カテゴリ: 9.マネジメント

監査手続きを実行する対象ですが、全てを行うことは難しく、多くの場合は抜取検査になります。
このことを試査といいます。

整理すると次になります。

精査:全数を対象
試査:抜取したサンプルを対象。サンプリングの対象を選定する際に、統計学を使った統計的
     サンプリングを行うこともあります。
※c.f.実査:書類だけでなく実際の現物を調査することです。

e2e98953

確かに全数検査することは難しいですよね。
料理人が全ての味見をするなら、全部食べちゃうことになりますから。
試査という言葉は、論文で使えるキーワードです。
「全数検査は非効率であるため、統計的サンプリングを行った対象のみを試査した」などです。

応用情報技術者シラバスに、報告に関して次のように述べられています。
(7)システム監査の報告
  システム監査人は,監査結果を監査の依頼者に報告すること,所要の措置が講じられるようフォローアップを行うことを理解する。
フォローアップとは、しばらくした後に改善状況を確認し、改善指導を行うことです。

システム監査をした結果を、報告書としてまとめ、報告します。
報告内容に関しては、旧システム監査基準がわかりやすいので、引用します。
http://www.meti.go.jp/policy/netsecurity/systemauditG.htm
--------
Ⅶ 報告基準
1 報告書作成
(1) システム監査人は、システム監査報告書を作成すること。
(2) システム監査報告書は、情報システムの信頼性、安全性及び効率性についての評価を記載すること。
(3) システム監査報告書は、指摘事項を記載すること。
(4) システム監査報告書は、改善勧告を記載すること。
(5) システム監査報告書は、改善勧告について提示できる改善案を記載すること。
(6) システム監査人は、その他必要と認めた事項は、システム監査報告書に記載すること。

2 報 告
(1) システム監査報告書は、組織体の長に提出し、報告すること。

3 フォローアップ
(1) システム監査人は、改善勧告に基づく措置について、改善の実施状況の把握及び  改善の促進に努めること。
--------

また、システム監査報告書と監査調書の違いは以下に記載をしています。
http://sm.seeeko.com/archives/65792920.html

監査にはいくつかの種類がある。

(1)会計監査
公認会計士が監査を行う。一般的には「外部監査」と言われる。
公認会計士の選任は取締役会。商法で定められており、資本が一定基準以上の場合などに必要。

(2)業務監査
企業の監査役が監査を行う。

(3)システム監査
独立した立場のシステム監査人が、情報システムに対するリスク対応が適切に整備・運用されているかを監査する。

(4)法定監査

優先度と緊急度は相関関係があると思う人は多いと思う。
つまり、優先度が高ければ緊急度も高いはずだ。
私もそう思っていたが、先日ふと、「違う場合もあるな」と感じた。

明日の朝までの資料を作成しており、優先度も緊急度も高い仕事をしていた。そこへ、私の携帯に電話が入った。電話の9割以上は野暮用であることがおおい。しかし、今電話に出ずに後からでることは無理だ。私じゃなくても普通だと思うが、電話に出た。やはり優先度はかなり低い内容であった。
優先度は低いが緊急度が高いというごくありふれた例である。

Q.エスカレーションは問題管理プロセス?
インシデント管理において、サービスデスクでは解決できずに、エスカレーションしました。この場合、エスカレーション先で実施している作業は、問題管理のプロセスになるのでしょうか?サービスデスクでの作業がインシデント管理プロセスで、エスカレーション先の作業は問題管理プロセスのような気がしています。

A.そうではありません。
インシデント管理のプロセスです。エスカレーションの目的は、早期にサービスを復旧させるためのプロセスです。エスカレーション先においても、早期復旧のための業務を行っているので、インシデント管理のプロセスと言えます。ただこれが、エスカレーション先で根本原因の解決を行っているのであれば、その行為は問題管理プロセスです。

Q.エスカレーションは問題管理プロセスでも存在するの?

A.存在します。
インシデント管理プロセスではたとえば以下のフローになります。
(1)サービスデスク→(2)ネットワーク課→(3)ベンダなど

問題管理では、多少フローが異なります。
(1)システム管理課(問題管理を担当するチーム)→(2)ネットワーク課→(3)ベンダなど

どちらもエスカレーションしていますが、エスカレーションする目的が違います。問題管理では根本原因を解決するためにエスカレーションするのです。

■CABの意味について補足
CAB(Change Advisory Board)は、Advisoryという日本語でよく利用するアドバイス(助言)という言葉が入っているように、アドバイス的な位置づけである。ただ、現実的にはアドバイスで終わるわけではなく、実質的な決定に大きく関与する。


■CABのメンバー
誰が参加するという決まりはないが、以下が主なメンバーである。

・変更マネージャ:CABの議長であり、変更の責任者
・顧客およびユーザ:顧客やユーザとしての立場で意見を述べる。
・技術的専門家:実現可否や方法などの技術的な意見を述べる。
・(経営層または財務責任者):経営判断や財務面やの判断をする。


大きな変更になればなるほどユーザへの影響が大きいので、顧客やユーザの参加は必須になってくる。そもそもSLAは顧客との合意で成り立っているため、システムを変更する場合には顧客との合意は大切である。
SaaSのように、不特定多数の顧客へ提供するサービスの場合は、顧客やユーザが参加することは少なくなるだろう。

http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf

前文には「システム管理基準は、組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。」と述べられている。

また、次の5つからなる。
1.情報戦略
2.企画業務
3.開発業務
4.運用業務
5.保守業務
6.共通業務

2-5の企画,開発,運用,保守という流れは、過去問(H23春FE午前)にて「“システム管理基準"にいうシステムライフサイクルはどれか」と問われています。
システムライフサイクルの流れに従ってこの基準が作成されていることも理解しましょう。

1.情報戦略
 情報戦略の最初に登場するのが全体最適化計画である。過去問では全体最適化計画の説明として、「組織全体の情報システムのあるべき姿を明確にする計画(H21午前1問24)」と述べられている。

2.企画業務
過去問では、企画業務の段階で作成すべきものとして「関連するほかの情報システムと役割を分担し、
組織体として最大の効果を上げる機能を実現するために、全体最適化計画との整合性を考慮して策定する開発計画」と述べられている。

また、情報セキュリティに関しては、情報セキュリティ管理基準がある。
加えて、システム監査基準も存在する。

リスクアセスメント、リスクマネジメントという言葉は、なんとなく理解しにくかった。
私自身がISMSのシステム監査を行って初めて理解が深まったと記憶している。

少し補足します。
リスクアセスメントは評価(assessment)の意味である。
これに対し、BIA(重点対策P123)は分析(analysis)の意味である。

よって、リスクマネジメントの流れ
1)リスク分析
2)リスク評価
3)リスク対応
の中で、BIAは1)に対応し、リスクアセスメントは2)に対応すると考えて良い。
加えて、BIAはビジネスインパクトという意味であり、リスク分析の中でも、特にビジネスに影響を与えるようなリスクを分析する。

殿イライラ第一回目の試験に限っては、ITILv2だと思う。
理由は、試験センターが発表する試験範囲やシラバス。また、JIS Q 20000はv2に準拠しているからだ。

まあ、ITサービスマネージャはITILの中身を問う試験ではないため、ITILを完璧に覚える必要がない。ITILの基本的な用語やフロー、考え方は最低限を覚える必要があるが、ITILにとらわれすぎると良くない。

ただ、注目されていた21年度春試験では、ITILに関する出題がほとんどない。(確か1問だけだったはず)
試験員もITILに関してv2とすべきかv3とすべきか悩んでいるのだろうか?

明確な基準ではありませんが、私は以下のように整理しています。運用の例はユーザアカウントの追加、保守の例は故障したハードの交換、です。

切り口1:日々の内容かどうか
基本的には運用は日々の作業です。保守は、予防保守もありますが、保守しなければならないような状態(故障・トラブル)になってから対応します。

切り口2:内部か外部か
アウトソーシングする場合もありますが、運用は内部の運用担当者が行います。保守は、たとえば障害時に内部の担当者が行う場合もあれば、外部のメーカの保守要員がする場合もあります。

システム管理基準には、「運用業務」として「3.入力管理」「4.データ管理」「5.出力管理」「6.ソフトウェア管理」「7.ハードウェア管理」「8.ネットワーク管理」「9.構成管理」「10.建物・関連設備管理」などの項目があり、これらを読むと運用内容がイメージしやすい。
たとえば「3.入力管理」であれば、日々のデータ登録作業であり、「4.データ管理」であれば、データのバックアップなど、「9.構成管理」であれば、物品や構成が変化したことのドキュメントへの反映

6.プロジェクト人的資源マネジメントの目的
プロジェクト人的資源マネジメントは,プロジェクトチームのメンバが各々の役割と責任を全うすることでプロジェクトチームとして機能し,プロジェクトの目標を達成することが目的であること
IPA応用情報技術者試験シラバス より引用 http://www.jitec.jp/1_13download/syllabus_ap.pdf

組織要因計画をたてる。TRM(Task Responsibility Matrix)であったりもする。

7.プロジェクト・コミュニケーション・マネジメントの目的
プロジェクト・コミュニケーション・マネジメントは,プロジェクト情報の生成から配布,廃棄までを適切に行うことで,人と情報を結びつける役割を果たすことが目的であること
IPA応用情報技術者試験シラバス より引用
http://www.jitec.jp/1_13download/syllabus_ap.pdf

報連相のルールを決める
・会議計画の作成(設計会議、進捗会議など)
この2つは何気に重要である。

・プロジェクト・コミュニケーション・マネジメントのプロセス
IPAシラバスにはキーワードとして、「コミュニケーション計画」「情報配布」「実績報告」「ステークホルダ・マネジメント」の4つが掲載されている。
PDSで考えると、次のようになる。
・Plan:「コミュニケーション計画」
・Do:「情報配布」
・See:「実績報告」「ステークホルダ・マネジメント」

たしか「PMBOKでは、プロマネの仕事9割はコミュニケーション」とされていたと思う。 

8.プロジェクト・リスク・マネジメントの目的
 プロジェクト・リスク・マネジメントは,プロジェクトにマイナスとなる事象の発生確率と影響を低減すること
IPA応用情報技術者試験シラバス より引用
http://www.jitec.jp/1_13download/syllabus_ap.pdf

・あらかじめ、期間やコストでリスクを見込んでおくのも一つである。

・リスク対応策の一つに、リスク受容策がある。
過去問では、リスク受容策の例として「リスク発生に備えてコンティンジェンシー予備を設ける(H22SM午前-問19)」と述べられている。

■定性的リスク分析と定量的リスク分析
以下に記載しています。
http://sc.seeeko.com/archives/3828364.html

過去問を見てみよう!
■平成29年春期 午前 問54
問54 PMBOKガイド第5版における,マイナスのリスクに対する戦略として用いられる“リスク転嫁”の説明はどれか。
ア リスクの影響が及ばないようにするための対応策を実行する。
イ リスクの影響や責任の一部又は全部を第三者に移す。
ウ リスクの発生確率や影響度を許容可能なレベルに抑えるための対応策を実行する。
エ リスクへの具体的な対応策は事前に設定せず,リスクが発生した時点で対処する。
 
正解は、イです。

問53 PMBOKガイド第5版によれば,定量的リスク分析で実施することはどれか。

ア 特定したリスクがプロジェクト目標全体に与える影響を数量的に分析する。
イ 特定したリスクの発生確率や影響度を評価してリスクに優先順位を付ける。
ウ 特定したリスクへの対応計画を策定する。
エ プロジェクトに影響を与える可能性があるリスクを洗い出す。
正解は、アです。

■H28秋AP
問54 PMBOKによれば,脅威となるマイ ナスのリスクと,好機となるプラスのリスク の,どちらのリスクに対しても採用される 戦略はどれか。
ア 回避  イ 共有 ウ 受容  エ 転嫁
【正解】ウ

■H27春AP
問54 プロジェクトマネジメントにおけるリ スクの対応例のうち,PMBOKのリスク対 応戦略の一つである転嫁に該当するも のはどれか。
ア あるサブプロジェクトの損失を,他の サブプロジェクトの利益と相殺する。
イ 個人情報の漏えいが起こらないように ,システムテストで使用する本番データの
 個人情報部分はマスキングする。
ウ 損害の発生に備えて,損害賠償保険 を掛ける。
エ 取引先の業績が悪化して,信用に不 安があるので,新規取引を止める。
【正解】ウ

■H25秋AP午前
問54 プロジェクトマネジメントにおけるリ スクの対応例のうち, PMBOKの分類における転嫁に該当するものはどれか。
ア あるサブプロジェクトの損失を,他のサブプロジェクトの利益で相殺する。
イ 個人情報の漏えいが起こらないように,システムテストで使用する本番データの個人情報部分はマスキングする。
ウ 損害の発生に備えて,損害賠償保険を掛ける。
エ 取引先の業績が悪化して,信用に不安があるので,新規取引を止める。
【正解】ウ

■H25春AP
問54 プロジェクト要員がインフルエンザ に感染することを予防するために,“ワク チン接種”費用をプロジェクトで負担し,まだ アルコール製剤”をプロジェクトルームの入り口やトイレに配備する。このリスク 対応策は,どのリスク対応戦略に該当するか。
  ここで,リスク対応戦略の分類はPMB OKに従うものとする。
ア 回避  イ 軽減  ウ 受容  工 転嫁
【正解】イ

9.プロジェクト調達マネジメントの目的と考え方
 プロジェクト調達マネジメントは,作業の実行に必要な資源やサービスを外部から購入,取得するために必要な契約やその管理を適切に行うこと
IPA応用情報技術者試験シラバス より引用 http://www.jitec.jp/1_13download/syllabus_ap.pdf
RFPを出して外部から調達する場合もある
・オフショア開発をすることも
・契約(請負、委任、派遣)も重要

システム可監査性に関して、応用情報技術者シラバスには、次のように述べられている。
「システム監査を円滑に実施するため、情報システム可監査性を意識して構築、整備されなければならない」代表的なものは、ログである。ログがなければ監査にてチェックできない(=監査不可)。

過去問を紹介します。

◆平成14年 問49
情報システムの可監査性(Auditability)の説明のうち、適切なものはどれか。

ア 監査証拠の十分性と監査報告書の完成度が保たれていること
イ 企業がシステム監査の重要性を認識し、被監査部門が積極的に協力すること
ウ システム監査人が、監査テーマの目的に合致した有効な監査を行える能力をもっていること
エ 処理の正当性や内部統制を効果的に監査又はレビューできるように情報システムが設計・運用されていること

正解:エ

応用情報技術者シラバスには、システム監査計画に関して次のように述べられている。
「有効かつ効率的な監査を行うために、システム監査人は監査の目的、監査手続の内容、時期、範囲などの監査計画を作成する」

旧システム監査基準には、以下が記述されています。

(7) 基本計画・・・・・・当該年度に実施するシステム監査の全体的な計画
(8) 個別計画・・・・・・基本計画に基づく個別のシステム監査業務に対する計画

システム監査計画書としては、次の3つを作成する。
1)中長期計画書:中長期の経営戦略、情報戦略に対応した監査計画
2)基本計画書:年度単位の監査計画
3)個別計画書:個々のシステム監査計画

H17問45より
コンピュータを利用して行うシステム監査技法

①テストデータ法
②汎用監査ソフトウェア法
③組込み監査モジュール法
ITF(Integrated Test Facility)法
⑤並行シュミレーション法
⑥スナップショット法
⑦トレーシング法
⑧コード比較法


e2e98953
テストデータ法とITF法の違いは何ですか?





テストデータ法は、単にテストデータを使うだけ。ITF法は、テストデータだけではなく、監査用の口座、取引、プログラムを用意してテストをする。

医者1
監査技法とは、監査証拠を入手するための技法のことです。

基本的なシステム監査技法には次の5つがあります。


1)ドキュメントレビュー(査閲)
資料をチェックします。

2)チェックリスト
※とても重要で、実際の監査でもよく使われます。
※チェックリストの意義
・人によるばらつきをなくす
・監査の質の向上
システム管理基準や情報セキュリティ管理基準もチェックリストとして利用できる。

3)インタビュー
→Doctorが患者さんに健康状態を確認します。
「どこか痛いところは無いですか?」

4)現地調査
実際の診察です。健康診断ですべての検査をすることはほぼ不可能です。病気が疑われる部分を中心に診察します。

※実際の監査では1)と3)がメインになります。それ以外は補完するものとして活用されます。
その他、照合、監査ツールの活用、統計的サンプリングが考えられます。

d980e3f1

 
コンピュータを利用した監査技法もあるとか。
医者1

その通り、これも以下のURLを参照してください。
http://allabout.co.jp/career/swengineer/closeup/CU20071125A/index2.htm

■情報セキュリティ監査の場合
情報セキュリティ監査手続ガイドラインには、監査技法として、「質問」、「閲覧」、「観察」、「再実施」の4つが述べられています。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/AuditProcedureGuideline.pdf

以下が、この資料から引用した監査技法の説明です。
①質問(ヒアリング)
マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、関係者に対して口頭で問い合わせ、説明や回答を求める監査技法

②閲覧(レビュー)
マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、規程、手順書、記録(電磁的な記録も含む)等を調べ読む監査技法

③観察(視察)
マネジメント体制又はコントロールについての整備状況又は運用状況を評価するために、監査人自らが現場に赴き、目視によって確かめる監査技法

④再実施
コントロールの運用状況を評価するために、監査人自らが組織体のコントロールを運用し、コントロールの妥当性や適否を確かめる監査技法
 ※ 例えば、カードによる入室管理が行われている場合、アクセス権が付与されていないカードを利用し、監査人自らがエラーとなることを確かめること等が再実施にあたる。

違いは?

Q1.システム監査基準とシステム管理基準の違い

Q2.予備調査と本調査の違い

Q3.内部統制と外部統制

Q4.監査証拠と監査証跡

Q5.監査調書と監査報告書と監査手続書

Q6.システム監査と情報セキュリティ監査

Q7.突合と照合
  → 同じです

「システム監査基準」の前文には次が書かれている。

「システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。」

◆例題
H19年午前 問42

”システム監査基準”が果たす役割はどれか?
ア 監査上の判断尺度
イ 監査手続書作成のチェックリスト
ウ 監査人の行動規範
エ システムの品質管理ガイドライン

↑このページのトップヘ