カテゴリ: 9.マネジメント

■H28秋AP午前
問55 Jis Q 20000-1 は,サービスマネジメントシステム(SMS)及びサービスのあらゆる場面でPDCA方法論の適用を要求している。SMSの実行(DO)の説明はどれか。
ア SMS及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
イ SMSを確立し,文書化し,合意する。
ウ サービスの設計,移行,提供及び改善のためにSMSを導入し,運用する。
エ 方針,目的,計画及びサービスの要求事項について,  SMS及びサービスを監視。測定及びレビューし,それらの結果を報告する。
【正解】ウ

問56 1Tサービスマネジメントにおいて,災害による重大なサービス停止に関する事業影響度分析は,どのプロセスで実施するか。
ア インシデント及びサービス要求管理
イ サービス継続及び可用性管理
ウ サービスレベル管理
エ 問題管理
【正解】イ

問57 次の処理条件で磁気ディスクに保存されているファイルを磁気テープにバックアップするとき,バックアップの運用に必要な磁気テープは最少で何本か。
〔処理条件〕
(1)毎月初日(1日)にフルバックアップを取る。フルバックアップは1本の磁気テープに1回分を記録する。
(2)フルバックアップを取った翌日から次のフルバックアップまでは,毎日,差分バックアップを取る。差分バックアップは,差分バックアップ用としてフルバックアップとは別の磁気テープに追記録し, 1本に1か月分を記録する。
(3)常に6か月前の同一日までのデータについて,指定日の状態にファイルを復元できるようにする。ただし,6か月前の月に同一日が存在しない場合は,当該月の末日までのデータについて,指定日の状態にファイルを復元できるようにする(例:本日が10月31日の場合は,  4月30日までのデータについて,指定日の状態にファイルを復元できるようにする)。
ア 12  イ 13  ウ 14 エ 15
【正解】ウ

■H27秋AP午前
間55 ITILは,各プロセスに対する重要成功要因(CSF)と重要業績評価指標(KPI)を例示している。次のインシデント管理のCSFに対するKPIとして,適切なものはどれか。
〔CSF〕
インシデントをできるだけ迅速に解決し,事業へのインパクトを最小限にする。
ア インシデントの総件数
イ サービスデスクが他のサポート・レベルに問い合わせずにクローズできたインシデントの割合
ウ サービスデスク担当者当たりの処理したインシデントの件数
エ 変更とリリースに関連するインシデントの件数と割合
【正解】イ

問56 ITサービスマネジメントにおけるサービスレベル管理プロセスの活動はどれか。
ア ITサービスの提供に必要な予算に対して,適切な資金を確保する。
イ 現在の資源の調整と最適化,及び将来の資源要件に関する予測を記載した計画を作成する。
ウ 災害や障害などで事業が中断しても,要求されたサービス機能を合意された期間内に確実に復旧できるように,事業影響度の評価や復旧優先順位を明確にする。
エ 提供するITサービス及びサービス目標を特定し,サービス提供者が顧客との間で合意文書を交わす。
【正解】エ

問57 ITサービスマネジメントにおける問題管理プロセスにおいて実施することはどれか。
ア インシデントの発生後に暫定的にサービスを復旧させ,業務を継続できるようにする。
イ インシデントの発生後に未知の根本原因を特定し,恒久的な解決策を策定する。
ウ インシデントの発生に備えて,復旧のための設計をする。
エ インシデントの発生を記録し,関係する部署に状況を連絡する。
【正解】イ

■H27春AP午前
問55 ITILの可用性管理プロセスにおいて,ITサービスの可用性と信頼性の管理に関わる
  KPIとして用いるものはどれか。
ア サービスの中断回数
イ 災害を想定した復旧テストの回数
ウ 処理能力不足に起因するインシデントの数
エ 目標を達成できなかったSLAの項目数
【正解】ア

問56 情報システムの障害対策の一つである縮退運用の説明はどれか。
ア システムを一斉に停止させるのではなく,あらかじめ決められた手順で段階的に停止させること
イ 実行中のジョブが異常終了したとき,他のジョブに影響を与えないように,システムの運用を続行すること
ウ 障害箇所を切り離し,機能又は性能が低下してもシステムを稼働させ続けること
エ 障害が発生した時点で,その後に実行する予定のジョブのスケジュールを変更すること
【正解】ウ

■H26秋AP午前
問55 SLAに記載する内容として,適切なものはどれか。
ア サービス及びサービス目標を特定した,サービス提供者と顧客との間の合意事項
イ サービス提供者が提供する全てのサービスの特徴,構成要素,料金
ウ サービスデスクなどの内部グループとサービス提供者との間の合意事項
エ 利用者から出されたITサービスに対する業務要件
【正解】ア

問56 日標復旧時点(RPO)を24時間に定めているのはどれか。
ア 業務アプリケーションをリリースするための中断時間は,24時間以内とする。
イ 業務データの復旧は,障害発生時点から24時間以内に完了させる。
ウ 障害発生時点の24時間前の業務データの復旧を保証する。
エ 中断したITサービスを24時間以内に復旧させる。
【正解】ウ

問57 ディスク障害時に,交換したディスクにフルバックアップを取得したテープからデータを復元した後,フルバックアップ取得時以降の更新後コピーをログから反映させてデータベースを回復する方法はどれか。
ア チェックポイントリスタート イ リブート  ウ ロールバック エ ロールフォワード
【正解】エ

■H26春AP午前
問55 1Tサービスマネジメントにおける回避策(ワークアラウンド)の説明として,適切なものはどれか。
ア インシデント対応手順として採られる,サービスへの影響を低減又は除去する方法のこと
イ 検出したイベントを膺報,警告又は例外のカテゴリに分類すること
ウ 特定の期間に発生したインシデントや問題に対して,影響を受けた人数,停止時間の長さなどを考慮に入れて事業への影響を分析すること
エ 特定のサービス又は作業負荷をピーク時間外の時間帯に移動させて,作業負荷の平準化を図ること
【正解】ア

問56 データの追加・変更・削除が,少ないながらも一定の頻度で行われるデータベースがある。このデータペースのフルバックアップを磁気テープに取得する時間間隔を今までの2倍にした。このとき,データベースのバックアップ又は復旧に閧する記述のうち,適切なものはどれか。
ア フルバックアップ1回当たりの磁気テープ使用量が約2倍になる。
イ フルバックアップ1回当たりの磁気テープ使用量が約半分になる。
ウ フルバックアップ取得の平均実行時間が約2倍になる。
エ ログ情報によって復旧するときの処理時間が平均して約2倍になる。
【正解】エ

問57 電源の瞬断時に電力を供給したり,停電時にシステムを終了させるのに必要な時間の電力を供給したりすることを目的とした装置はどれか。
ア AVR  イ CVCF  ウ UPS
工 自家発電装置
【正解】ウ

■H25秋AP午前
問55 1TILによれば,障害が発生した場合にインシデント管理プロセスで行う活動はどれ
  か。
ア ITサービスを迅速に復旧させるために回復策を実施する。
イ 既知のエラーレコードを作成して,データベースに登録する。
ウ 障害対応として, RFCに基づいてシステムの構成を変更する。
エ 障害の根本原因を追究し,解決策を見つけ出して実施する。
【正解】ア

問56 データベースのバックアップ処理には,フルバックアップ方式と差分バックアップ方式がある。差分バックアップ方式による運用に関する記述のうち,適切なものはどれか。
ア 障害からの回復時に差分だけ処理すればよいので,フルバックアップ方式に比べて復旧時間が短い。
イ フルバックアップのデータで復元した後に,差分を加えて復旧する。
ウ フルバックアップ方式と交互に運用することはできない。
エ フルバックアップ方式に比べ,バックアップに要する時間が長い。
【正解】イ

問57 ミッションクリティカルシステムの意味として,適切なものはどれか。
ア OSなどのように,業務システムを稼働させる上で必要不可欠なシステム
イ システム運用条件が,性能の限界に近い状態の下で稼働するシステム
ウ 障害が起きると,企業活動に重大な影響を及ぼすシステム
エ 先行して試験導入され,成功すると本格的に導入されるシステム
【正解】ウ

■H25春AP午前
問55 SLAを説明したものはどれか。
ア ITサービスマネジメントのベストプラクティスを集めたフレームワーク
イ 開発から保守までのソフトウェアライフサイクルプロセス
ウ サービス及びサービス目標値に関するサービス提供者と顧客間の合意
エ 品質マネジメントシステムに関する国際規格
【正解】ウ

問56 (1)~(4)はある障害の発生から本格的な対応までの一連の活動である。(1)~(4)の各
  活動とそれに対応するITILV3の管理プロセスの組合せのうち,適切なものはどれか。
(1)利用者からサービスデスクに“特定の入力操作が拒否される”という連絡があっ
 たので,別の入力操作による回避方法を利用者に伝えた。
(2)原因を開発チームで追究した結果,アプリケーションプログラムに不具合がある
 ことが分かった。
(3)原因となったアプリケーションプログラムの不具合を改修する必要があるのかど
 うか,改修した場合に不具合箇所以外に影響が出る心配はないかどうかについて,
 関係者を集めて確認し,改修することを決定した。
(4)改修したアプリケーションプログラムの稼働環境への適用については,利用者へ
 の周知,適用手順及び失敗時の切戻し手順の確認など,十分に事前準備を行った。
9-2 H25h_56
【正解】ア

問57 新システムの開発を計画している。このシステムのTCOは何千円か。ここでシステムは開発された後,3年間使用されるものとする。
9-2 H25h_57
ア 40,500   イ 90,000   ウ 95,000   エ 135,500 
【正解】エ

■H24秋AP午前
問55 ITサービスマネジメントにおけるインシデント管理の主な活動はどれか。
ア インシデントから発生する問題の解決策の評価
イ インシデントの解決とサービスの復旧
ウ インシデントの根本原因の究明
エ インシデントのトレント分析と予防措置
【正解】イ

問56 ITサービスマネジメントの可用性管理のKPIとして用いるものはどれか。
ア 災害を想定した復旧テストの回数
イ サービスの中断回数
ウ 性能不足に起因するインシデントの数
エ 目標を達成できなかったSLAの項目数
【正解】イ

■H24春AP午前
問55 1Tサービスマネジメントのイベント管理における,フィルタリングのレベルの設定方針のうち,適切なものはどれか。
ア 既知のエラーに関するイベントだけを,検出するようにレベルを設定する。
イ ささいなイベントも漏らさず,全てを検出できるようにレベルを設定する。
ウ 事前に設計され,合意された設定レベルを変更せずに固定する。
エ 有効欧評価プロセスでの評価結果に基づき,設定レベルを継続的に見直す。
【正解】エ

問56 レプリケーションが有効な対策となるものはどれか。
ア 悪意によるデータの改ざんを防ぐ。
イ コンピュータウイルスによるデータの破壊を防ぐ。
ウ 災害発生時にシステムが長時間停止するのを防ぐ。
エ 操作ミスによるデータの削除を防ぐ。
【正解】ウ

問57 新システムの開発を計画している。提案された4案の中で,TCOが最小のものはどれか。ここで,このシステムは開発後,3年間使用されるものとする。
9-2 H24h_57
ア A案   イ B案   ウ C案   エ D案
【正解】ウ

■H27春AP午前
問52 PMBOKによれば,“アクティビティ定義”プロセスで実施するものはどれか 。
ア 作業順序,所要期間,必要な資源などから実施スケジュールを作成する。
イ 作業を階層的に要素分解してワークパッケージを定義する。
ウ プロジェクトで実施する作業の相互関係を特定して文書化する。
エ プロジェクトの成果物を生成するために実施すべき具体的な作業を特定する。
【正解】エ

■H26秋AP午前
問52 ソフトウェア開発プロジェクトで行う構成管理の対象項目として,適切なもの はどれか。
ア 開発作業の進捗状況            ウ プログラムのバージョン
イ 成果物に対するレビューの実施結果   エ プロジェクト組織の編成
【正解】ウ

■H24秋AP午前
問54 プロジェクトの品質マネジメントにお いて,プロセスが安定しているかどうか, 又はパフォーマンスが予測のとおりである かどうかを判断するために用いるもので あって,許容される上限と下限が設定さ れているものはどれか。
ア 管理図     イ 実験計画法
ウ 流れ図     エ ペンチマーク
【正解】ア

■H24春AP午前
問54 システムの要求分析時に行うインタ ビュー実施上の留意点のうち,適切なもの はどれか。
ア インタビュー対象者の回答が,事実であるか推測であるかを区別すべきである。
イ インタビューの対象者は,その業務を直接行っている担当者に限るべきである。
ウ 質問内容を記入した用紙を事前に渡すことは,避けるべきである。
エ 質問は,“はい"か"いいえ"で答えられるものに限るべきである。
【正解】ア

問51 あるプロジェクトのステークホルダとして,プロジェクトスポンサ,プロジェクトマネージヤ,プロジェクトマネジメントオフィス及びプロジェクトマネジメントチームが存在する。ISO 21500 によれば,組織としての標準化,プロジェクトマネジメントの教育訓練,プロジェクトの監視などの役割を主として担うのはどれか。
ア プロジェクトスポンサ
イ プロジェクトマネーシャ
ツ プロジェクトマネジメントオフイスエ プロジェクトマネジメントチーム

問52 組織が遂行する業務を定常業務とプロジェクトとに類別したとき,定常業務の特性はどれか。
ア ある業務のために編成された期間限定のチームで遂行する。
イ 成果物を反復的に生産して提供する活動を継続的に遂行する。ウ 独自のプロダクトやサービスを創造する。
エ 目的を達成するために開始し,目的を達成したときに終了する。

問53 プロジェクトのスケジュールを短縮したい。当初の計画は図1のとおりである。作業Eを作業El,  E2,E3に分けて,図2のように計画を変更すると,スケジュールは全体で何日短縮できるか。
図1
図2
ア 1
凡例
作業名
○濤O…………>:ダミー作業
イ 2
ウ 3
24 -
工 4

問54 システム開発における工数の見積りに関する記述のうち,適切なものはどれか。ア COCOMOの使用には,自社における生産性に関する,蓄積されたデータが必要である。
イ 開発要員の技量は異なるので工数は参考にならないが,過去に開発したプログラムの規模は見積りの参考になる。
ウ 工数の見積りは,作業の進捗管理に有効であるが,ソフトウェアの品質管理には関係しない。
エ ファンクションポイント法による見積りでは,プログラムステップ数を把握する必要がある。

1.システム監査とは
システム監査は、独立した立場のシステム監査人が,情報システムに対するリスク対応が適切に整備・運用されているかを監査します。参考ですが、監査には公認会計士が行う会計監査や、企業の監査役が行う業務監査もあります。
システム監査というのはイメージしにくいのですが、ざっくりと言うと、システムが適切かどうかをチェックすることです。人間で言うと、医師が実施する患者への健康診断のようなものです。
システムを監査する人がシステム監査人で、監査をされる側は被監査部門と言います。システム監査を行う際に重要なのが、被監査部門からの「独立性」です。たとえば、同じ組織の人が監査をすれば、重大な問題を発見したとしても、指摘をするのをためらう可能性があるからです。

システム監査について、IPAのシステム監査技術者試験の資料には次のように述べられています。
システム監査は、監査対象から独立した監査人が、情報システムを信頼性、安全性及び効率性の観点から総合的に点検・評価し、関係者に助言・勧告するものであり、コンピュータ・セキュリティの確保とシステムの有効活用を図る上で極めて有効な手段であり、情報化社会の健全化に大きく貢献するものである。
(https://www.jitec.ipa.go.jp/1_11seido/s44_h6har/old_au.htmlより)

ポイントの一つは、「監査対象から独立した」という点です。独立した監査人が、客観的にシステムを評価します。
独立性には次の2つがあります。
(1)外観上の独立性
(システム監査基準2.1を参照)
システム監査を客観的に実施するために、監査対象から独立していなければならない。
(2)精神上の独立性
(システム監査基準2.2を参照)
偏向を排し、常に公正かつ客観的に監査判断を行う。
kansa 
システム監査人は,助言をする立場であり、対策方針を決定したり、改善命令を出すことなどの権限はありません。医者が患者に対し、手術を強制することができないのと同じです。しかし、システム管理者や関係部署に対し、監査の実施への協力要請はできます。

2.「信頼性」「安全性」「効率性」
「信頼性」「安全性」「効率性」という3つのキーワードを覚えましょう。
それぞれの言葉の意味に関しては、旧システム監査基準より引用します。
(3) 信頼性・・・・・・・情報システムの品質並びに障害の発生、影響範囲及び回復の度合
(4) 安全性・・・・・・・情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合
(5) 効率性・・・・・・・情報システムの資源の活用及び費用対効果の度合

例を挙げます。安全性という観点で、不正アクセスが発生しないように、アクセスログを取得するという統制(コントロールという)が適切にとられているかを監査します。

3.(参考)
H19午後1問4に、システム監査の具体例が表にまとめられているので掲載します。具体例を見ることでイメージがわきやすくなると思います。ただ、監査目的などは、この事例に限ってのことなので、あくまでもイメージとして考えてください。

表2 監査の概要
項目内容
(1)監査目的システム開発部で実施しているデータ修正業務が、定められた手順に従って行われ、不正や操作ミスなどが発生していないかどうかを確認する。
(2)監査対象部門システム企画部システム開発部
(3)監査手続システム企画部が作成した“システム保守運用基準書”に記載されているデータ修正の手順が、不正や操作ミスなどを防ぐ手続として有効かどうかについて、記載内容を確認する。データ修正が、“システム保守運用基準書”に従って行われているかどうかを確認する。具体的には、ユーザ部門によって作成された“データ修正依頼書”を入手し、ユーザ部門の責任者及びシステム開発部の責任者の事前承認が得られているかどうかを確認する。
(4)発見事項“システム保守運用基準書”には、緊急の場合のデータ修正のルールが記載されていない。また、部署名などが更新されていない箇所が散見された。“データ修正依頼書”に、ユーザ部門の責任者又はシステム開発部の責任者の承認印がないケースが多数見つかった。特に、緊急依頼の場合に承認印がないケース多い。
(5)改善勧告“システム保守運用基準書”に緊急の場合のデータ修正のルールが記載するとともに、記載内容を最新状態に保つことデータ修正を行う場合には、“システム保守運用基準書”に従って、事前にユーザ部門の責任者及びシステム開発部の責任者の承認を得ることを徹底すること

システム監査基準はとても重要です。 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の流れやを理解しましょう。

応用情報技術者シラバス
システム監査基準に関して次のように述べられています。
① システム監査基準
  システム監査における監査人の行動規範,手順,内容は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。

システム監査基準の概要
以下に概要を整理します。

Ⅰ.前文
・システム管理基準に準拠しているかどうかの視点を原則とする。
・情報セキュリティ監査基準と整合性を図る。

Ⅱ.システム監査の目的
・リスクコントロールが適切に整備、運用されているかを評価する。
・独立かつ専門的な立場のシステム監査人が実施

Ⅲ.一般基準(監査人としての適格性及び監査業務上の遵守事項を規定)
独立性、客観性、職業倫理

Ⅳ.実施基準(監査実施上の枠組みを規定)
1.監査計画を立案する必要がある。
2.監査の手順
監査計画に基づき、予備調査→本調査→評価・結論
3.監査の実施
3.1監査証拠の入手と評価
 監査結果を裏付ける十分かつ適切な監査証拠を入手する
3.2監査調書の作成と保存
 監査の結論に至った過程がわかるように秩序整然と記録する
4.監査業務の体制

Ⅴ.報告基準(監査報告に係る留意事項と報告書の記載方式を規定)
1.監査報告書の提出と開示
2.監査報告の根拠
合理的な根拠に基づく必要がある。
3.監査報告書の記載事項
 監査の対象、監査の概要、保証意見又は助言意見、
 制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項
 
5.監査報告に基づく改善指導(フォローアップ)
監査結果に基づいて所要の
措置が講じられるように、適切な指導性を発揮する。

システム監査基準(全文)
平成16年10月8日改訂 ※経済産業書が発表したもの
    Ⅰ.前文
     今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
     組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

     ・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
     ・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
     ・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
     ・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

     システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
     システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。

     システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。

     システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。

    Ⅱ.システム監査の目的
     システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。


    Ⅲ.一般基準
    1.目的、権限と責任
     システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。

    2.独立性、客観性と職業倫理
    2.1 外観上の独立性
     システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

    2.2 精神上の独立性
     システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

    2.3 職業倫理と誠実性
     システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

    3.専門能力
     システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

    4.業務上の義務
    4.1 注意義務
     システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。

    4.2 守秘義務
     システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。

    5.品質管理
     システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

    Ⅳ.実施基準
    1.監査計画の立案
     システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。

    2.監査の手順
     システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。

    3.監査の実施
    3.1 監査証拠の入手と評価
     システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。

     3.2 監査調書の作成と保存
    システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。

    4.監査業務の体制
     システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。

    5.他の専門職の利用
     システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。

    6.情報セキュリティ監査
    情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。


    Ⅴ.報告基準
    1.監査報告書の提出と開示
     システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。

    2.監査報告の根拠
     システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。

    3.監査報告書の記載事項
     監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。

    4.監査報告についての責任
     システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

    5.監査報告に基づく改善指導(フォローアップ)
     システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。

    ↑このページのトップヘ