カテゴリ:9.マネジメント > 9.3 システム監査

1.システム監査とは
システム監査は、独立した立場のシステム監査人が,情報システムに対するリスク対応が適切に整備・運用されているかを監査します。参考ですが、監査には公認会計士が行う会計監査や、企業の監査役が行う業務監査もあります。
システム監査というのはイメージしにくいのですが、ざっくりと言うと、システムが適切かどうかをチェックすることです。人間で言うと、医師が実施する患者への健康診断のようなものです。
システムを監査する人がシステム監査人で、監査をされる側は被監査部門と言います。システム監査を行う際に重要なのが、被監査部門からの「独立性」です。たとえば、同じ組織の人が監査をすれば、重大な問題を発見したとしても、指摘をするのをためらう可能性があるからです。

システム監査について、IPAのシステム監査技術者試験の資料には次のように述べられています。
システム監査は、監査対象から独立した監査人が、情報システムを信頼性、安全性及び効率性の観点から総合的に点検・評価し、関係者に助言・勧告するものであり、コンピュータ・セキュリティの確保とシステムの有効活用を図る上で極めて有効な手段であり、情報化社会の健全化に大きく貢献するものである。
(https://www.jitec.ipa.go.jp/1_11seido/s44_h6har/old_au.htmlより)

ポイントの一つは、「監査対象から独立した」という点です。独立した監査人が、客観的にシステムを評価します。
独立性には次の2つがあります。
(1)外観上の独立性
(システム監査基準2.1を参照)
システム監査を客観的に実施するために、監査対象から独立していなければならない。
(2)精神上の独立性
(システム監査基準2.2を参照)
偏向を排し、常に公正かつ客観的に監査判断を行う。
kansa 
システム監査人は,助言をする立場であり、対策方針を決定したり、改善命令を出すことなどの権限はありません。医者が患者に対し、手術を強制することができないのと同じです。しかし、システム管理者や関係部署に対し、監査の実施への協力要請はできます。

2.「信頼性」「安全性」「効率性」
「信頼性」「安全性」「効率性」という3つのキーワードを覚えましょう。
それぞれの言葉の意味に関しては、旧システム監査基準より引用します。
(3) 信頼性・・・・・・・情報システムの品質並びに障害の発生、影響範囲及び回復の度合
(4) 安全性・・・・・・・情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合
(5) 効率性・・・・・・・情報システムの資源の活用及び費用対効果の度合

例を挙げます。安全性という観点で、不正アクセスが発生しないように、アクセスログを取得するという統制(コントロールという)が適切にとられているかを監査します。

3.(参考)
H19午後1問4に、システム監査の具体例が表にまとめられているので掲載します。具体例を見ることでイメージがわきやすくなると思います。ただ、監査目的などは、この事例に限ってのことなので、あくまでもイメージとして考えてください。

表2 監査の概要
項目内容
(1)監査目的システム開発部で実施しているデータ修正業務が、定められた手順に従って行われ、不正や操作ミスなどが発生していないかどうかを確認する。
(2)監査対象部門システム企画部システム開発部
(3)監査手続システム企画部が作成した“システム保守運用基準書”に記載されているデータ修正の手順が、不正や操作ミスなどを防ぐ手続として有効かどうかについて、記載内容を確認する。データ修正が、“システム保守運用基準書”に従って行われているかどうかを確認する。具体的には、ユーザ部門によって作成された“データ修正依頼書”を入手し、ユーザ部門の責任者及びシステム開発部の責任者の事前承認が得られているかどうかを確認する。
(4)発見事項“システム保守運用基準書”には、緊急の場合のデータ修正のルールが記載されていない。また、部署名などが更新されていない箇所が散見された。“データ修正依頼書”に、ユーザ部門の責任者又はシステム開発部の責任者の承認印がないケースが多数見つかった。特に、緊急依頼の場合に承認印がないケース多い。
(5)改善勧告“システム保守運用基準書”に緊急の場合のデータ修正のルールが記載するとともに、記載内容を最新状態に保つことデータ修正を行う場合には、“システム保守運用基準書”に従って、事前にユーザ部門の責任者及びシステム開発部の責任者の承認を得ることを徹底すること

システム監査基準はとても重要です。 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の流れやを理解しましょう。

応用情報技術者シラバス
システム監査基準に関して次のように述べられています。
① システム監査基準
  システム監査における監査人の行動規範,手順,内容は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。

システム監査基準の概要
以下に概要を整理します。

Ⅰ.前文
・システム管理基準に準拠しているかどうかの視点を原則とする。
・情報セキュリティ監査基準と整合性を図る。

Ⅱ.システム監査の目的
・リスクコントロールが適切に整備、運用されているかを評価する。
・独立かつ専門的な立場のシステム監査人が実施

Ⅲ.一般基準(監査人としての適格性及び監査業務上の遵守事項を規定)
独立性、客観性、職業倫理

Ⅳ.実施基準(監査実施上の枠組みを規定)
1.監査計画を立案する必要がある。
2.監査の手順
監査計画に基づき、予備調査→本調査→評価・結論
3.監査の実施
3.1監査証拠の入手と評価
 監査結果を裏付ける十分かつ適切な監査証拠を入手する
3.2監査調書の作成と保存
 監査の結論に至った過程がわかるように秩序整然と記録する
4.監査業務の体制

Ⅴ.報告基準(監査報告に係る留意事項と報告書の記載方式を規定)
1.監査報告書の提出と開示
2.監査報告の根拠
合理的な根拠に基づく必要がある。
3.監査報告書の記載事項
 監査の対象、監査の概要、保証意見又は助言意見、
 制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項
 
5.監査報告に基づく改善指導(フォローアップ)
監査結果に基づいて所要の
措置が講じられるように、適切な指導性を発揮する。

システム監査基準(全文)
平成16年10月8日改訂 ※経済産業書が発表したもの
    Ⅰ.前文
     今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
     組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

     ・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
     ・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
     ・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
     ・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

     システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
     システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。

     システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。

     システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。

    Ⅱ.システム監査の目的
     システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。


    Ⅲ.一般基準
    1.目的、権限と責任
     システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。

    2.独立性、客観性と職業倫理
    2.1 外観上の独立性
     システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

    2.2 精神上の独立性
     システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

    2.3 職業倫理と誠実性
     システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

    3.専門能力
     システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

    4.業務上の義務
    4.1 注意義務
     システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。

    4.2 守秘義務
     システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。

    5.品質管理
     システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

    Ⅳ.実施基準
    1.監査計画の立案
     システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。

    2.監査の手順
     システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。

    3.監査の実施
    3.1 監査証拠の入手と評価
     システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。

     3.2 監査調書の作成と保存
    システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。

    4.監査業務の体制
     システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。

    5.他の専門職の利用
     システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。

    6.情報セキュリティ監査
    情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。


    Ⅴ.報告基準
    1.監査報告書の提出と開示
     システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。

    2.監査報告の根拠
     システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。

    3.監査報告書の記載事項
     監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。

    4.監査報告についての責任
     システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

    5.監査報告に基づく改善指導(フォローアップ)
     システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。

    システム監査の流れをザックリ言うと、以下になります。
    ①予備調査
     被監査部門への協力要請などの監査の実施準備をした後、予備調査を行います。予備調査では、 被監査部門から事前に入手した資料を閲覧して,監査対象の実態を把握します。
    ②本調査
    現状把握の結果を踏まえ、どのように監査を実施するのかという監査手続きを検討します。その後、本調査として実際の監査を行います。
    監査手続きを行う手法として、例えば以下があります。
    ・システム管理者にチェックリストを基に運用状況をヒアリング
    ・設計書や運用報告書などの資料の閲覧
    ・実態を知るために、現場に出向いて実機設定やログなどを観察 
    ③監査報告
    監査を行った結果の総合評価や、指摘事項、改善勧告などの監査意見をまとめます。その結果を踏まえ、システム監査人は、監査報告書を作成し、監査の依頼者に提出します。監査報告書には、指摘事項や改善勧告を含みます。
    ④フォローアップ
    一定期間後に改善勧告に対する実施状況を確認し、改善指導を行います。

    では、試験センターが発表するシラバスを基に、「システム監査の実施」について具体的に述べます。

    ■2-1 実施準備
    ・個別計画書の再確認
    ・被監査部門への協力要請

    ■2-2 予備調査
    (1)関連資料の収集、インタビューなどによる情報収集
    30c7ee19
    なぜこんな面倒なことをするの?

    いきなり本調査してはいけないのですか?


    医者1
    それは非効率です。
    病院でも患者さんに問診票を書いてもらいますよね。

    問診票があれば、どこが悪いかをある程度把握できますが、ないとすれば顔、目、耳、鼻、手、足、肺、心臓などと全てを順番に検査するという非効率な検査になります。
    具体的には、文書の収集やインタビュー、チェックリスト(問診票のようなもの)の記入依頼と回収などを行います。

    (2)現状把握
      収集した情報を基に、現状の問題点を把握します。

    ■2-3 監査手続書の作成現状把握の結果を踏まえて、具体的な監査手続を検討し、監査手順書を作成します。

    ■2-4 本調査
     (1)現地調査
     (2)インタビュー
     (3)ドキュメントレビュー
     (4)その他のシステム監査技法
      システム監査技法には長所・短所があるので、状況に応じた監査技法を活用します。

    kansa 
    ■2-5 実施結果の記録(監査調書の作成)監査を行った都度(=監査手続きを行った都度)、その内容を記録します。
    これが監査調書(Working Paper)になります。

    ■2-6 監査意見の明確化(監査判断の形成)総合評価、指摘事項、改善勧告の原案をまとめます。

    ■2-7 評価・結論の総合検討

    ■2-8 監査報告書案の作成監査の結果を定められた様式で取りまとめます。
    あくまでも「案」です。

    1.内部統制とは
    内部統制の反対は何でしょう。・・・外部統制です。
    外部統制は、外部(法律や行政指導)による統制ですが、内部統制は自ら統制する活動です。

    金融庁のサイトから定義を引用します。
    1.内部統制の定義
     内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。

    http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf より引用)

    c0c762ed 

    よくわかりませんね
    かなりざっくりですが、内部統制とは、不正が無いように、きちんとしたチェック体制を取ることと考えておけばいいでしょう。

    2.内部統制とJ-SOX法
    内部統制はこれまで、法的に義務付けられていませんでした。しかし、大手上場企業の不正が発覚したことにより、アメリカのSOX法サーベンス・オクスリー法)を参考にJ-SOX法金融商品取引法の一部)が2008年度決算から適用されました。
    過去問では、「2008年4月1日以後に開始する事業年度からは,財務報告の信頼性の確保を目的に,上場会社に対して内部統制報告書の作成が義務付けられた(H23年秋SC_PM1より)」とあります。

    過去問(H26年IP秋問43)を見てみましょう
    内部統制の整備と運用に関する基本方針に基づいて,内部統制を整備,運用する役割と責任を有している人又は組織として,適切なものはどれか。
    ア 監査役
    イ 経営者
    ウ 取締役会
    エ 内部監査人
    正解はイの経営者です。内部統制報告書も、経営者が責任をもって評価し、報告書を内閣総理大臣に提出する必要があります。

    3.内部統制の実現方法
    応用情報技術者シラバスには、内部統制に関して次のように述べられています。

    (1)内部統制
    内部統制とは,健全かつ効率的な組織運営のための体制を企業などが自ら構築し運用する仕組みであり,実現には業務プロセスの明確化,職務分掌,実施ルールの設定,チェック体制の確立が必要であることを理解する。

    ここにありますように、「業務プロセスの明確化」「職務分掌」「実施ルールの設定」「チェック体制の確立」などが必要です。
    職務分掌に関しては、難しい言葉なので、過去問から言葉を引用します。過去問(H27年春IP問33)では、職務分掌に関して、「内部統制の観点から,担当者間で相互けん制を働かせることで,業務における不正や誤りが発生するリスクを減らすために,担当者の役割を決めること」と述べられています。
    このとき、役割を明確にするだけでなく、実施者とチェック者を分けることが大事です。そうすれば、チェック体制が確立できます。

    過去問(H26年春AP午前)を見てみましょう。
    問60 営業債権管理業務に関する内部統制のうち,適切なものはどれか。
    ア 売掛金回収条件の設定は,営業部門ではなく,審査部門が行っている。
    イ 売掛金の消込み入力と承認処理は,販売を担当した営業部門が行っている。
    ウ 顧客ごとの与信限度の決定は,審査部門ではなく,営業部門の責任者が行ってい
     る。
    エ 値引き又は割戻しの処理は,取引先の実態を熟知している営業部門の担当者が行
     っている。
    正解はアです。ポイントは、営業部門ではなく,審査部門という他部門がチェックを行っていることです。イ、ウ、エのように、自部門でチェックを行えば、不正を隠す可能性があります。

    4.内部統制の6つの基本的要素
    内部統制の定義にありますように、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング(監視活動)」「IT(情報技術)への対応」が内部統制における基本要素です。

    細かく理解をする必要はありません。イメージだけつかんでおけば十分です。たとえば、「統制活動」の一つに、先ほど述べた「職務分掌」が含まれています。

    5.ITへの対応
    (1)概要
    先の6つ目にある「ITへの対応」に関しては、重要なので補足します。
    「財務報告に係る内部統制の評価及び監査の基準のあり方について」の資料(http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf)には、次の記載があります。
    (6) ITへの対応
    ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
    ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
    ITへの対応は、IT環境への対応とITの利用及び統制からなる。

    (2)IT統制
    「ITへの対応は、IT環境への対応とITの利用及び統制からなる。」とありました。この中のIT統制に関して、もう少し詳しく解説します。
    まず、IT統制は、IT全社的統制、IT全般統制、IT業務処理統制の3つに分けられます。
    「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」を詳しく見ましょう。
    http://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_ZaimuHoukokuNiKakaruITTouseiGuidance.pdf

    この資料には、IT統制に関して以下の記載があります。
    ----------------------------------------
    IT 業務処理統制は、アプリケーション・システムにおいて処理される財務情報の信頼性に直接係ることになる。また、IT 基盤が、これらのアプリケーション・システムが稼動するために必要な情報システムのサポートを行う。このIT 基盤におけるIT 業務処理統制が有効に機能する環境を保証するための統制活動がIT 全般統制であり、財務情報に係る信頼性の基礎となる。さらに、アプリケーション・システムとIT 基盤全体を計画性と整合性を伴って統制する役割を持つのが、IT 全社的統制である。IT 全社的統制は、組織におけるIT 全体に係るものであり、IT 全般統制とIT 業務処理統制の基盤となる。これらの関係を図表Ⅱ.1-3に示す。
    ----------------------------------------

    図表Ⅱ.1-3は以下です。
    it

    ではここで、過去問を見て見ましょう。
    ----------------------------------------
    ■H26春AU午前2
    問10 金融庁の“財務報告に係る内部統制の評価及び監査の基準”におけるIT業務処理統制に該当するものはどれか。
    ア 外部委託に関する契約の管理
    イ システムの運用管理
    ウ システムの開発・保守に係る管理
    エ 利用部門によるエラーデータの修正と再処理
    ----------------------------------------
    上の図を見れば明らかですね。IT業務処理統制に該当するのは、エです。それ以外のア、イ、ウは、IT全般統制に該当します。

    エディットバリデーションチェック(edit validation check) 「validation」は「検証」などの意味を持ちます。

    過去問(H27春AP午前問57)を見てみましょう。
    問57 インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
    ア 許可された担当者以外はログインできないことを試行する。
    イ 実際に例外データや異常データの入力を行う。
    ウ 入力原票の承認印を確認する。
    エ 入力対象データの件数とプルーフリスト上の合計件数を照合する。
    正解はイ


    過去問(H24秋AP午前問59)を見てみましょう。
    問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
    59
    ア アクセスコントロール
    イ エディットバリデーションチェツク
    ウ コントロールトータルチェツク
    エ プルーフリスト
    正解はイ

    ■H29春AP午前
    問58 システム監査人が監査報告書に記載する改善勧告に関する説明のうち,適切なものはどれか。
    ア 改善の実現可能性は考慮せず,監査人が改善の必要があると判断した事項だけを記載する。
    イ 監査証拠による裏付けの有無にかかわらず,監査人が改善の必要があると判断した事項を記載する。
    ウ 監査人が改善の必要があると判断した事項のうち,被監査部門の責任者が承認した事項だけを記載する。
    エ 調査結果に事実誤認がないことを被監査部門に確認した上で,監査人が改善の必要があると判断した事項を記載する。





    【正解】エ

    (H27秋AP午前問59,H25秋AP午前問59と同じ)
    問59 販売管理システムにおいて,起票された受注伝票の入力が,漏れなく,かつ,重複することなく実施されていることを確かめる監査手続として,適切なものはどれか。
    ア 受注データから値引取引データなどの例外取引データを抽出し,承認の記録を確かめる。
    イ 受注伝票の入力時に論理チェック及びフォーマットチェックが行われているか,テストデータ法で確かめる。
    ウ プルーフリストと受注伝票との照合が行われているか,プルーフリストと受注伝票上の照合印を確かめる。
    エ 並行シミュレーション法を用いて,受注伝票を処理するプログラムの論理の正確性を確かめる。





    【正解】ウ

    (H24春AP午前問60と同じ)
    問60 識別コード及びパスワードによるアクセスコントロール機能を情報システムに組み込むことによって,コントロールが可能なリスクはどれか。
    ア 通信上のデータの盗聴
    イ データの入力エラー
    ウ ハードウェアの物理的な破壊
    エ ファイル,データ内容の改ざん





    【正解】エ

    ■H28秋AP午前
    問58 システム監査人の役割と権限に関する記述のうち,適切なものはどれか。
    ア システム監査人によるシステム監査によって,法令による会計監査を代替できる。
    イ システム監査人は,システム管理者に対して監査の実施に協力するよう要請できる。
    ウ システム監査人は,情報セキュリティ方針を決定できる。
    エ システム監査人は,被監査部門に対して改善命令を出すことができる。





    【正解】イ

    問59 システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップとして,適切なものはどれか。
    ア 改善勧告に対する改善の実施を被監査部門の長に指示する。
    イ 改善勧告に対する被監査部門の改善実施状況を確認する。
    ウ 改善勧告に対する被監査部門の改善実施プロジェクトの管理を行う。
    エ 改善勧告の内容を被監査部門に示した上で改善実施計画を策定する。





    【正解】イ

    問60 金融庁の“財務報告に係る内部統制の評価及び監査に関する実施基準”における“ITへの対応”に関する記述のうち,適切なものはどれか。
    ア IT環境とは,企業内部に限られた範囲でのITの利用状況である。
    イ ITの統制は,ITに係る全般統制及びITに係る業務処理統制から或る。
    ウ ITの利用によって統制活動を自動化している場合,当該統制活動は有効であると評価される。
    エ ITを利用せず手作業だけで内部統制を運用している場合,直ちに内部統制の不備となる。





    【正解】イ

    ■H27秋AP午前
    問58 システム監査人が,予備調査において実施する作業として,“システム監査基準”に照らして適切なものはどれか。
    ア 監査テーマに基づいて,監査項目を設定し,監査手続を策定し,個別監査計画書に記載する。
    イ 経営トップにヒアリングを行い,経営戦略・方針,現在抱えている問題についての認識を確認し,監査テーマを設定する。
    ウ 個別監査計画を策定するために,監査スケジュールについて被監査部門と調整を図る。
    エ 被監査部門から事前に入手した資料を閲覧し,監査対象の実態を明確に把握する。





    【正解】エ

    (H26春AP午前問60,H24秋AP午前問60と同じ)
    問60 営業債権管理業務に関する内部統制のうち,適切なものはどれか。
    ア 売掛金回収条件の設定は,営業部門ではなく,審査部門が行っている。
    イ 売掛金の消込み入力と承認処理は,販売を担当した営業部門が行っている。
    ウ 顧客ごとの与信限度の決定は,審査部門ではなく,営業部門の責任者が行っている。
    エ 値引き又は割戻しの処理は,取引先の実態を熟知している営業部門の担当者が行っている。





    【正解】ア

    ■H27春AP午前
    問57 インプットコントロールの監査で,エディットバリデーションチェックが正 しく機能しているかどうかの検証方法として,適切なものはどれか。
    ア 許可された担当者以外はログインできないことを試行する。
    イ 実際に例外データや異常データの入力を行う。
    ウ 入力原票の承認印を確認する。
    エ 入力対象データの件数とプルーフリス ト上の合計件数を照合する。





    【正解】イ

    問58 業務データのバックアップが自動取得されている場合,日次バックア ップデータが継続的に取得されているかどうかをシステム監査人が検証する手続として,適切なものはどれか。
    ア バックアップジョブの再実施
    イ バックアップジョブの設定内容及びジョブの実行結果ログの閲覧
    ウ バックアップデータからのリカバリテストの実施
    エ バックアップ媒体やバックアップ装置の観察





    【正解】ウ

    問59 マスクファイル管理に関するシステム監査項目のうち,可用性に該当するものはどれか。
    ア マスクファイルが置かれているサーバを二重化し,耐障害性の向上を図っていること
    イ マスクファイルのデータを複数件まとめて検索・加工するための機能が,システムに盛り込まれていること
    ウ マスクファイルのメンテナンスは,特権アカウントを付与された者だけに 許されていること
    エ マスクファイルへのデータ入力チェック機能が,システムに盛り込まれて いること





    【正解】ア

    問60 事業継続計画(BCP)について監査を実施した結果,適切な状況と判断されるものはどれか。
    ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
    イ 重要書類は複製せずに1か所で集中保管している。
    ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している。
    エ 平時にはBCPを従業員に非公開 としている。





    【正解】ア

    ■H26秋AP午前
    問58 システム監査人による監査手法の適用方法として,適切なものはどれか。
    ア アンケート調査では,被監査部門 から要望が多かった項目を指摘事項 にする。
    イ 現場調査では,監査人が見た実態と被監査部門からの説明を総合的に判断して,監査証拠とする。
    ウ チェックリストを用いた調査では,被監査部門がチェックして記入した内容に限定して,監査意見を表明する。
    エ 文書確認調査では,未作成であった証冢を,調査が完了するまでに被監査 部門に作成させる。





    【正解】イ

    問59 外部委託に関するシステム監査において,経営破綻などによってソフトウェア資産のメンテナンスが受けられなくなる ことを防ぐために確認すべき契約項目はどれか。
    ア 開発したソフトウェアの瑕疵担保責任条項
    イ 外部委託先のサービスを評価するためのSLA条項
    ウ 責任の所在を明確にするためのソフトウェア開発の再委託禁止条項
    エ ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項





    【正解】エ

    問60 在庫管理システムを対象とするシステム監査において,当該システムに記録された在庫データの網羅性のチェックポイ ントとして,適切なものはどれか。
    ア 設定された選定基準に従って,自動的に購入業者を選定していること
    イ 適正在庫高であることを,責任者が承認していること
    ウ 適正在庫量を維持するための発注点に達したときに,自動的に発注していること
    エ 入庫及び出庫記録に対して,自動的に連番を付与していること





    【正解】エ

    ■H26春AP午前
    (H24秋AP午前問57と同じ)
    問58 システム監査人が負う責任はどれか。
    ア 監査結果の外部への開示
    イ 監査対象システムの管理
    ウ 監査報告会で指摘した問題点の改善
    エ 監査報告書に記載した監査意見





    【正解】エ

    問59 スプレッドシートの処理内容の正 確性に関わるコントロールを監査する 際のチェックポイントはどれか。
    ア スプレッドシートの作成者と利用者が同一であること
    イ スプレッドシートのバックアップが行われていること
    ウ スプレッドシートのプログラムの内容が文書化され検証されていること
    エ スプレッドシートを利用する場合の利用権限が定められていること





    【正解】ウ

    ■H25秋AP午前
    問58 システム監査実施体制のうち,システム監査人の独立性の観点から避けるべきものはどれか。
    ア 監査チームメンバに任命された総務部のAさんが,他のメンバと一緒に,総務部の入退室管理の状況を監査する。
    イ 監査部のBさんが,個人情報を取り扱う業務を委託している外部企業の個人情報管理状況を監査する。
    ウ 情報システム部の開発管理者から5年前に監査部に異動したCさんが,マーケティング部におけるインターネットの利用状況を監査する。
    エ 法務部のDさんが,監査部からの依頼によって,外部委託契約の妥当性の監査において,監査人に協力する。





    【正解】ア

    問60 システム開発計画の策定におけるコントロールのうち,適切なものはどれか。
    ア システムの機能が利用者の立場に基づいて実装されるよう,全体最適よりも業務上の利便性を優先し,利用部門の要望に基づいて策定する。
    イ 状況の変化に合わせて柔軟に内容の変更が行えるよう,開発計画は開発作業に着手してから組織内での承認を得て策定する。
    ウ 不必要なシステム開発コストを抑制するよう,情報システムの目的を達成するための複数の代替案を作成し,比較検討する。
    エ 利用部門,システム部門の分け隔てなく自由な議論が行われるよう,開発計画の策定は,利用部門とシステム部門の役割分担を決めずに実行する。





    【正解】ウ

    ■H25春AP午前
    問58 情報セキュリティに関する従業員の責任について,“情報セキュリティ管理基準”に基づいて監査を行った。指摘事項 に該当するものはどれか。
    ア 雇用の終了をもって守秘責任が解消されることが,雇用契約に定められている。
    イ 定められた勤務時間以外においても守秘責任を負うことが,雇用契約に定められている。
    ウ 定められた守秘責任を果たさなかった場合,相応の措置がとられることが,雇用契約に定められている。
    エ 定められた内容の守秘義務契約書に署名することが,雇用契約に定められている。





    【正解】ア

    問59 情報システム部が開発し,経理部が運用している会計システムの運用状況を監査するシステム監査チームの体制についての記述のうち,適切なものはどれ か。
    ア 会計システムは企業会計に関する各種基準に準拠しているので,システム監査チームには公認会計士を含めなければならない。
    イ 会計システムは機密性の高い情報を扱うので,システム監査チームは経理部長直属としなければならない。
    ウ 経理部との癒着を防ぐために,システム監査チームのメンバは毎年入れ替えなければならない。
    エ 独立性を担保するために,システム監査チームは情報システム部にも経理部にも所属しない者で組織しなければなら ない。





    【正解】エ

    問60 特権ID(システムの設定やデー タの追加,変更,削除及びそれらの権限の設定が可能なID)の不正使用を発見するコン トロールはどれか。
    ア 特権IDの貸出し及び返却の管理簿 と,特権IDのログを照合する。
    イ 特権IDの使用を許可された者も, 通常の操作では一般利用者IDを使用 する。
    ウ 特権IDの使用を必要とする者は, 使用の都度,特権IDの貸出しを受ける 。
    エ 特権IDの設定内容や使用範囲を, 用途に応じて細分化する。





    【正解】ア

    ■H24秋AP午前
    問58 事業継続計画(BCP)について 監査を実施した結果,適切な状況と判断されるものはどれか。
    ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
    イ 重要書類は複製せずに一か所で 集中保管している。
    ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している。
    エ 平時にはBCPを従業員に非公開と している。





    【正解】ア

    問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
    9-3 H24a_59
    ア アクセスコントロール
    イ エディットバリデーションチェック
    ウ コントロールトータルチェック
    エ プルーフリスト





    【正解】ア

    ■H24春AP午前
    問58 “システム管理基準"において,システムテストの監査におけるチェックポイントのうち,適切なものはどれか。
    ア テスト計画は事前に利用者側の責任者だけで承認されていること
    イ テストは独立性を考慮して,利用者側の担当者だけで行われていること
    ウ テストは本番環境で実施されていること
    エ 例外ケースや異常ケースを想定したテストが行われていること





    【正解】エ

    問59 監査において発見した問題に対するシステム監査人の責任として,適切 なものはどれか。
    ア 発見した問題を監査依頼者に報告する。
    イ 発見した問題をシステムの利用部門に通報する。
    ウ 発見した問題を被監査部門に是正するよう命じる。
    エ 発見した問題を自ら是正する。





    【正解】ア

    1.システム監査とは
    ① システム監査の目的
    ITパスポートのシラバスには、「システム監査の目的は,被監査部門から独立した立場で,情報システムを幅広い観点から調査し,システムが経営に貢献しているかを判断することである」と述べられています。

    詳細は以下を参照ください。
    http://sm.seeeko.com/archives/65792924.html

    2.監査業務について
    監査業務は、システム監査だけではありません。会計監査,業務監査,情報セキュリティ監査,システム監査などがあります。
    詳しくは以下を参照ください。
    http://sm.seeeko.com/archives/65792902.html

    3.システム監査のプロセスの流れ
    ITパスポートのシラバスでは、次のように述べられています。
    「システム監査のプロセスには,情報システムの総合的な点検,評価,経営者への結果説明,改善点の勧告及び改善状況の確認と,そのフォローアップなどの活動がある」

    http://sm.seeeko.com/archives/65792918.html

    4.監査に関する用語
    ①システム監査人
    システムを監査する人です。参考ですが、監査役との違いもさらりと見ておきましょう。
    http://sm.seeeko.com/archives/65868347.html

    ②システム監査基準
    http://sm.seeeko.com/archives/65792877.html

    ③システム監査計画
    http://sm.seeeko.com/archives/65792880.html

    ④監査証拠
    監査の証拠となるログなどです。以下では、監査証拠と監査証跡の違いについても述べています。
    http://sm.seeeko.com/archives/65868994.html

    ⑤システム監査報告書
    監査結果をお客様に提出する報告書です。監査調書と報告書の違いは以下で述べています。
    http://sm.seeeko.com/archives/65792920.html

    5.内部統制
    内部統制に関しては、以下を参照ください。
    http://sm.seeeko.com/archives/65792906.html

    ↑このページのトップヘ