公認会計士が行う会計監査や、企業の監査役が行う業務監査もあります。
システム監査というのはイメージしにくいのですが、ざっくりと言うと、システムが適切かどうかをチェックすることです。人間で言うと、医師が実施する患者への健康診断のようなものです。
システムを監査する人がシステム監査人で、監査をされる側は被監査部門と言います。システム監査を行う際に重要なのが、被監査部門からの「独立性」です。たとえば、同じ組織の人が監査をすれば、重大な問題を発見したとしても、指摘をするのをためらう可能性があるからです。

システム監査について、IPAのシステム監査技術者試験の資料には次のように述べられています。
システム監査は、監査対象から独立した監査人が、情報システムを信頼性、安全性及び効率性の観点から総合的に点検・評価し、関係者に助言・勧告するものであり、コンピュータ・セキュリティの確保とシステムの有効活用を図る上で極めて有効な手段であり、情報化社会の健全化に大きく貢献するものである。
(https://www.jitec.ipa.go.jp/1_11seido/s44_h6har/old_au.htmlより)

ポイントの一つは、「監査対象から独立した」という点です。独立した監査人が、客観的にシステムを評価します。
独立性には次の2つがあります。
(1)外観上の独立性
(システム監査基準2.1を参照)
システム監査を客観的に実施するために、監査対象から独立していなければならない。
(2)精神上の独立性
(システム監査基準2.2を参照)
偏向を排し、常に公正かつ客観的に監査判断を行う。
kansa 
システム監査人は,助言をする立場であり、対策方針を決定したり、改善命令を出すことなどの権限はありません。医者が患者に対し、手術を強制することができないのと同じです。しかし、システム管理者や関係部署に対し、監査の実施への協力要請はできます。

2.「信頼性」「安全性」「効率性」
「信頼性」「安全性」「効率性」という3つのキーワードを覚えましょう。
それぞれの言葉の意味に関しては、旧システム監査基準より引用します。
(3) 信頼性・・・・・・・情報システムの品質並びに障害の発生、影響範囲及び回復の度合
(4) 安全性・・・・・・・情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合
(5) 効率性・・・・・・・情報システムの資源の活用及び費用対効果の度合

例を挙げます。安全性という観点で、不正アクセスが発生しないように、アクセスログを取得するという統制(コントロールという)が適切にとられているかを監査します。

3.(参考)
H19午後1問4に、システム監査の具体例が表にまとめられているので掲載します。具体例を見ることでイメージがわきやすくなると思います。ただ、監査目的などは、この事例に限ってのことなので、あくまでもイメージとして考えてください。

表2 監査の概要
項目内容
(1)監査目的システム開発部で実施しているデータ修正業務が、定められた手順に従って行われ、不正や操作ミスなどが発生していないかどうかを確認する。
(2)監査対象部門システム企画部システム開発部
(3)監査手続システム企画部が作成した“システム保守運用基準書”に記載されているデータ修正の手順が、不正や操作ミスなどを防ぐ手続として有効かどうかについて、記載内容を確認する。データ修正が、“システム保守運用基準書”に従って行われているかどうかを確認する。具体的には、ユーザ部門によって作成された“データ修正依頼書”を入手し、ユーザ部門の責任者及びシステム開発部の責任者の事前承認が得られているかどうかを確認する。
(4)発見事項“システム保守運用基準書”には、緊急の場合のデータ修正のルールが記載されていない。また、部署名などが更新されていない箇所が散見された。“データ修正依頼書”に、ユーザ部門の責任者又はシステム開発部の責任者の承認印がないケースが多数見つかった。特に、緊急依頼の場合に承認印がないケース多い。
(5)改善勧告“システム保守運用基準書”に緊急の場合のデータ修正のルールが記載するとともに、記載内容を最新状態に保つことデータ修正を行う場合には、“システム保守運用基準書”に従って、事前にユーザ部門の責任者及びシステム開発部の責任者の承認を得ることを徹底すること

システム監査基準はとても重要です。 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の流れやを理解しましょう。

応用情報技術者シラバス
システム監査基準に関して次のように述べられています。
① システム監査基準
  システム監査における監査人の行動規範,手順,内容は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。

システム監査基準の概要
以下に概要を整理します。

Ⅰ.前文
・システム管理基準に準拠しているかどうかの視点を原則とする。
・情報セキュリティ監査基準と整合性を図る。

Ⅱ.システム監査の目的
・リスクコントロールが適切に整備、運用されているかを評価する。
・独立かつ専門的な立場のシステム監査人が実施

Ⅲ.一般基準(監査人としての適格性及び監査業務上の遵守事項を規定)
独立性、客観性、職業倫理

Ⅳ.実施基準(監査実施上の枠組みを規定)
1.監査計画を立案する必要がある。
2.監査の手順
監査計画に基づき、予備調査→本調査→評価・結論
3.監査の実施
3.1監査証拠の入手と評価
 監査結果を裏付ける十分かつ適切な監査証拠を入手する
3.2監査調書の作成と保存
 監査の結論に至った過程がわかるように秩序整然と記録する
4.監査業務の体制

Ⅴ.報告基準(監査報告に係る留意事項と報告書の記載方式を規定)
1.監査報告書の提出と開示
2.監査報告の根拠
合理的な根拠に基づく必要がある。
3.監査報告書の記載事項
 監査の対象、監査の概要、保証意見又は助言意見、
 制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項
 
5.監査報告に基づく改善指導(フォローアップ)
監査結果に基づいて所要の
措置が講じられるように、適切な指導性を発揮する。

システム監査基準(全文)
平成16年10月8日改訂 ※経済産業書が発表したもの
    Ⅰ.前文
     今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
     組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

     ・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
     ・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
     ・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
     ・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

     システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
     システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。

     システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。

     システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。

    Ⅱ.システム監査の目的
     システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。


    Ⅲ.一般基準
    1.目的、権限と責任
     システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。

    2.独立性、客観性と職業倫理
    2.1 外観上の独立性
     システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

    2.2 精神上の独立性
     システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

    2.3 職業倫理と誠実性
     システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

    3.専門能力
     システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

    4.業務上の義務
    4.1 注意義務
     システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。

    4.2 守秘義務
     システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。

    5.品質管理
     システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

    Ⅳ.実施基準
    1.監査計画の立案
     システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。

    2.監査の手順
     システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。

    3.監査の実施
    3.1 監査証拠の入手と評価
     システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。

     3.2 監査調書の作成と保存
    システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。

    4.監査業務の体制
     システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。

    5.他の専門職の利用
     システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。

    6.情報セキュリティ監査
    情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。


    Ⅴ.報告基準
    1.監査報告書の提出と開示
     システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。

    2.監査報告の根拠
     システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。

    3.監査報告書の記載事項
     監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。

    4.監査報告についての責任
     システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

    5.監査報告に基づく改善指導(フォローアップ)
     システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。

    システム監査の流れをザックリ言うと、以下になります。
    ①予備調査
     被監査部門への協力要請などの監査の実施準備をした後、予備調査を行います。予備調査では、 被監査部門から事前に入手した資料を閲覧して,監査対象の実態を把握します。
    ②本調査
    現状把握の結果を踏まえ、どのように監査を実施するのかという監査手続きを検討します。その後、本調査として実際の監査を行います。
    監査手続きを行う手法として、例えば以下があります。
    ・システム管理者にチェックリストを基に運用状況をヒアリング
    ・設計書や運用報告書などの資料の閲覧
    ・実態を知るために、現場に出向いて実機設定やログなどを観察 
    ③監査報告
    監査を行った結果の総合評価や、指摘事項、改善勧告などの監査意見をまとめます。その結果を踏まえ、システム監査人は、監査報告書を作成し、監査の依頼者に提出します。監査報告書には、指摘事項や改善勧告を含みます。
    ④フォローアップ
    一定期間後に改善勧告に対する実施状況を確認し、改善指導を行います。

    では、試験センターが発表するシラバスを基に、「システム監査の実施」について具体的に述べます。

    ■2-1 実施準備
    ・個別計画書の再確認
    ・被監査部門への協力要請

    ■2-2 予備調査
    (1)関連資料の収集、インタビューなどによる情報収集
    30c7ee19
    なぜこんな面倒なことをするの?

    いきなり本調査してはいけないのですか?


    医者1
    それは非効率です。
    病院でも患者さんに問診票を書いてもらいますよね。

    問診票があれば、どこが悪いかをある程度把握できますが、ないとすれば顔、目、耳、鼻、手、足、肺、心臓などと全てを順番に検査するという非効率な検査になります。
    具体的には、文書の収集やインタビュー、チェックリスト(問診票のようなもの)の記入依頼と回収などを行います。

    (2)現状把握
      収集した情報を基に、現状の問題点を把握します。

    ■2-3 監査手続書の作成現状把握の結果を踏まえて、具体的な監査手続を検討し、監査手順書を作成します。

    ■2-4 本調査
     (1)現地調査
     (2)インタビュー
     (3)ドキュメントレビュー
     (4)その他のシステム監査技法
      システム監査技法には長所・短所があるので、状況に応じた監査技法を活用します。

    kansa 
    ■2-5 実施結果の記録(監査調書の作成)監査を行った都度(=監査手続きを行った都度)、その内容を記録します。
    これが監査調書(Working Paper)になります。

    ■2-6 監査意見の明確化(監査判断の形成)総合評価、指摘事項、改善勧告の原案をまとめます。

    ■2-7 評価・結論の総合検討

    ■2-8 監査報告書案の作成監査の結果を定められた様式で取りまとめます。
    あくまでも「案」です。

    1.内部統制とは
    内部統制の反対は何でしょう。・・・外部統制です。
    外部統制は、外部(法律や行政指導)による統制ですが、内部統制は自ら統制する活動です。

    金融庁のサイトから定義を引用します。
    1.内部統制の定義
     内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。

    http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf より引用)

    c0c762ed 

    よくわかりませんね
    かなりざっくりですが、内部統制とは、不正が無いように、きちんとしたチェック体制を取ることと考えておけばいいでしょう。

    2.内部統制とJ-SOX法
    内部統制はこれまで、法的に義務付けられていませんでした。しかし、大手上場企業の不正が発覚したことにより、アメリカのSOX法サーベンス・オクスリー法)を参考にJ-SOX法金融商品取引法の一部)が2008年度決算から適用されました。
    過去問では、「2008年4月1日以後に開始する事業年度からは,財務報告の信頼性の確保を目的に,上場会社に対して内部統制報告書の作成が義務付けられた(H23年秋SC_PM1より)」とあります。

    過去問(H26年IP秋問43)を見てみましょう
    内部統制の整備と運用に関する基本方針に基づいて,内部統制を整備,運用する役割と責任を有している人又は組織として,適切なものはどれか。
    ア 監査役
    イ 経営者
    ウ 取締役会
    エ 内部監査人
    正解はイの経営者です。内部統制報告書も、経営者が責任をもって評価し、報告書を内閣総理大臣に提出する必要があります。

    3.内部統制の実現方法
    応用情報技術者シラバスには、内部統制に関して次のように述べられています。

    (1)内部統制
    内部統制とは,健全かつ効率的な組織運営のための体制を企業などが自ら構築し運用する仕組みであり,実現には業務プロセスの明確化,職務分掌,実施ルールの設定,チェック体制の確立が必要であることを理解する。

    ここにありますように、「業務プロセスの明確化」「職務分掌」「実施ルールの設定」「チェック体制の確立」などが必要です。
    職務分掌に関しては、難しい言葉なので、過去問から言葉を引用します。過去問(H27年春IP問33)では、職務分掌に関して、「内部統制の観点から,担当者間で相互けん制を働かせることで,業務における不正や誤りが発生するリスクを減らすために,担当者の役割を決めること」と述べられています。
    このとき、役割を明確にするだけでなく、実施者とチェック者を分けることが大事です。そうすれば、チェック体制が確立できます。

    過去問(H26年春AP午前)を見てみましょう。
    問60 営業債権管理業務に関する内部統制のうち,適切なものはどれか。
    ア 売掛金回収条件の設定は,営業部門ではなく,審査部門が行っている。
    イ 売掛金の消込み入力と承認処理は,販売を担当した営業部門が行っている。
    ウ 顧客ごとの与信限度の決定は,審査部門ではなく,営業部門の責任者が行ってい
     る。
    エ 値引き又は割戻しの処理は,取引先の実態を熟知している営業部門の担当者が行
     っている。
    正解はアです。ポイントは、営業部門ではなく,審査部門という他部門がチェックを行っていることです。イ、ウ、エのように、自部門でチェックを行えば、不正を隠す可能性があります。

    4.内部統制の6つの基本的要素
    内部統制の定義にありますように、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング(監視活動)」「IT(情報技術)への対応」が内部統制における基本要素です。

    細かく理解をする必要はありません。イメージだけつかんでおけば十分です。たとえば、「統制活動」の一つに、先ほど述べた「職務分掌」が含まれています。

    5.ITへの対応
    (1)概要
    先の6つ目にある「ITへの対応」に関しては、重要なので補足します。
    「財務報告に係る内部統制の評価及び監査の基準のあり方について」の資料(http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf)には、次の記載があります。
    (6) ITへの対応
    ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
    ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
    ITへの対応は、IT環境への対応とITの利用及び統制からなる。

    (2)IT統制
    「ITへの対応は、IT環境への対応とITの利用及び統制からなる。」とありました。この中のIT統制に関して、もう少し詳しく解説します。
    まず、IT統制は、IT全社的統制、IT全般統制、IT業務処理統制の3つに分けられます。
    「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」を詳しく見ましょう。
    http://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_ZaimuHoukokuNiKakaruITTouseiGuidance.pdf

    この資料には、IT統制に関して以下の記載があります。
    ----------------------------------------
    IT 業務処理統制は、アプリケーション・システムにおいて処理される財務情報の信頼性に直接係ることになる。また、IT 基盤が、これらのアプリケーション・システムが稼動するために必要な情報システムのサポートを行う。このIT 基盤におけるIT 業務処理統制が有効に機能する環境を保証するための統制活動がIT 全般統制であり、財務情報に係る信頼性の基礎となる。さらに、アプリケーション・システムとIT 基盤全体を計画性と整合性を伴って統制する役割を持つのが、IT 全社的統制である。IT 全社的統制は、組織におけるIT 全体に係るものであり、IT 全般統制とIT 業務処理統制の基盤となる。これらの関係を図表Ⅱ.1-3に示す。
    ----------------------------------------

    図表Ⅱ.1-3は以下です。
    it

    ではここで、過去問を見て見ましょう。
    ----------------------------------------
    ■H26春AU午前2
    問10 金融庁の“財務報告に係る内部統制の評価及び監査の基準”におけるIT業務処理統制に該当するものはどれか。
    ア 外部委託に関する契約の管理
    イ システムの運用管理
    ウ システムの開発・保守に係る管理
    エ 利用部門によるエラーデータの修正と再処理
    ----------------------------------------
    上の図を見れば明らかですね。IT業務処理統制に該当するのは、エです。それ以外のア、イ、ウは、IT全般統制に該当します。

    エディットバリデーションチェック(edit validation check) 「validation」は「検証」などの意味を持ちます。

    過去問(H27春AP午前問57)を見てみましょう。
    問57 インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
    ア 許可された担当者以外はログインできないことを試行する。
    イ 実際に例外データや異常データの入力を行う。
    ウ 入力原票の承認印を確認する。
    エ 入力対象データの件数とプルーフリスト上の合計件数を照合する。
    正解はイ


    過去問(H24秋AP午前問59)を見てみましょう。
    問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
    59
    ア アクセスコントロール
    イ エディットバリデーションチェツク
    ウ コントロールトータルチェツク
    エ プルーフリスト
    正解はイ

    ■H29春AP午前
    問58 システム監査人が監査報告書に記載する改善勧告に関する説明のうち,適切なものはどれか。
    ア 改善の実現可能性は考慮せず,監査人が改善の必要があると判断した事項だけを記載する。
    イ 監査証拠による裏付けの有無にかかわらず,監査人が改善の必要があると判断した事項を記載する。
    ウ 監査人が改善の必要があると判断した事項のうち,被監査部門の責任者が承認した事項だけを記載する。
    エ 調査結果に事実誤認がないことを被監査部門に確認した上で,監査人が改善の必要があると判断した事項を記載する。





    【正解】エ

    (H27秋AP午前問59,H25秋AP午前問59と同じ)
    問59 販売管理システムにおいて,起票された受注伝票の入力が,漏れなく,かつ,重複することなく実施されていることを確かめる監査手続として,適切なものはどれか。
    ア 受注データから値引取引データなどの例外取引データを抽出し,承認の記録を確かめる。
    イ 受注伝票の入力時に論理チェック及びフォーマットチェックが行われているか,テストデータ法で確かめる。
    ウ プルーフリストと受注伝票との照合が行われているか,プルーフリストと受注伝票上の照合印を確かめる。
    エ 並行シミュレーション法を用いて,受注伝票を処理するプログラムの論理の正確性を確かめる。





    【正解】ウ

    (H24春AP午前問60と同じ)
    問60 識別コード及びパスワードによるアクセスコントロール機能を情報システムに組み込むことによって,コントロールが可能なリスクはどれか。
    ア 通信上のデータの盗聴
    イ データの入力エラー
    ウ ハードウェアの物理的な破壊
    エ ファイル,データ内容の改ざん





    【正解】エ

    ■H28秋AP午前
    問58 システム監査人の役割と権限に関する記述のうち,適切なものはどれか。
    ア システム監査人によるシステム監査によって,法令による会計監査を代替できる。
    イ システム監査人は,システム管理者に対して監査の実施に協力するよう要請できる。
    ウ システム監査人は,情報セキュリティ方針を決定できる。
    エ システム監査人は,被監査部門に対して改善命令を出すことができる。





    【正解】イ

    問59 システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップとして,適切なものはどれか。
    ア 改善勧告に対する改善の実施を被監査部門の長に指示する。
    イ 改善勧告に対する被監査部門の改善実施状況を確認する。
    ウ 改善勧告に対する被監査部門の改善実施プロジェクトの管理を行う。
    エ 改善勧告の内容を被監査部門に示した上で改善実施計画を策定する。





    【正解】イ

    問60 金融庁の“財務報告に係る内部統制の評価及び監査に関する実施基準”における“ITへの対応”に関する記述のうち,適切なものはどれか。
    ア IT環境とは,企業内部に限られた範囲でのITの利用状況である。
    イ ITの統制は,ITに係る全般統制及びITに係る業務処理統制から或る。
    ウ ITの利用によって統制活動を自動化している場合,当該統制活動は有効であると評価される。
    エ ITを利用せず手作業だけで内部統制を運用している場合,直ちに内部統制の不備となる。





    【正解】イ

    ■H27秋AP午前
    問58 システム監査人が,予備調査において実施する作業として,“システム監査基準”に照らして適切なものはどれか。
    ア 監査テーマに基づいて,監査項目を設定し,監査手続を策定し,個別監査計画書に記載する。
    イ 経営トップにヒアリングを行い,経営戦略・方針,現在抱えている問題についての認識を確認し,監査テーマを設定する。
    ウ 個別監査計画を策定するために,監査スケジュールについて被監査部門と調整を図る。
    エ 被監査部門から事前に入手した資料を閲覧し,監査対象の実態を明確に把握する。





    【正解】エ

    (H26春AP午前問60,H24秋AP午前問60と同じ)
    問60 営業債権管理業務に関する内部統制のうち,適切なものはどれか。
    ア 売掛金回収条件の設定は,営業部門ではなく,審査部門が行っている。
    イ 売掛金の消込み入力と承認処理は,販売を担当した営業部門が行っている。
    ウ 顧客ごとの与信限度の決定は,審査部門ではなく,営業部門の責任者が行っている。
    エ 値引き又は割戻しの処理は,取引先の実態を熟知している営業部門の担当者が行っている。





    【正解】ア

    ■H27春AP午前
    問57 インプットコントロールの監査で,エディットバリデーションチェックが正 しく機能しているかどうかの検証方法として,適切なものはどれか。
    ア 許可された担当者以外はログインできないことを試行する。
    イ 実際に例外データや異常データの入力を行う。
    ウ 入力原票の承認印を確認する。
    エ 入力対象データの件数とプルーフリス ト上の合計件数を照合する。





    【正解】イ

    問58 業務データのバックアップが自動取得されている場合,日次バックア ップデータが継続的に取得されているかどうかをシステム監査人が検証する手続として,適切なものはどれか。
    ア バックアップジョブの再実施
    イ バックアップジョブの設定内容及びジョブの実行結果ログの閲覧
    ウ バックアップデータからのリカバリテストの実施
    エ バックアップ媒体やバックアップ装置の観察





    【正解】ウ

    問59 マスクファイル管理に関するシステム監査項目のうち,可用性に該当するものはどれか。
    ア マスクファイルが置かれているサーバを二重化し,耐障害性の向上を図っていること
    イ マスクファイルのデータを複数件まとめて検索・加工するための機能が,システムに盛り込まれていること
    ウ マスクファイルのメンテナンスは,特権アカウントを付与された者だけに 許されていること
    エ マスクファイルへのデータ入力チェック機能が,システムに盛り込まれて いること





    【正解】ア

    問60 事業継続計画(BCP)について監査を実施した結果,適切な状況と判断されるものはどれか。
    ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
    イ 重要書類は複製せずに1か所で集中保管している。
    ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している。
    エ 平時にはBCPを従業員に非公開 としている。





    【正解】ア

    ■H26秋AP午前
    問58 システム監査人による監査手法の適用方法として,適切なものはどれか。
    ア アンケート調査では,被監査部門 から要望が多かった項目を指摘事項 にする。
    イ 現場調査では,監査人が見た実態と被監査部門からの説明を総合的に判断して,監査証拠とする。
    ウ チェックリストを用いた調査では,被監査部門がチェックして記入した内容に限定して,監査意見を表明する。
    エ 文書確認調査では,未作成であった証冢を,調査が完了するまでに被監査 部門に作成させる。





    【正解】イ

    問59 外部委託に関するシステム監査において,経営破綻などによってソフトウェア資産のメンテナンスが受けられなくなる ことを防ぐために確認すべき契約項目はどれか。
    ア 開発したソフトウェアの瑕疵担保責任条項
    イ 外部委託先のサービスを評価するためのSLA条項
    ウ 責任の所在を明確にするためのソフトウェア開発の再委託禁止条項
    エ ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項





    【正解】エ

    問60 在庫管理システムを対象とするシステム監査において,当該システムに記録された在庫データの網羅性のチェックポイ ントとして,適切なものはどれか。
    ア 設定された選定基準に従って,自動的に購入業者を選定していること
    イ 適正在庫高であることを,責任者が承認していること
    ウ 適正在庫量を維持するための発注点に達したときに,自動的に発注していること
    エ 入庫及び出庫記録に対して,自動的に連番を付与していること





    【正解】エ

    ■H26春AP午前
    (H24秋AP午前問57と同じ)
    問58 システム監査人が負う責任はどれか。
    ア 監査結果の外部への開示
    イ 監査対象システムの管理
    ウ 監査報告会で指摘した問題点の改善
    エ 監査報告書に記載した監査意見





    【正解】エ

    問59 スプレッドシートの処理内容の正 確性に関わるコントロールを監査する 際のチェックポイントはどれか。
    ア スプレッドシートの作成者と利用者が同一であること
    イ スプレッドシートのバックアップが行われていること
    ウ スプレッドシートのプログラムの内容が文書化され検証されていること
    エ スプレッドシートを利用する場合の利用権限が定められていること





    【正解】ウ

    ■H25秋AP午前
    問58 システム監査実施体制のうち,システム監査人の独立性の観点から避けるべきものはどれか。
    ア 監査チームメンバに任命された総務部のAさんが,他のメンバと一緒に,総務部の入退室管理の状況を監査する。
    イ 監査部のBさんが,個人情報を取り扱う業務を委託している外部企業の個人情報管理状況を監査する。
    ウ 情報システム部の開発管理者から5年前に監査部に異動したCさんが,マーケティング部におけるインターネットの利用状況を監査する。
    エ 法務部のDさんが,監査部からの依頼によって,外部委託契約の妥当性の監査において,監査人に協力する。





    【正解】ア

    問60 システム開発計画の策定におけるコントロールのうち,適切なものはどれか。
    ア システムの機能が利用者の立場に基づいて実装されるよう,全体最適よりも業務上の利便性を優先し,利用部門の要望に基づいて策定する。
    イ 状況の変化に合わせて柔軟に内容の変更が行えるよう,開発計画は開発作業に着手してから組織内での承認を得て策定する。
    ウ 不必要なシステム開発コストを抑制するよう,情報システムの目的を達成するための複数の代替案を作成し,比較検討する。
    エ 利用部門,システム部門の分け隔てなく自由な議論が行われるよう,開発計画の策定は,利用部門とシステム部門の役割分担を決めずに実行する。





    【正解】ウ

    ■H25春AP午前
    問58 情報セキュリティに関する従業員の責任について,“情報セキュリティ管理基準”に基づいて監査を行った。指摘事項 に該当するものはどれか。
    ア 雇用の終了をもって守秘責任が解消されることが,雇用契約に定められている。
    イ 定められた勤務時間以外においても守秘責任を負うことが,雇用契約に定められている。
    ウ 定められた守秘責任を果たさなかった場合,相応の措置がとられることが,雇用契約に定められている。
    エ 定められた内容の守秘義務契約書に署名することが,雇用契約に定められている。





    【正解】ア

    問59 情報システム部が開発し,経理部が運用している会計システムの運用状況を監査するシステム監査チームの体制についての記述のうち,適切なものはどれ か。
    ア 会計システムは企業会計に関する各種基準に準拠しているので,システム監査チームには公認会計士を含めなければならない。
    イ 会計システムは機密性の高い情報を扱うので,システム監査チームは経理部長直属としなければならない。
    ウ 経理部との癒着を防ぐために,システム監査チームのメンバは毎年入れ替えなければならない。
    エ 独立性を担保するために,システム監査チームは情報システム部にも経理部にも所属しない者で組織しなければなら ない。





    【正解】エ

    問60 特権ID(システムの設定やデー タの追加,変更,削除及びそれらの権限の設定が可能なID)の不正使用を発見するコン トロールはどれか。
    ア 特権IDの貸出し及び返却の管理簿 と,特権IDのログを照合する。
    イ 特権IDの使用を許可された者も, 通常の操作では一般利用者IDを使用 する。
    ウ 特権IDの使用を必要とする者は, 使用の都度,特権IDの貸出しを受ける 。
    エ 特権IDの設定内容や使用範囲を, 用途に応じて細分化する。





    【正解】ア

    ■H24秋AP午前
    問58 事業継続計画(BCP)について 監査を実施した結果,適切な状況と判断されるものはどれか。
    ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
    イ 重要書類は複製せずに一か所で 集中保管している。
    ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している。
    エ 平時にはBCPを従業員に非公開と している。





    【正解】ア

    問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
    9-3 H24a_59
    ア アクセスコントロール
    イ エディットバリデーションチェック
    ウ コントロールトータルチェック
    エ プルーフリスト





    【正解】ア

    ■H24春AP午前
    問58 “システム管理基準"において,システムテストの監査におけるチェックポイントのうち,適切なものはどれか。
    ア テスト計画は事前に利用者側の責任者だけで承認されていること
    イ テストは独立性を考慮して,利用者側の担当者だけで行われていること
    ウ テストは本番環境で実施されていること
    エ 例外ケースや異常ケースを想定したテストが行われていること





    【正解】エ

    問59 監査において発見した問題に対するシステム監査人の責任として,適切 なものはどれか。
    ア 発見した問題を監査依頼者に報告する。
    イ 発見した問題をシステムの利用部門に通報する。
    ウ 発見した問題を被監査部門に是正するよう命じる。
    エ 発見した問題を自ら是正する。





    【正解】ア

    1.システム監査とは
    ① システム監査の目的
    ITパスポートのシラバスには、「システム監査の目的は,被監査部門から独立した立場で,情報システムを幅広い観点から調査し,システムが経営に貢献しているかを判断することである」と述べられています。

    詳細は以下を参照ください。
    http://sm.seeeko.com/archives/65792924.html

    2.監査業務について
    監査業務は、システム監査だけではありません。会計監査,業務監査,情報セキュリティ監査,システム監査などがあります。
    詳しくは以下を参照ください。
    http://sm.seeeko.com/archives/65792902.html

    3.システム監査のプロセスの流れ
    ITパスポートのシラバスでは、次のように述べられています。
    「システム監査のプロセスには,情報システムの総合的な点検,評価,経営者への結果説明,改善点の勧告及び改善状況の確認と,そのフォローアップなどの活動がある」

    http://sm.seeeko.com/archives/65792918.html

    4.監査に関する用語
    ①システム監査人
    システムを監査する人です。参考ですが、監査役との違いもさらりと見ておきましょう。
    http://sm.seeeko.com/archives/65868347.html

    ②システム監査基準
    http://sm.seeeko.com/archives/65792877.html

    ③システム監査計画
    http://sm.seeeko.com/archives/65792880.html

    ④監査証拠
    監査の証拠となるログなどです。以下では、監査証拠と監査証跡の違いについても述べています。
    http://sm.seeeko.com/archives/65868994.html

    ⑤システム監査報告書
    監査結果をお客様に提出する報告書です。監査調書と報告書の違いは以下で述べています。
    http://sm.seeeko.com/archives/65792920.html

    5.内部統制
    内部統制に関しては、以下を参照ください。
    http://sm.seeeko.com/archives/65792906.html

    1.監査調書
    ・システム監査の過程で入手したり作成した文書。監査報告書では経営者に提出用に監査調書を整理する必要がある。
    ・過去問では監査調書のことを「システム監査人が行った監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの(H21秋-応用情報-問58)」と説明している。
    ・過去問(平成14年問39の不正解選択肢)では、監査調書に関して、「監査人が監査手続を実施して収集した資料、又は監査人の判断に基づいて評価された資料である」と述べられています。
    ・監査調書は、監査のプロセスで作成した文書全てであるため、監査報告書のために必要な書類もあるが、それ以外にも監査計画などの書類も含まれる。

    2.監査報告書
    報告用にまとめたものです。
    システム監査の監査報告書では、改善提案をします。ただ、改善するのはあくまでも被監査側です。改善への強制力も持ちません。
    情報セキュリティ監査の場合、経済産業省から、「情報セキュリティ監査基準 報告基準ガイドライン」というのが公表されている。
    www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex06.pdf
    応用情報技術者シラバスには、「システム監査人は、調査、収集、分析した情報を、監査の結論に至った過程が分かるよう整理して文書化した監査調書を作成、保管し、監査報告書を作成するときの基礎資料や監査結果の裏付けとすることを理解する」と、述べられている。
    ・年次監査報告書:年度毎のシステム監査部門の活動を報告するもの
    ・(個別)監査報告書

    3.監査調書と監査報告書の違い
    簡単にいうと、監査調書は内部資料で、監査報告書は外部資料(お客様向けの正式文書)。
    監査調書は内部資料であるため、非公開が原則です。一方、監査報告書は報告書であるため、公開が原則です。

    過去問(H19午後1問4)に、次のように述べられている。
    「フォローアップの目的は、監査報告書の指摘事項について、改善状況を確認すること」

    また、過去問(H28秋AP午前問59)では、「システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップ」として,「改善勧告に対する被監査部門の改善実施状況を確認する。」とあります。
    フォローアップのすべてがこれというわけではありませんが、改善実施状況の確認はフォローアップの一つと言えます。

    監査手続きを実行する対象ですが、全てを行うことは難しく、多くの場合は抜取検査になります。
    このことを試査といいます。

    整理すると次になります。

    精査:全数を対象
    試査:抜取したサンプルを対象。サンプリングの対象を選定する際に、統計学を使った統計的
         サンプリングを行うこともあります。
    ※c.f.実査:書類だけでなく実際の現物を調査することです。

    e2e98953

    確かに全数検査することは難しいですよね。
    料理人が全ての味見をするなら、全部食べちゃうことになりますから。
    試査という言葉は、論文で使えるキーワードです。
    「全数検査は非効率であるため、統計的サンプリングを行った対象のみを試査した」などです。

    応用情報技術者シラバスに、報告に関して次のように述べられています。
    (7)システム監査の報告
      システム監査人は,監査結果を監査の依頼者に報告すること,所要の措置が講じられるようフォローアップを行うことを理解する。
    フォローアップとは、しばらくした後に改善状況を確認し、改善指導を行うことです。

    システム監査をした結果を、報告書としてまとめ、報告します。
    報告内容に関しては、旧システム監査基準がわかりやすいので、引用します。
    http://www.meti.go.jp/policy/netsecurity/systemauditG.htm
    --------
    Ⅶ 報告基準
    1 報告書作成
    (1) システム監査人は、システム監査報告書を作成すること。
    (2) システム監査報告書は、情報システムの信頼性、安全性及び効率性についての評価を記載すること。
    (3) システム監査報告書は、指摘事項を記載すること。
    (4) システム監査報告書は、改善勧告を記載すること。
    (5) システム監査報告書は、改善勧告について提示できる改善案を記載すること。
    (6) システム監査人は、その他必要と認めた事項は、システム監査報告書に記載すること。

    2 報 告
    (1) システム監査報告書は、組織体の長に提出し、報告すること。

    3 フォローアップ
    (1) システム監査人は、改善勧告に基づく措置について、改善の実施状況の把握及び  改善の促進に努めること。
    --------

    また、システム監査報告書と監査調書の違いは以下に記載をしています。
    http://sm.seeeko.com/archives/65792920.html

    監査にはいくつかの種類がある。

    (1)会計監査
    公認会計士が監査を行う。一般的には「外部監査」と言われる。
    公認会計士の選任は取締役会。商法で定められており、資本が一定基準以上の場合などに必要。

    (2)業務監査
    企業の監査役が監査を行う。

    (3)システム監査
    独立した立場のシステム監査人が、情報システムに対するリスク対応が適切に整備・運用されているかを監査する。

    (4)法定監査

    システム可監査性に関して、応用情報技術者シラバスには、次のように述べられている。
    「システム監査を円滑に実施するため、情報システム可監査性を意識して構築、整備されなければならない」代表的なものは、ログである。ログがなければ監査にてチェックできない(=監査不可)。

    過去問を紹介します。

    ◆平成14年 問49
    情報システムの可監査性(Auditability)の説明のうち、適切なものはどれか。

    ア 監査証拠の十分性と監査報告書の完成度が保たれていること
    イ 企業がシステム監査の重要性を認識し、被監査部門が積極的に協力すること
    ウ システム監査人が、監査テーマの目的に合致した有効な監査を行える能力をもっていること
    エ 処理の正当性や内部統制を効果的に監査又はレビューできるように情報システムが設計・運用されていること

    正解:エ

    応用情報技術者シラバスには、システム監査計画に関して次のように述べられている。
    「有効かつ効率的な監査を行うために、システム監査人は監査の目的、監査手続の内容、時期、範囲などの監査計画を作成する」

    旧システム監査基準には、以下が記述されています。

    (7) 基本計画・・・・・・当該年度に実施するシステム監査の全体的な計画
    (8) 個別計画・・・・・・基本計画に基づく個別のシステム監査業務に対する計画

    システム監査計画書としては、次の3つを作成する。
    1)中長期計画書:中長期の経営戦略、情報戦略に対応した監査計画
    2)基本計画書:年度単位の監査計画
    3)個別計画書:個々のシステム監査計画

    H17問45より
    コンピュータを利用して行うシステム監査技法

    ①テストデータ法
    ②汎用監査ソフトウェア法
    ③組込み監査モジュール法
    ITF(Integrated Test Facility)法
    ⑤並行シュミレーション法
    ⑥スナップショット法
    ⑦トレーシング法
    ⑧コード比較法


    e2e98953
    テストデータ法とITF法の違いは何ですか?





    テストデータ法は、単にテストデータを使うだけ。ITF法は、テストデータだけではなく、監査用の口座、取引、プログラムを用意してテストをする。

    医者1
    監査技法とは、監査証拠を入手するための技法のことです。

    基本的なシステム監査技法には次の5つがあります。


    1)ドキュメントレビュー(査閲)
    資料をチェックします。

    2)チェックリスト
    ※とても重要で、実際の監査でもよく使われます。
    ※チェックリストの意義
    ・人によるばらつきをなくす
    ・監査の質の向上
    システム管理基準や情報セキュリティ管理基準もチェックリストとして利用できる。

    3)インタビュー
    →Doctorが患者さんに健康状態を確認します。
    「どこか痛いところは無いですか?」

    4)現地調査
    実際の診察です。健康診断ですべての検査をすることはほぼ不可能です。病気が疑われる部分を中心に診察します。

    ※実際の監査では1)と3)がメインになります。それ以外は補完するものとして活用されます。
    その他、照合、監査ツールの活用、統計的サンプリングが考えられます。

    d980e3f1

     
    コンピュータを利用した監査技法もあるとか。
    医者1

    その通り、これも以下のURLを参照してください。
    http://allabout.co.jp/career/swengineer/closeup/CU20071125A/index2.htm

    ■情報セキュリティ監査の場合
    情報セキュリティ監査手続ガイドラインには、監査技法として、「質問」、「閲覧」、「観察」、「再実施」の4つが述べられています。
    http://www.meti.go.jp/policy/netsecurity/downloadfiles/AuditProcedureGuideline.pdf

    以下が、この資料から引用した監査技法の説明です。
    ①質問(ヒアリング)
    マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、関係者に対して口頭で問い合わせ、説明や回答を求める監査技法

    ②閲覧(レビュー)
    マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、規程、手順書、記録(電磁的な記録も含む)等を調べ読む監査技法

    ③観察(視察)
    マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、監査人自らが現場に赴き、目視によって確かめる監査技法

    ④再実施
    コントロールの運用状況を評価するために、監査人自らが組織体のコントロールを運用し、コントロールの妥当性や適否を確かめる監査技法
     ※ 例えば、カードによる入室管理が行われている場合、アクセス権が付与されていないカードを利用し、監査人自らがエラーとなることを確かめること等が再実施にあたる。

    違いは?

    Q1.システム監査基準とシステム管理基準の違い

    Q2.予備調査と本調査の違い

    Q3.内部統制と外部統制

    Q4.監査証拠と監査証跡

    Q5.監査調書と監査報告書と監査手続書

    Q6.システム監査と情報セキュリティ監査

    Q7.突合と照合
      → 同じです

    「システム監査基準」の前文には次が書かれている。

    「システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。」

    ◆例題
    H19年午前 問42

    ”システム監査基準”が果たす役割はどれか?
    ア 監査上の判断尺度
    イ 監査手続書作成のチェックリスト
    ウ 監査人の行動規範
    エ システムの品質管理ガイドライン

    医者1(1)監査手続きとは
    健康診断するときに、先生は何をしますか?

    ①問診票の確認
    ②実際の診察(臨床といわれているものかな?)
    ③患者さんとの会話

    これに当てはめて見ます。
    監査では
    ①問診票の確認 →書類の調査
    ②実際の診察
    ③患者さんとの会話 →ヒアリング

    この2つ、書類の調査とヒアリングが監査手続きの大きな2つです。
    ②の実際の診断は、ツールなどを使って測定することも可能ですが、あまりやりませんね。

    情報セキュリティ監査の場合、「情報セキュリティ監査手続ガイドライン」が存在します。http://www.meti.go.jp/policy/netsecurity/downloadfiles/AuditProcedureGuideline.pdf
    ここでは、監査手続として用いる監査技法として、質問(ヒアリング)、閲覧(レビュー)、観察(視察)、再実施の4つが述べられています。

    (2)監査手続書とは
    監査手続書は、監査手続きを記載したものです。個別計画書をより詳細化したイメージです。
    過去問では、監査手続書に関して、次のように述べられています。

    ◆ H18 午後Ⅱ問1より
    監査手続書は、システム監査において確認すべき確認項目や、システム監査に用いる監査技法などを記載したものである。監査手続書の作成に当たって、"システム管理基準"、"情報セキュリティ管理基準"などの基準や社内規程などが用いられる。

    ◆H9年 問49
    情報システムの監査手続書に関して、適切な記述はどれか?
    イ 合理的証拠を入手するために作成されるが、システム監査担当者の指導監督を行うための有効な手段としても利用される。

    ◆H14年 問39
    監査人が十分な監査証拠を入手するために実施する監査技術の組合せである。

    ◆H17年 問47
    監査手続書を説明したものはどれか。

    ア 監査計画の段階で作成されるものであり、監査手続書と実施記録の記載欄から構成される。

    1.監査証跡
    追跡する仕組み。毎日の血圧、身長、体重、脈拍などを取得してもらう。
    監査であれば、ログをとる仕組み。

    過去問(平成14年 問39)を見てみましょう。
    --------------
    システム監査における監査証跡を説明したものはどれか。

    ア 監査業務の全過程において、監査人が収集又は作成した資料である。
    イ 監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録である。
    ウ 監査人が監査手続を実施して収集した資料、又は監査人の判断に基づいて評価された資料である。
    エ 監査人が十分な監査証拠を入手するために実施する監査技術の組合せである。
    -------

    【正解】


    【解説】
    ア 監査調書
    ウ 監査証拠
    エ 監査手続

    2.監査証拠
    監査証跡を使うなどして、取得した証拠です。ログそのものや、証拠となる事実です。
    応用情報技術者シラバスには、「監査証拠とは、システム監査人の監査意見を立証するために必要な事実」と述べられている。

    ↑このページのトップヘ