応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。
カテゴリ:

17.システム監査(高度用) > 2.1 試験概要

医者1(医師)
このサイトでは、システム監査について詳しく説明します。

システム監査は、システムの健康診断と言われていますよ。

 

214801e2
(看護婦)
先生、よろしくお願いします。
システム監査っていうのがよく分かっていないのですが。
詳しく教えてくれませんか?

医者1



(医師)
では、健康診断と照らし合わせて説明します。
システム監査では、システムの健康診断を行います。健康な人であっても、何か病気を持っているかもしれません。そこで、Doctorに病気が無いかをみてもらうのです。
企業の情報システムも同様に、何か問題があるかもしれません。それをシステム監査人に見てもらうのです。

30c7ee19
(看護婦)
先生、ちょっと分かりました。
まだ、いまいち、、、
なぜ、健康診断なんですか?通常の治療とは違うのですか?

医者1

(医師)
そうですね。治療とはちょっと違います。
たとえば、健康診断では、治療をしませんよね。病気がないかだけをチェックし、治療をする場合には、再度病院に行きますね。システム監査もこれと同じで、治療はしません。助言または保証をします。これが助言型監査と保証型監査になります。

詳しく説明しますね。

助言型監査:病気を発見し、食生活の改善や病院への通院を勧めます。システムでいうと、たとえばシステムのセキュリティが弱い場合には、セキュリティ改善の助言をするのです。

保証型監査:会社に入社するときに、健康診断にて健康であることの証明が必要な場合がありますよね。システムにおいても、システムの状態を保証する目的の監査がこれです。

システム監査は、内部監査人による”助言型監査”を想定している。
外部監査による保証型監査ではない。
よって、情報システム部門以外の役員などが監査を行うようになるだろう。
官公庁では外部に委託することが多いようだ。

旧システム監査基準は、“助言型監査”を意識して作られているが、新システム監査基準では、“保証型監査”についても少し意識がされている。

◆対象者像
被監査部門から独立した立場で、トップマネジメントの視点で、情報システムが経営に貢献しているかどうかを、安全性、効率性、信頼性、可用性、機密性、保全性、有用性、戦略性など幅広い側面から総合的に調査し、あるべき姿を描くことによって自ら形成した判断基準に照らして評価し、問題点について説得力のある改善勧告を行う者

◆業務と役割
被監査対象から独立した立場で、情報システムを総合的に点検・評価し、監査結果をトップマネジメント及び関係者に説明し、改善点を勧告する業務に従事し、次の役割を果たす。
ヾ萄嵯弉茲鯲案し、監査を実施し、監査結果をトップマネジメント及び関係者に報告する。
⊂霾鵐轡好謄爐亡悗垢詁睇統制機能の改善を促進し、その実効性を担保することによって、企業経営はもとより、情報社会・ネットワーク社会の健全化に貢献する。

◆期待する技術水準
単に情報処理の視点からだけではなく、情報システムが企業及び社会に貢献できるように改善を促進するため、次の幅広い知識・経験・実践能力が要求される。
.咼献優考弖錣箏弍鎚針に合致した監査計画を立案できる。
⊂霾鵐轡好謄爐隆覯茵Τ発・運用段階において、効率的な監査手続を実施するための監査技法を適時かつ的確に適用できる。
ビジネスアプリケーションが適用される業務プロセスの現状に関し、その問題点を洗い出し、問題点を分析・評価するための判断基準を自ら形成できる。
ご萄嵯覯未鯱斥的に矛盾のない報告書にまとめ、説得力のある改善勧告を行うことができる。
ゴ萄困亮損椶謀たって必要となる情報技術及びその技術動向を理解できる。
Τ杏環境の変化を捉え、組織の将来像を描き出すことができる。

以下のURLより引用
https://www.jitec.ipa.go.jp/1_13download/hani20061107.pdf
このサイトでも、以下の分野に分類して問題や解説をまとめていきます。

 情報システム・通信ネットワーク・システム監査全般に関すること
経営一般,情報戦略,情報システム・通信ネットワークの評価,情報システム・通信ネットワークのリスク管理,情報システム・通信ネットワークの品質管理,リスク分析の手法,情報セキュリティ,セキュリティポリシ,事業継続管理,ディジタル認証,内部統制(全般統制,アプリケーション統制),IT ガバナンス,他の監査(会計監査,業務監査)との連携・調整,情報技術動向の把握 など

システム監査の計画に関すること
監査目的の設定,リスクアプローチ,中長期計画書・基本計画書・個別計画書の作成 など

システム監査の実施に関すること
実施準備,予備調査,監査手続,本調査(企画・開発業務の監査,運用・保守業務の監査),評価・結論,監査調書の作成・保管,監査証拠の収集・評価,システム監査技法の適用,システム監査業務の管理(監査業務の品質管理を含む) など

システム監査の報告に関すること
監査報告書の作成,監査意見の表明(保証意見,助言意見),フォローアップの実施 など

システム監査関連法規に関すること
セキュリティ関連法規,個人情報保護関連法規,知的財産権関連法規,労働関連法規,法定監査関連法規,システム監査及びセキュリティ監査に関する基準・ガイドライン・施策,内部監査に関する基準・ガイドライン・施策 など

情報処理技術者試験区分の詳細として、JITECから以下の発表がある。
とても重要なので、必ず読みましょう。

https://www.jitec.ipa.go.jp/1_13download/guidebook_pdf/guide_200702_17_au.pdf

出題に当たっての考え方
午前
(1) システム監査技術者の午前試験は、被監査部門から独立した立場で情報システムを総合的に点検評
価し、改善点を勧告するシステム監査業務を行う上で必要となる専門的な知識だけでなく、高度な情報処理技術者として共通的に要求される分野で、幅広い知識の習得が求められる。

午後
(1) システム監査技術者は、被監査組織から独立した立場で、情報システムを総合的に点検・評価し、問題点がある場合に、改善勧告を行う業務に従事する者である。情報システム技術の進歩などを踏まえ、このようなシステム監査技術者の立場・視点を意識した問題を出題している。

午後
(4) 合否判定の基本は、求められている項目について適切に論述していること、及びその論点に矛盾がないことである。合格のためには、論述内容の深さ・工夫の深さや具体性などシステム監査技術者として監査を実施するうえで必要な「具体的な工夫や観点」を論述している必要がある。
求められている項目以外の論述に終始しているものは、仮にその論述内容がそのテーマとして充実していたとしても、不十分である。また、監査人の立場から論述されていないもの、例えば、システムアナリストやプロジェクトマネージャなどの立場から論述しているものは、システム監査技術者試験の趣旨から外れてしまうので不十分である。プロジェクトやシステム開発経験、苦労話などを中心に書き連ねたもの、問題文の記述をそのまま記載しただけのものは、論述の深みがなく、不十分である。また、自分自身に経験のないことを論述した解答は、一般論だけが論述されていたり、具体性がなかったりするので、実務経験の深さ・洞察力・行動力が不足しているものが多く、不十分である。
解答文の中には、ひたすら準備してきたものを書き連ねたものや、教科書的な記述に終始するものなども見られる。これらは、出題の趣旨に合った内容でなかったり、工夫した点が極めて乏しかったり、論述内容に一貫性がなかったり、答案用紙のテンプレートの記述との矛盾点があったりするので、不十分である。

このページのトップヘ