応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。
カテゴリ:

17.システム監査(高度用) > 2.3 監査用語

午後試験では、「監査ポイント」という言葉がでてきます。「ポイント」という意味が理解しにくいと思います。「勉強のポイントは」と言われたら、「注力すべき点」「コツ」みたいな意味を想像するでしょうが、監査ポイントのポイントは、少し意味が異なります。「監査ポイント」という言葉は、「監査項目」に近いかもしれません。具体例でイメージして下さい。以下はH22午後1問1の引用です。

表2 監査手続書の内容(抜粋)
項番監査ポイント監査手続
1システム化効果を測定するための、適切な“効果測定指標”(KPI)が設定されていること経営情報システムの開発目的が実現されているかどうかを測定するKPIが、関連するドキュメントに記載されているかどうかを確認する。
2システムの企画段階では、オーナ部門がドキュメントの内容を確認し、責任者が承認していること開発りん議書、プロジェクト計画書、要件定義書及び基本設計書について、オーナ部門の責任者の承認印があるかどうかを確認する。
3経営環境の変化が激しい状況において、開発したシステムが有効に活用されるような機能を有していること要件定義書をレビューして、次のような事項が記載されているかどうかを確認する。 
a

コントロールとは文字通り「統制」である。
30c7ee19
コントロールって何か分かりにくいですよね。
そうですね。言葉の意味に加え、過去問に多くふれることで、理解を深めて下さい。

H17問44より
 信頼性のコントロールに関する監査証跡

 安全性のコントロールに関する監査証跡
  アクセスログやオペレーションログ

 効率性のコントロールに関する監査証跡
  利用者のニーズ調査結果や費用対効果分析表
 
システム監査基準より
「システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。」

システム管理基準(または情報セキュリティ管理基準)の各項目がそれぞれコントロールである。
 ※情報セキュリティ管理基準より抜粋
5 物理的及び環境的セキュリティ
5.1 セキュリティが保たれた領域
目的:業務施設及び業務情報に対する認可されていないアクセス、損傷及び妨害を防止するため  ←これが目的
5.1.1 組織は、情報処理設備を含む領域を保護するために、幾つかのセキュリティ境界を利用すること ←目的を達するためのコントロール
5.1.1.1 セキュリティ境界を明確に定義すること ←さらに詳細化したコントロール

H21午後1問1に、コントロールの例が述べられています。なんとも漠然とした内容ですよね。
具体的にどのような手段を用いるかまでは考える必要はありません。
以下がH21午後1問1の引用です。


表1 アクセス管理に関するリスク及びコントロール(抜粋)
項番リスクコントロール
・ERPパッケージのDBに直接ログインされ、重要データが改ざんされたり、破壊されたりする。・初期インストール後、DB用IDのパスワードが変更されていることを確認する。
・ユーザIDとパスワードが不正に取得され、業務システムが使用される。
・ユーザIDの権限が不正に設定され、データが更新される。
・業務システムにログインしたユーザIDのログをモニタリングして、不正なアクセスが行われていないことを確認する。
・ユーザIDと権限設定のリストを定期的に出力し、不要な権限が設定されていないことを確認する。
・業務の引継ぎが完了したら、異動者は元の部署の権限を削除してもらうための申請を速やかに提出する。

別の記述として「コンピュータを利用して行うシステム監査技法」を書いたが、これとIT監査技法は同じと考えてもらってよい。

ITが進展している今、監査においてもITを活用するのは当然の流れである。

IT監査技法のメリットに関してH19午後2問1に次のように述べられています。
 数多くのサーバが複数の拠点で運用されているような環境においては、複数の管理者にインタビューを実施したり、資料を閲覧したりするよりも、IT監査技法を用いる方が効率が良い。また、IT監査技法を用いることによって、インタビューや資料の閲覧よりも証拠能力の高い監査証拠を入手することが可能になる。

このページのトップヘ