応用情報処理技術者試験の対策サイトです。 応用情報処理技術者試験の午前問題を中心とした基礎用語の解説を中心に掲載します。書き始めたばかりなので、内容はまだまだ不十分です。
カテゴリ:

9.マネジメント

■H28秋AP午前
問58 システム監査人の役割と権限に 関する記述のうち,適切なものはどれ か。
ア システム監査人によるシステム監 査によって,法令による会計監査を代 替できる。
イ システム監査人は,システム管理 者に対して監査の実施に協力するよう 要請できる。
ウ システム監査人は,情報セキュリ ティ方針を決定できる。
エ システム監査人は,被監査部門に 対して改善命令を出すことができる。
【正解】イ

問59 システム監査報告書に記載され た改善勧告への取組みに対する監査 人のフォローアップとして,適切なもの はどれか。
ア 改善勧告に対する改善の実施を被監 査部門の長に指示する。
イ 改善勧告に対する被監査部門の改善 実施状況を確認する。
ウ 改善勧告に対する被監査部門の改善 実施プロジェクトの管理を行う。
エ 改善勧 告の内容を被監査部門に示した上で 改善実施計画を策定する。
【正解】イ

問60 金融庁の“財務報告に係る内部 統制の評価及び監査に関する実施基 準”における“ITへの対応”に関する記 述のうち,適切なものはどれか。
ア IT環境とは,企業内部に限られた 範囲でのITの利用状況である。
イ ITの統制は,ITに係る全般統制及 びITに係る業務処理統制から或る。
ウ ITの利用によって統制活動を自動 化している場合,当該統制活動は有効 であると評価される。
エ ITを利用せず手作業だけで内部統 制を運用している場合,直ちに内部統 制の不備となる。
【正解】イ

■H27秋AP午前
問58 システム監査人が,予備調査に おいて実施する作業として,“システム 監査基準”に照らして適切なものはど れか。
ア 監査テーマに基づいて,監査項目 を設定し,監査手続を策定し,個別監 査計画書に記載する。
イ 経営トップにヒアリングを行い,経 営戦略・方針,現在抱えている問題に ついての認識を確認し,監査テーマを 設定する。
ウ 個別監査計画を策定するために, 監査スケジュールについて被監査部門 と調整を図る。
エ 被監査部門から事前に入手した資 料を閲覧し,監査対象の実態を明確に 把握する。
【正解】エ

問59 販売管理システムにおいて,起 票された受注伝票が漏れなく,重複す ることなく入力されていることを確かめ る監査手続のうち,適切なものはどれ か。
ア 受注データから値引取引データな どの例外取引データを抽出し,承認の 記録を確かめる。
イ 受注伝票の入力時に論理チェック 及びフォーマットチェックが行われてい るか,テストデータ法で確かめる。
ウ プルーフリストと受注伝票との照合 が行われているか,プルーフリスト又 は受注伝票上の照合印を確かめる。
エ 並行シミュレーション法を用いて, 受注伝票を処理するプログラムの論理 の正当性を確かめる。
【正解】ウ

問60 営業債権管理業務に関する内 部統制のうち,適切なものはどれか。
ア 売掛金回収条件の設定は,営業 部門ではなく,審査部門が行っている。
イ 売掛金の消込み入力と承認処理 は,販売を担当した営業部門が行って いる。
ウ 顧客ごとの与信限度の決定は,審 査部門ではなく,営業部門の責任者が 行っている。
エ 値引き又は割戻しの処理は,取引 先の実態を熟知している営業部門の 担当者が行っている。
【正解】ア

■H27春AP午前
問57 インプットコントロールの監査で ,エディットバリデーションチェックが正 しく機
  能しているかどうかの検証方法とし て,適切なものはどれか。
ア 許可された担当者以外はログインでき ないことを試行する。
イ 実際に例外データや異常データの入力 を行う。
ウ 入力原票の承認印を確認する。
エ 入力対象データの件数とプルーフリス ト上の合計件数を照合する。
【正解】イ

問58 業務データのバックアップが自 動取得されている場合,日次バックア ップデータが
  継続的に取得されているかどうかを システム監査人が検証する手続として ,適切なも
  のはどれか。
ア バックアップジョブの再実施
イ バックアップジョブの設定内容及び ジョブの実行結果ログの閲覧
ウ バックアップデータからのリカバリ テストの実施
エ バックアップ媒体やバックアップ装 置の観察
【正解】ウ

問59 マスクファイル管理に関するシス テム監査項目のうち,可用性に該当す るものはど
  れか。
ア マスクファイルが置かれているサー バを二重化し,耐障害性の向上を図っ ている
 こと
イ マスクファイルのデータを複数件ま とめて検索・加工するための機能が, システ
 ムに盛り込まれていること
ウ マスクファイルのメンテナンスは, 特権アカウントを付与された者だけに 許され
 ていること
エ マスクファイルへのデータ入力チェ ック機能が,システムに盛り込まれて いるこ
 と
【正解】ア

問60 事業継続計画(BCP)について 監査を実施した結果,適切な状況と判 断されるもの
  はどれか。
ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
イ 重要書類は複製せずに1か所で集 中保管している。
ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している
エ 平時にはBCPを従業員に非公開 としている。
【正解】ア

■H26秋AP午前
問58 システム監査人による監査手法 の適用方法として,適切なものはどれ か。
ア アンケート調査では,被監査部門 から要望が多かった項目を指摘事項 にする。
イ 現場調査では,監査人が見た実態 と被監査部門からの説明を総合的に 判断して,
 監査証拠とする。
ウ チェックリストを用いた調査では, 被監査部門がチェックして記入した内 容に限
 定して,監査意見を表明する。
エ 文書確認調査では,未作成であった 証冢を,調査が完了するまでに被監査 部門に
 作成させる。
【正解】イ

問59 外部委託に関するシステム監査 において,経営破綻などによってソフト ウェア資産
  のメンテナンスが受けられなくなる ことを防ぐために確認すべき契約項目 はどれか。
ア 開発したソフトウェアの瑕疵担保責 任条項
イ 外部委託先のサービスを評価する ためのSLA条項
ウ 責任の所在を明確にするためのソ フトウェア開発の再委託禁止条項
エ ソフトウェアのソースコードなどを第 三者へ預託するエスクロウ条項
【正解】エ

問60 在庫管理システムを対象とする システム監査において,当該システム に記録された
  在庫データの網羅性のチェックポイ ントとして,適切なものはどれか。
ア 設定された選定基準に従って,自 動的に購入業者を選定していること
イ 適正在庫高であることを,責任者 が承認していること
ウ 適正在庫量を維持するための発 注点に達したときに,自動的に発注し ていること
エ 入庫及び出庫記録に対して,自動 的に連番を付与していること
【正解】エ

■H26春AP午前
問58 システム監査人が負う責任はど れか。
ア 監査結果の外部への開示
イ 監査対象システムの管理
ウ 監査報告会で指摘した問題点の改 善
エ 監査報告書に記載した監査意見
【正解】エ

問59 スプレッドシートの処理内容の正 確性に関わるコントロールを監査する 際のチェッ
  クポイントはどれか。
ア スプレッドシートの作成者と利用者が 同一であること
イ スプレッドシートのバックアップが行わ れていること
ウ スプレッドシートのプログラムの内容が 文書化され検証されていること
エ スプレッドシートを利用する場合の利用 権限が定められていること
【正解】ウ

間60 営業債権管理業務に関する内 部統制のうち,適切なものはどれか。
ア 売掛金回収条件の設定は,営業 部門ではなく,審査部門が行っている。
イ 売掛金の消込み入力と承認処理 は,販売を担当した営業部門が行って いる。
ウ 顧客ごとの与信限度の決定は,審 査部門ではなく,営業部門の責任者が 行ってい
 る。
エ 値引き又は割戻しの処理は,取引 先の実態を熟知している営業部門の 担当者が行っている。
【正解】ア

■H25秋AP午前
問58 システム監査実施体制のうち, システム監査人の独立性の観点から 避けるべきもの
  はどれか。
ア 監査チームメンバに任命された総 務部のAさんが,他のメンバと一緒に, 総務部
 の入退室管理の状況を監査する。
イ 監査部のBさんが,個人情報を取 り扱う業務を委託している外部企業の 個人情報
 管理状況を監査する。
ウ 情報システム部の開発管理者から 5年前に監査部に異動したCさんが, マーケテ
 インク部におけるインターネットの利 用状況を監査する。
エ 法務部のDさんが,監査部からの 依頼によって,外部委託契約の妥当性 の監査に
 おいて,監査人に協力する。
【正解】ア

問59 販売管理システムにおいて,起 票された受注伝票が漏れなく,重複す ることなく入
  力されていることを確かめる監査手 続のうち,適切なものはどれか。
ア 受注データから値引取引データな どの例外取引データを抽出し,承認の 記録を確
 かめる。
イ 受注伝票の入力時に論理チェック 及びフォーマットチェックが行われてい るか,
 テストデータ法で確かめる。
ウ プルーフリストと受注伝票との照合 が行われているか,プルーフリスト又 は受注
 伝票上の照合印を確かめる。
エ 並行シミュレーション法を用いて, 受注伝票を処理するプログラムの論理 の正当
 性を確かめる。
【正解】ウ

問60 システム開発計画の策定におけ るコントロールのうち,適切なものはど れか。
ア システムの機能が利用者の立場に 基づいて実装されるよう,全体最適よ りも業務
 上の利便性を優先し,利用部門の要 望に基づいて策定する。
イ 状況の変化に合わせて柔軟に内 容の変更が行えるよう,開発計画は開 発作業に着
 手してから組織内での承認を得て策 定する。
ウ 不必要なシステム開発コストを抑 制するよう,情報システムの目的を達 成するた
 めの複数の代替案を作成し,比較検 討する。
エ 利用部門,システム部門の分け隔 てなく自由な議論が行われるよう,開 発計画の
 策定は,利用部門とシステム部門の 役割分担を決めずに実行する。
【正解】ウ

■H25春AP午前
問58 情報セキュリティに関する従業 員の責任について,“情報セキュリティ 管理基準”に
  基づいて監査を行った。指摘事項 に該当するものはどれか。
ア 雇用の終了をもって守秘責任が解 消されることが,雇用契約に定められ ている。
イ 定められた勤務時間以外において も守秘責任を負うことが,雇用契約に 定められ
 ている。
ウ 定められた守秘責任を果たさなか った場合,相応の措置がとられること が,雇用
 契約に定められている。
エ 定められた内容の守秘義務契約 書に署名することが,雇用契約に定め られている。
【正解】ア

問59 情報システム部が開発し,経理 部が運用している会計システムの運用 状況を監査す
  るシステム監査チームの体制につ いての記述のうち,適切なものはどれ か。
ア 会計システムは企業会計に関する 各種基準に準拠しているので,システ ム監査チ
 ームには公認会計士を含めなけれ ばならない。
イ 会計システムは機密性の高い情報 を扱うので,システム監査チームは経 理部長直
 属としなければならない。
ウ 経理部との癒着を防ぐために,シ ステム監査チームのメンバは毎年入 れ替えなけ
 ればならない。
エ 独立性を担保するために,システ ム監査チームは情報システム部にも 経理部にも
 所属しない者で組織しなければなら ない。
【正解】エ

問60 特権ID(システムの設定やデー タの追加,変更,削除及びそれらの権 限の設定が可
  能なID)の不正使用を発見するコン トロールはどれか。
ア 特権IDの貸出し及び返却の管理簿 と,特権IDのログを照合する。
イ 特権IDの使用を許可された者も, 通常の操作では一般利用者IDを使用 する。
ウ 特権IDの使用を必要とする者は, 使用の都度,特権IDの貸出しを受ける 。
エ 特権IDの設定内容や使用範囲を, 用途に応じて細分化する。
【正解】ア

■H24秋AP午前
問57 システム監査人が負う責任はど れか。
ア 監査結果の外部への開示
イ 監査対象システムの管理
ウ 監査報告会で指摘した問題点の改善
エ 監査報告書に記載した監査意見
【正解】エ

問58 事業継続計画(BCP)について 監査を実施した結果,適切な状況と判 断されるものはどれか。
ア 従業員の緊急連絡先リストを作成 し,最新版に更新している。
イ 重要書類は複製せずに一か所で 集中保管している。
ウ 全ての業務について,優先順位な しに同一水準のBCPを策定している。
エ 平時にはBCPを従業員に非公開と している。
【正解】ア

問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
9-3 H24a_59
ア アクセスコントロール
イ エディットバリデーションチェック
ウ コントロールトータルチェック
エ プルーフリスト
【正解】ア

問60 営業債権管理業務に関する内 部統制のうち,適切なものはどれか。
ア 売掛金回収条件の設定は,営業 部門ではなく,審査部門が行っている。
イ 売掛金の消込み入力と承認処理 は,販売を担当した営業部門が行って いる。
ウ 顧客ごとの与信限度の決定は,審 査部門ではなく,営業部門の責任者が 行っている。
エ 値引き・割戻し処理は,取引先の 実態を熟知している営業部門の担当 者が行っている。
【正解】ア

■H24春AP午前
問58 “システム管理基準"において,シ ステムテストの監査におけるチェックポ イントのうち,適切なものはどれか。
ア テスト計画は事前に利用者側の責 任者だけで承認されていること
イ テストは独立性を考慮して,利用者側 の担当者だけで行われていること
ウ テ ストは本番環境で実施されていること
エ 例外ケースや異常ケースを想定し たテストが行われていること
【正解】エ

問59 監査において発見した問題に対 するシステム監査人の責任として,適切 なものはどれか。
ア 発見した問題を監査依頼者に報告 する。
イ 発見した問題をシステムの利用部 門に通報する。
ウ 発見した問題を被 監査部門に是正するよう命じる。
エ 発 見した問題を自ら是正する。
【正解】ア

問60 情報システムに識別コード及び パスワードによるアクセスコントロール 機能を組み込むことによって,コントロ ール可能なリスクはどれか。
ア 通信上のデータの盗聴
イ データの入力エラー
ウ ハードウェアの物理的な破壊
エ ファ イル,データ内容の改ざん
【正解】エ

■H28秋AP午前
問55 Jis Q 20000-1 は,サービスマネジメントシステム(SMS)及びサービスのあらゆる場面でPDCA方法論の適用を要求している。SMSの実行(DO)の説明はどれか。
ア SMS及びサービスのパフォーマンスを継続的に改善するための処置を実施する。
イ SMSを確立し,文書化し,合意する。
ウ サービスの設計,移行,提供及び改善のためにSMSを導入し,運用する。
エ 方針,目的,計画及びサービスの要求事項について,  SMS及びサービスを監視。測定及びレビューし,それらの結果を報告する。
【正解】ウ

問56 1Tサービスマネジメントにおいて,災害による重大なサービス停止に関する事業影響度分析は,どのプロセスで実施するか。
ア インシデント及びサービス要求管理
イ サービス継続及び可用性管理
ウ サービスレベル管理
エ 問題管理
【正解】イ

問57 次の処理条件で磁気ディスクに保存されているファイルを磁気テープにバックアップするとき,バックアップの運用に必要な磁気テープは最少で何本か。
〔処理条件〕
(1)毎月初日(1日)にフルバックアップを取る。フルバックアップは1本の磁気テープに1回分を記録する。
(2)フルバックアップを取った翌日から次のフルバックアップまでは,毎日,差分バックアップを取る。差分バックアップは,差分バックアップ用としてフルバックアップとは別の磁気テープに追記録し, 1本に1か月分を記録する。
(3)常に6か月前の同一日までのデータについて,指定日の状態にファイルを復元できるようにする。ただし,6か月前の月に同一日が存在しない場合は,当該月の末日までのデータについて,指定日の状態にファイルを復元できるようにする(例:本日が10月31日の場合は,  4月30日までのデータについて,指定日の状態にファイルを復元できるようにする)。
ア 12  イ 13  ウ 14 エ 15
【正解】ウ

■H27秋AP午前
間55 ITILは,各プロセスに対する重要成功要因(CSF)と重要業績評価指標(KPI)を例示している。次のインシデント管理のCSFに対するKPIとして,適切なものはどれか。
〔CSF〕
インシデントをできるだけ迅速に解決し,事業へのインパクトを最小限にする。
ア インシデントの総件数
イ サービスデスクが他のサポート・レベルに問い合わせずにクローズできたインシデントの割合
ウ サービスデスク担当者当たりの処理したインシデントの件数
エ 変更とリリースに関連するインシデントの件数と割合
【正解】イ

問56 ITサービスマネジメントにおけるサービスレベル管理プロセスの活動はどれか。
ア ITサービスの提供に必要な予算に対して,適切な資金を確保する。
イ 現在の資源の調整と最適化,及び将来の資源要件に関する予測を記載した計画を作成する。
ウ 災害や障害などで事業が中断しても,要求されたサービス機能を合意された期間内に確実に復旧できるように,事業影響度の評価や復旧優先順位を明確にする。
エ 提供するITサービス及びサービス目標を特定し,サービス提供者が顧客との間で合意文書を交わす。
【正解】エ

問57 ITサービスマネジメントにおける問題管理プロセスにおいて実施することはどれか。
ア インシデントの発生後に暫定的にサービスを復旧させ,業務を継続できるようにする。
イ インシデントの発生後に未知の根本原因を特定し,恒久的な解決策を策定する。
ウ インシデントの発生に備えて,復旧のための設計をする。
エ インシデントの発生を記録し,関係する部署に状況を連絡する。
【正解】イ

■H27春AP午前
問55 ITILの可用性管理プロセスにおいて,ITサービスの可用性と信頼性の管理に関わる
  KPIとして用いるものはどれか。
ア サービスの中断回数
イ 災害を想定した復旧テストの回数
ウ 処理能力不足に起因するインシデントの数
エ 目標を達成できなかったSLAの項目数
【正解】ア

問56 情報システムの障害対策の一つである縮退運用の説明はどれか。
ア システムを一斉に停止させるのではなく,あらかじめ決められた手順で段階的に停止させること
イ 実行中のジョブが異常終了したとき,他のジョブに影響を与えないように,システムの運用を続行すること
ウ 障害箇所を切り離し,機能又は性能が低下してもシステムを稼働させ続けること
エ 障害が発生した時点で,その後に実行する予定のジョブのスケジュールを変更すること
【正解】ウ

■H26秋AP午前
問55 SLAに記載する内容として,適切なものはどれか。
ア サービス及びサービス目標を特定した,サービス提供者と顧客との間の合意事項
イ サービス提供者が提供する全てのサービスの特徴,構成要素,料金
ウ サービスデスクなどの内部グループとサービス提供者との間の合意事項
エ 利用者から出されたITサービスに対する業務要件
【正解】ア

問56 日標復旧時点(RPO)を24時間に定めているのはどれか。
ア 業務アプリケーションをリリースするための中断時間は,24時間以内とする。
イ 業務データの復旧は,障害発生時点から24時間以内に完了させる。
ウ 障害発生時点の24時間前の業務データの復旧を保証する。
エ 中断したITサービスを24時間以内に復旧させる。
【正解】ウ

問57 ディスク障害時に,交換したディスクにフルバックアップを取得したテープからデータを復元した後,フルバックアップ取得時以降の更新後コピーをログから反映させてデータベースを回復する方法はどれか。
ア チェックポイントリスタート イ リブート  ウ ロールバック エ ロールフォワード
【正解】エ

■H26春AP午前
問55 1Tサービスマネジメントにおける回避策(ワークアラウンド)の説明として,適切なものはどれか。
ア インシデント対応手順として採られる,サービスへの影響を低減又は除去する方法のこと
イ 検出したイベントを膺報,警告又は例外のカテゴリに分類すること
ウ 特定の期間に発生したインシデントや問題に対して,影響を受けた人数,停止時間の長さなどを考慮に入れて事業への影響を分析すること
エ 特定のサービス又は作業負荷をピーク時間外の時間帯に移動させて,作業負荷の平準化を図ること
【正解】ア

問56 データの追加・変更・削除が,少ないながらも一定の頻度で行われるデータベースがある。このデータペースのフルバックアップを磁気テープに取得する時間間隔を今までの2倍にした。このとき,データベースのバックアップ又は復旧に閧する記述のうち,適切なものはどれか。
ア フルバックアップ1回当たりの磁気テープ使用量が約2倍になる。
イ フルバックアップ1回当たりの磁気テープ使用量が約半分になる。
ウ フルバックアップ取得の平均実行時間が約2倍になる。
エ ログ情報によって復旧するときの処理時間が平均して約2倍になる。
【正解】エ

問57 電源の瞬断時に電力を供給したり,停電時にシステムを終了させるのに必要な時間の電力を供給したりすることを目的とした装置はどれか。
ア AVR  イ CVCF  ウ UPS
工 自家発電装置
【正解】ウ

■H25秋AP午前
問55 1TILによれば,障害が発生した場合にインシデント管理プロセスで行う活動はどれ
  か。
ア ITサービスを迅速に復旧させるために回復策を実施する。
イ 既知のエラーレコードを作成して,データベースに登録する。
ウ 障害対応として, RFCに基づいてシステムの構成を変更する。
エ 障害の根本原因を追究し,解決策を見つけ出して実施する。
【正解】ア

問56 データベースのバックアップ処理には,フルバックアップ方式と差分バックアップ方式がある。差分バックアップ方式による運用に関する記述のうち,適切なものはどれか。
ア 障害からの回復時に差分だけ処理すればよいので,フルバックアップ方式に比べて復旧時間が短い。
イ フルバックアップのデータで復元した後に,差分を加えて復旧する。
ウ フルバックアップ方式と交互に運用することはできない。
エ フルバックアップ方式に比べ,バックアップに要する時間が長い。
【正解】イ

問57 ミッションクリティカルシステムの意味として,適切なものはどれか。
ア OSなどのように,業務システムを稼働させる上で必要不可欠なシステム
イ システム運用条件が,性能の限界に近い状態の下で稼働するシステム
ウ 障害が起きると,企業活動に重大な影響を及ぼすシステム
エ 先行して試験導入され,成功すると本格的に導入されるシステム
【正解】ウ

■H25春AP午前
問55 SLAを説明したものはどれか。
ア ITサービスマネジメントのベストプラクティスを集めたフレームワーク
イ 開発から保守までのソフトウェアライフサイクルプロセス
ウ サービス及びサービス目標値に関するサービス提供者と顧客間の合意
エ 品質マネジメントシステムに関する国際規格
【正解】ウ

問56 (1)〜(4)はある障害の発生から本格的な対応までの一連の活動である。(1)〜(4)の各
  活動とそれに対応するITILV3の管理プロセスの組合せのうち,適切なものはどれか。
(1)利用者からサービスデスクに“特定の入力操作が拒否される”という連絡があっ
 たので,別の入力操作による回避方法を利用者に伝えた。
(2)原因を開発チームで追究した結果,アプリケーションプログラムに不具合がある
 ことが分かった。
(3)原因となったアプリケーションプログラムの不具合を改修する必要があるのかど
 うか,改修した場合に不具合箇所以外に影響が出る心配はないかどうかについて,
 関係者を集めて確認し,改修することを決定した。
(4)改修したアプリケーションプログラムの稼働環境への適用については,利用者へ
 の周知,適用手順及び失敗時の切戻し手順の確認など,十分に事前準備を行った。
9-2 H25h_56
【正解】ア

問57 新システムの開発を計画している。このシステムのTCOは何千円か。ここでシステムは開発された後,3年間使用されるものとする。
9-2 H25h_57
ア 40,500   イ 90,000   ウ 95,000   エ 135,500 
【正解】エ

■H24秋AP午前
問55 ITサービスマネジメントにおけるインシデント管理の主な活動はどれか。
ア インシデントから発生する問題の解決策の評価
イ インシデントの解決とサービスの復旧
ウ インシデントの根本原因の究明
エ インシデントのトレント分析と予防措置
【正解】イ

問56 ITサービスマネジメントの可用性管理のKPIとして用いるものはどれか。
ア 災害を想定した復旧テストの回数
イ サービスの中断回数
ウ 性能不足に起因するインシデントの数
エ 目標を達成できなかったSLAの項目数
【正解】イ

■H24春AP午前
問55 1Tサービスマネジメントのイベント管理における,フィルタリングのレベルの設定方針のうち,適切なものはどれか。
ア 既知のエラーに関するイベントだけを,検出するようにレベルを設定する。
イ ささいなイベントも漏らさず,全てを検出できるようにレベルを設定する。
ウ 事前に設計され,合意された設定レベルを変更せずに固定する。
エ 有効欧評価プロセスでの評価結果に基づき,設定レベルを継続的に見直す。
【正解】エ

問56 レプリケーションが有効な対策となるものはどれか。
ア 悪意によるデータの改ざんを防ぐ。
イ コンピュータウイルスによるデータの破壊を防ぐ。
ウ 災害発生時にシステムが長時間停止するのを防ぐ。
エ 操作ミスによるデータの削除を防ぐ。
【正解】ウ

問57 新システムの開発を計画している。提案された4案の中で,TCOが最小のものはどれか。ここで,このシステムは開発後,3年間使用されるものとする。
9-2 H24h_57
ア A案   イ B案   ウ C案   エ D案
【正解】ウ

■H28秋AP午前
問51 PMBOKの統合変更管理プロセス において,プロジェクトのプロダクト,サー ビス,所産,構成要素などに対する変更と 実施状況を記録・報告したり,要求事項 への適合性を検証する活動を支援したり する活動はどれか。
ア アーンド・バリュー・マネジメント
イ コンフイギュレーション・マネジメント
ウ コンフ リクト・マネジメント
エ ポートフォリオマネジメント
【正解】イ

問52 あるプロジェクトの作業が図のとお り計画されているとき,最短日数で終了するためには,作業Hはプロジェクトの開始 から遅くとも何日後に開始しなければなら ないか。
9-1 H28a_52
ア 12  イ 14  ウ 18 エ 21
【正解】エ

問53 過去のプロジェクトの開発実績から 構築した作業配分モデルがある。システ ム要件定義からシステム内部設計までを モデルどおりに進めて228日で完了し,プ ログラム開発を開始した。現在,  200本の プログラムのうち100本のプログラム開発 を完了し,残りの100本は未着手の状況 である。プログラム開発以降もモデルどお りに進捗すると仮定するとき,プロジェクト の完了まで,あと何日掛かるか。ここで各 プログラムの開発に掛かる工数及び期間 は,全てのプログラムで同一であるものと する。
9-1 H28a_53
ア 140  イ 150  ウ 161  エ 172
【正解】イ

問54 PMBOKによれば,脅威となるマイ ナスのリスクと,好機となるプラスのリスク の,どちらのリスクに対しても採用される 戦略はどれか。
ア 回避  イ 共有 ウ 受容  エ 転嫁
【正解】ウ

■H27秋AP午前
問51 WBS作成プロセスが含まれるマネ ジメントプロセスはどれか。
ア プロジェクトコストマネジメントプロジェクト
イ スコープマネジメント 
ウ プロジェクト品質マネ ジメント
エ プロジェクトリスクマネジメント
【正解】イ

問52 プロジェクト管理においてパフォー マンス測定に使用するEVMの管理対象の組みはどれか。
ア コスト,スケジュール ウ スケジュール,品質
イ コスト,リスク  エ品質,リスク
【正解】ア

(H24春AP午前 問51と同じ)
問53 図に示すとおりに作業を実施する 予定であったが,作業Aで1日の遅れが生 じた。各作業の費用増加率を表の値とす るとき,当初の予定日数で終了するため に掛かる増加費用を最も少なくするには, どの作業を短縮すべきか。ここで,費用 増加率とは,作業を1日短縮するために 要する増加費用のことである。
9-1 H27a_53
ア B     イ C     ウ D     エ E
【正解】エ

問54 ソフトウェアの開発規模見積りに利 用されるファンクションポイント法の説明 はどれか。
ア WBSによって作業を洗い出し,過去の 経験から求めた作業ごとの工数を積み上 げて規模を見積もる。
イ 外部仕様から,そのシステムがもつ入 力,出力や内部論理ファイルなどの5項目 に該当する要素の数を求め,複雑さを考 慮した重みを掛けて求めた値を合計して 規模を見積もる。
ウ ソフトウェアの開発作業を標準作業に 分解し,それらの標準作業ごとにあらかじ め決められた標準工数を割り当て,それ らを合計して規模を見積もる。
エ プログラム言語とプログラマのスキル から経験的に求めた標準的な生産性と, 必要とされる手続の個数とを掛けて規模 を見積もる。
【正解】イ

■H27春AP午前
問51 PERT図で表されるプロジェクトに おいて,プロジェクト全体の所要日数を1 日短縮できる施策はどれか。
9-1 H27h_51
ア 作業BとFを1日ずつ短縮する。  イ 作業Bを1日短縮する。
ウ 作業Iを1日短縮する。  エ 作業Jを1日短縮する。

【解説】経路の所要日数を確認していくと、A→B→E→Iが14日、A→C→F→Iが14日、A→C→G→Jが16日、A→D→H→Jが13日です。このプロジェクトのクリティカルパスはA→C→G→Jの16日であることが分かります。4つの選択肢の中で、このクリティカルパスの作業が1日短縮できるのはエだけです。
【正解】エ

問52 PMBOKによれば,“アクティビテ ィ定義”プロセスで実施するものはどれか 。
ア 作業順序,所要期間,必要な資源な どから実施スケジュールを作成する。
イ 作業を階層的に要素分解してワーク パッケージを定義する。
ウ プロジェクトで実施する作業の相互関 係を特定して文書化する。
エ プロジェクトの成果物を生成するため に実施すべき具体的な作業を特定する。
【正解】エ

問53 あるプログラムの設計から結合テ ストまでの作業について,開発工程ごとの 見積工数を表1に示す。また,開発工程ごと の上級SEと初級SEの要員割当てを表2 に示す。
 上級SEは,初級SEに比べて,プログ ラム作成一単体テストについて2倍の生 産性を有する。表1の見積工数は,上級SE の生産性を基に算出している。
 全ての開発工程に対して,上級SEを 1人追加して割り当てると,この作業に要する期間は何か月短縮できるか。ここで ,開発工程の期間は重複させないものと し,要員全員が1か月当たり1人月の工数を 投入するものとする。
9-1 H27h_53
ア 1     イ 2     ウ 3     エ 4
【正解】エ

問54 プロジェクトマネジメントにおけるリ スクの対応例のうち,PMBOKのリスク対 応戦略の一つである転嫁に該当するも のはどれか。
ア あるサブプロジェクトの損失を,他の サブプロジェクトの利益と相殺する。
イ 個人情報の漏えいが起こらないように ,システムテストで使用する本番データの
 個人情報部分はマスキングする。
ウ 損害の発生に備えて,損害賠償保険 を掛ける。
エ 取引先の業績が悪化して,信用に不 安があるので,新規取引を止める。
【正解】ウ

■H26秋AP午前
問51 WBS (Work Breakdown Structure) を利用する効果として,適切なものはどれ か。
ア 作業の内容や範囲が体系的に整理で き,作業の全体が把握しやすくなる。
イ ソフトウェア,ハードウェアなど,システ ムの構成要素を効率よく管理できる。
ウ プロジェクト体制を階層的に表すこと によって,指揮命令系統が明確になる。
エ 要員ごとに作業が適正に配分されて いるかどうかが把握できる。
【正解】ア

問52 ソフトウェア開発プロジェクトで行う 構成管理の対象項目として,適切なもの はどれか。
ア 開発作業の進捗状況  ウ プログラムのバージョン
イ 成果物に対するレビューの実施結果  エ プロジェクト組織の編成
【正解】ウ

問53 プロジェクトの進捗を金銭価値に換 算して,コスト効率とスケジュール効率を 評価する手法はどれか。
ア アーンドバリューマネジメント  ウ ファンクションポイント法
イ クリティカルパス法  エ モンテカルロ法
【正解】ア

問54 工期を短縮させるために,クリティカルパス上の作業に“ファストトラッキング ”
  技法を適用した対策はどれか。
ア 時間外勤務を実施する。
イ 生産性を高められる開発ツールを導入す る。
ウ 全体の設計が完了する前に,仕様が固ま っているモジュールの開発を開始する。
エ 要員を追加投入する。
【正解】ウ

■H26春AP午前
問51 PMBOKのプロジェクト統合マネ ジメントにおいて,プロジェクトスコープの 拡張
  や縮小を行うのに必要なものはどれ か。
ア 欠陥修正     イ 是正処置     ウ 変更要求     エ 予防処置
【正解】ウ

問52 システム開発のプロジェクトにおい て,EVMを活用したパフォーマンス管理 をしている。開発途中のある時点でCV(コス ト差異)の値が正,SV(スケジュール差異 )の値が負であるとき,プロジェクトはど のような状況か。
ア 開発コストが超過し,さらに進捗も遅 れているので,双方について改善するための対策が必要である。
イ 開発コストと進捗がともに良好なので ,今のパフォーマンスを維持すればよい。
ウ 開発コストは問題ないが,進捗に遅れ が出ているので,遅れを改善するための対 策が必要である。
エ 進捗は問題ないが,開発コストが超 過しているので,コスト効率を改善するた めの対策が必要である。
【正解】ウ

問53 スコープを縮小せずにプロジェクト 全体のスケジュールを短縮する技法の一 つである“クラッシング”では,メンバの時間 外勤務を増やしたり,業務内容に精通し たメンバを新たに増員したりする。“クラッ シング”を行う際に,優先的に資源を投入 すべきスケジュールアクティビティはどれか 。
ア 業務の難易度が最も高いスケジュー ルアクティビティ
イ クリティカルパス上のスケジュールアク ティビティ
ウ 資源が確保できる時期に開始するス ケジュールアクティビティ
エ 所要期間を最も長く必要とするスケジ ュールアクティビティ
【正解】イ

問54 ある会社におけるウォータフォール モデルによるシステム開発の標準では, 開発工程ごとの工数比率を表1のとおりに配 分することになっている。全体工数が40人 月と見積もられるシステム開発に対し,表 2に示す開発要員数を割り当てることにな った。
  このシステム開発に要する期間は何か月になるか。
9-1 H26h_54
ア 2.5     イ 6.7     ウ 12     エ 14
【正解】エ

■H25秋AP午前
問51 アプリケーションにおける外部入力 ,外部出力,内部論理ファイル,外部イン タフエースファイル,外部照会の五つの要 素の個数を求め,それぞれを重み付けし て集計する。集計した値がソフトウェアの規模 に相関するという考え方に基づいて,開発規模の見積りに利用されるものはどれか 。
ア COCOMO     イ Dotyモデル
ウ Putnamモデル     エ ファンクションポイント法
【正解】イ

問52 過去のプロジェクトの開発実績から 構築した作業配分モデルがある。要件定 義からシステム内部設計までをモデルどおり に228日で完了してプログラム開発を開始 した。
 現在, 200本のプログラムのうち100本 のプログラム開発を完了し,残りの100本は未着手の状況である。プログラム開発 以降もモデルどおりに進捗すると仮定す るとき,プロジェクト全体の完了まで,あと何日 掛かるか。
9-1 H25a_52
ア 140     イ 150     ウ 161     エ 172
【正解】イ

問53 予算が4千万円,予定期間が1年 の開発プロジェクトをEVMで管理している 。半
  年が経過した時点でEVが1千万円, PVが2千万円,ACが3千万円であった。 この
  プロジェクトが今後も同じコスト効率で 実行される場合, EACは何千万円になる か。
ア 6  イ 8  ウ 9   エ 12
【正解】エ

問54 プロジェクトマネジメントにおけるリ スクの対応例のうち, PMBOKの分類にお け
  る転嫁に該当するものはどれか。
ア あるサブプ囗ジェクトの損失を,他の サブプロジェクトの利益で相殺する。
イ 個人情報の漏えいが起こらないように ,システムテストで使用する本番データの
 個人情報部分はマスキングする。
ウ 損害の発生に備えて,損害賠償保険 を掛ける。
エ 取引先の業績が悪化して,信用に不 安があるので,新規取引を止める。
【正解】ウ

■H25春AP午前
問51 ファストトラッキングの説明はどれ か。
ア クリティカルパス上のアクティビティに 追加資源を投入して,所要期間を短縮す
 る。
イ 時期によって変動するメンバの作業 負荷を調整して,作業期間内で平準化す る。
ウ 通常は順番に行うアクティビティを並 行して行うことによって,所要期間を短縮
 する。
工 不測の事態に備えて所要時間をあら かじめ多めに見積もっておく。
【正解】ウ

問52 ソフトウェアの開発規模見積りに利 用されるファンクションポイント法の説明 はどれか。
ア WBSによって作業を洗い出し,過去 の経験から求めた作業ごとの工数を積み 上げて規模を見積もる。
イ 外部仕様から,そのシステムがもつ入 力,出力や内部論理ファイルなどの5項 目に該当する要素の数を求め,複雑さを 考慮した重みを掛けて求めた値を合計し て規模を見積もる。
ウ ソフトウェアの開発作業を標準作業に 分解し,それらの標準作業ごとにあらかじめ決められた標準工数を割り当て,そ れらを合計して規模を見積もる。
エ プログラム言語とプログラマのスキル から経験的に求めた標準的な生産性と,必要とされる手続の個数とを掛けて規模を 見積もる。
【正解】イ

問53 プロジェクトで発生している品質問 題を解決するために,図を作成して原因 の傾向を分析したところ,発生した問題の80 %以上が少数の原因で占められているこ とが判明した。作成した図はどれか。
ア 管理図  イ 散布図  ウ 特性要因図  エ パレート図
【正解】エ

問54 プロジェクト要員がインフルエンザ に感染することを予防するために,“ワク チン接種”費用をプロジェクトで負担し,まだ アルコール製剤”をプロジェクトルームの入り口やトイレに配備する。このリスク 対応策は,どのリスク対応戦略に該当す るか。
  ここで,リスク対応戦略の分類はPMB OKに従うものとする。
ア 回避  イ 軽減  ウ 受容  工 転嫁
【正解】イ

■H24秋AP午前
問51 WBS (Work Breakdown Structure) を利用する効果として,適切なものはどれ か。
ア 作業の内容や範囲が体系的に整理で き,作業の全体が把握しやすくなる。
イ ソフトウェア,ハードウェアなど,システ ムの構成要素を効率よく管理できる。
ウ  プロジェクト体制を階層的に表すことによ って,指揮命令系統が明確になる。
工  要員ごとに作業が適正に配分されている かどうかが把握できる。
【正解】ア

問52 図のアローダイアグラムから読み 取れることのうち,適切なものはどれか。 ここでプロジェクトの開始日はO日目とす る。
9-1 H24a_52
ア 作業Cを最も早く開始できるのは5日目で ある。
イ 作業Dはクリティカルパス上の作業 である。
ウ 作業Eの余裕日数は30日である。
エ 作業Fを最も遅く開始できるのは10日目で ある。
【正解】ウ

問53 プロジェクト管理においてパフォー マンス測定に使用するEVMの管理対象の 組みはどれか。
ア コスト,スケジュール     イ コスト,リスク
ウ スケジュール,品質     エ 品質,リスク
【正解】ア

問54 プロジェクトの品質マネジメントにお いて,プロセスが安定しているかどうか, 又はパフォーマンスが予測のとおりである かどうかを判断するために用いるもので あって,許容される上限と下限が設定さ れているものはどれか。
ア 管理図     イ 実験計画法
ウ 流れ図     エ ペンチマーク
【正解】ア

■H24春AP午前
問52 システム開発のプロジェクトにおい て,  EVMを活用したパフォーマンス管理を している。開発途中のある時点でEV-PV の値が負であるとき,どのような状況を示 しているか。
ア スケジュール効率が,計画より良い。
イ プロジェクトの完了が,計画より遅くなる。
ウ プロジェクトの進捗が,計画より遅れている 。
エ プロジェクトの進捗が,計画より進んでい る。
【正解】ウ

問53 システム開発の見積方法の一つで あるファンクションポイント法の説明として, 適切なものはどれか。
ア 開発規模が分かっていることを前提と して,工数と工期を見積もる方法である。ビ ジネス分野に限らず,全分野に適用可能 である。
イ 過去に経験した類似のシステムについ てのデータを基にして,システムの相違点 を調べ,同じ部分については過去のデータ を使い,異なった部分は経験から規模と工 数を見積もる方法である。
ウ システムの機能を入出力データ数やフ ァイル数などによって定量的に計測し,複 雑さとアプリケーションの特性による調整 を行って,システム規模を見積もる方法で ある。
エ 単位作業量の基準値を決めておき,作 業項目を単位作業項目まで分解し,その 積算で全体の作業量を見積もる方法であ る。
【正解】ウ

問54 システムの要求分析時に行うインタ ビュー実施上の留意点のうち,適切なもの はどれか。
ア インタビュー対象者の回答が,事実であ るか推測であるかを区別すべきである。
イ インタビューの対象者は,その業務を直 接行っている担当者に限るべきである。
ウ 質問内容を記入した用紙を事前に渡 すことは,避けるべきである。
エ 質問は,“はい"がいいえ"で答えられる ものに限るべきである。
【正解】ア

問51 あるプロジェクトのステークホルダとして,プロジェクトスポンサ,プロジェクトマネージヤ,プロジェクトマネジメントオフィス及びプロジェクトマネジメントチームが存在する。ISO 21500 によれば,組織としての標準化,プロジェクトマネジメントの教育訓練,プロジェクトの監視などの役割を主として担うのはどれか。
ア プロジェクトスポンサ
イ プロジェクトマネーシャ
ツ プロジェクトマネジメントオフイスエ プロジェクトマネジメントチーム

問52 組織が遂行する業務を定常業務とプロジェクトとに類別したとき,定常業務の特性はどれか。
ア ある業務のために編成された期間限定のチームで遂行する。
イ 成果物を反復的に生産して提供する活動を継続的に遂行する。ウ 独自のプロダクトやサービスを創造する。
エ 目的を達成するために開始し,目的を達成したときに終了する。

問53 プロジェクトのスケジュールを短縮したい。当初の計画は図1のとおりである。作業Eを作業El,  E2,E3に分けて,図2のように計画を変更すると,スケジュールは全体で何日短縮できるか。
図1
図2
ア 1
凡例
作業名
○濤O…………>:ダミー作業
イ 2
ウ 3
24 -
工 4

問54 システム開発における工数の見積りに関する記述のうち,適切なものはどれか。ア COCOMOの使用には,自社における生産性に関する,蓄積されたデータが必要である。
イ 開発要員の技量は異なるので工数は参考にならないが,過去に開発したプログラムの規模は見積りの参考になる。
ウ 工数の見積りは,作業の進捗管理に有効であるが,ソフトウェアの品質管理には関係しない。
エ ファンクションポイント法による見積りでは,プログラムステップ数を把握する必要がある。

1.システム監査とは
システム監査とは何か。IPAのシステム監査技術者試験の資料には次のように述べられています。
システム監査は、監査対象から独立した監査人が、情報システムを信頼性、安全性及び効率性の観点から総合的に点検・評価し、関係者に助言・勧告するものであり、コンピュータ・セキュリティの確保とシステムの有効活用を図る上で極めて有効な手段であり、情報化社会の健全化に大きく貢献するものである。
(https://www.jitec.ipa.go.jp/1_11seido/s44_h6har/old_au.htmlより)

ポイントの一つは、「監査対象から独立した」という点です。独立した監査人が、客観的にシステムを評価します。
kansa 

2.「信頼性」「安全性」「効率性」
「信頼性」「安全性」「効率性」という3つのキーワードを覚えましょう。
それぞれの言葉の意味に関しては、旧システム監査基準より引用します。
(3) 信頼性・・・・・・・情報システムの品質並びに障害の発生、影響範囲及び回復の度合
(4) 安全性・・・・・・・情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合
(5) 効率性・・・・・・・情報システムの資源の活用及び費用対効果の度合

例を挙げます。安全性という観点で、不正アクセスが発生しないように、アクセスログを取得するという統制(コントロールという)が適切にとられているかを監査します。

3.(参考)
H19午後1問4に、システム監査の具体例が表にまとめられているので掲載します。具体例を見ることでイメージがわきやすくなると思います。ただ、監査目的などは、この事例に限ってのことなので、あくまでもイメージとして考えてください。

表2 監査の概要
項目内容
(1)監査目的システム開発部で実施しているデータ修正業務が、定められた手順に従って行われ、不正や操作ミスなどが発生していないかどうかを確認する。
(2)監査対象部門システム企画部システム開発部
(3)監査手続システム企画部が作成した“システム保守運用基準書”に記載されているデータ修正の手順が、不正や操作ミスなどを防ぐ手続として有効かどうかについて、記載内容を確認する。データ修正が、“システム保守運用基準書”に従って行われているかどうかを確認する。具体的には、ユーザ部門によって作成された“データ修正依頼書”を入手し、ユーザ部門の責任者及びシステム開発部の責任者の事前承認が得られているかどうかを確認する。
(4)発見事項“システム保守運用基準書”には、緊急の場合のデータ修正のルールが記載されていない。また、部署名などが更新されていない箇所が散見された。“データ修正依頼書”に、ユーザ部門の責任者又はシステム開発部の責任者の承認印がないケースが多数見つかった。特に、緊急依頼の場合に承認印がないケース多い。
(5)改善勧告“システム保守運用基準書”に緊急の場合のデータ修正のルールが記載するとともに、記載内容を最新状態に保つことデータ修正を行う場合には、“システム保守運用基準書”に従って、事前にユーザ部門の責任者及びシステム開発部の責任者の承認を得ることを徹底すること

独立性には次の2つがある。

◆1.外観上の独立性
(システム監査基準2.1を参照)
システム監査を客観的に実施するために、監査対象
から独立していなければならない。

◆2.精神上の独立性
(システム監査基準2.2を参照)
偏向を排し、常に公正かつ客観的に監査判断を行う。

システム監査基準はとても重要です。 http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
システム監査の流れやを理解しましょう。

応用情報技術者のシラバス
システム監査基準に関して次のように述べられています。
システム監査基準
  システム監査における監査人の行動規範,手順,内容は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。

システム監査基準の概要
以下に概要を整理します。

機チ以
・システム管理基準に準拠しているかどうかの視点を原則とする。
・情報セキュリティ監査基準と整合性を図る。

供ゥ轡好謄犂萄困量榲
・リスクコントロールが適切に整備、運用されているかを評価する。
・独立かつ専門的な立場のシステム監査人が実施

掘グ貳夢霆燹粉萄鎖佑箸靴討療格性及び監査業務上の遵守事項を規定)
独立性、客観性、職業倫理

検ゼ損楷霆燹粉萄瑳損楙紊力帆箸澆魑定)
1.監査計画を立案する必要がある。
2.監査の手順
監査計画に基づき、予備調査→本調査→評価・結論
3.監査の実施
3.1監査証拠の入手と評価
 監査結果を裏付ける十分かつ適切な監査証拠を入手する
3.2監査調書の作成と保存
 監査の結論に至った過程がわかるように秩序整然と記録する
4.監査業務の体制

后ナ鷙雋霆燹粉萄妻鷙陲坊犬詢碓媚項と報告書の記載方式を規定)
1.監査報告書の提出と開示
2.監査報告の根拠
合理的な根拠に基づく必要がある。
3.監査報告書の記載事項
 監査の対象、監査の概要、保証意見又は助言意見、
 制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項
 
5.監査報告に基づく改善指導(フォローアップ)
監査結果に基づいて所要の
措置が講じられるように、適切な指導性を発揮する。

システム監査基準(全文)
平成16年10月8日改訂 ※経済産業書が発表したもの
    機チ以
     今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
     組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

     ・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
     ・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
     ・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
     ・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

     システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
     システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。

     システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。

     システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。

    供ゥ轡好謄犂萄困量榲
     システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。


    掘グ貳夢霆
    1.目的、権限と責任
     システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。

    2.独立性、客観性と職業倫理
    2.1 外観上の独立性
     システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。

    2.2 精神上の独立性
     システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。

    2.3 職業倫理と誠実性
     システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

    3.専門能力
     システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。

    4.業務上の義務
    4.1 注意義務
     システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。

    4.2 守秘義務
     システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。

    5.品質管理
     システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

    検ゼ損楷霆
    1.監査計画の立案
     システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。

    2.監査の手順
     システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。

    3.監査の実施
    3.1 監査証拠の入手と評価
     システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。

     3.2 監査調書の作成と保存
    システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。

    4.監査業務の体制
     システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。

    5.他の専門職の利用
     システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。

    6.情報セキュリティ監査
    情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。


    后ナ鷙雋霆
    1.監査報告書の提出と開示
     システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。

    2.監査報告の根拠
     システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。

    3.監査報告書の記載事項
     監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。

    4.監査報告についての責任
     システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

    5.監査報告に基づく改善指導(フォローアップ)
     システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。

    試験センターが発表するシラバスを基に、「システム監査の実施」について具体的に述べます。

     2-1 実施準備
    ・個別計画書の再確認
    ・被監査部門への協力要請

     2-2 予備調査
    (1)関連資料の収集、インタビューなどによる情報収集

    30c7ee19
    なぜこんな面倒なことをするの?

    いきなり本調査してはいけないのですか?


    医者1
    それは非効率です。
    病院でも患者さんに問診票を書いてもらいますよね。

    問診票があれば、どこが悪いかをある程度把握できますが、ないとすれば顔、目、耳、鼻、手、足、肺、心臓などと全てを順番に検査するという非効率な検査になります。
    具体的には、文書の収集やインタビュー、チェックリスト(問診票のようなもの)の記入依頼と回収などを行います。

    (2)現状把握
      収集した情報を基に、現状の問題点を把握します。

    2-3 監査手続書の作成現状把握の結果を踏まえて、具体的な監査手続を検討し、監査手順書を作成します。

    2-4 本調査
     (1)現地調査
     (2)インタビュー
     (3)ドキュメントレビュー
     (4)その他のシステム監査技法
      システム監査技法には長所・短所があるので、状況に応じた監査技法を活用します。

    kansa 

    2-5 実施結果の記録(監査調書の作成)監査を行った都度(=監査手続きを行った都度)、その内容を記録します。
    これが監査調書(Working Paper)になります。
    2-6 監査意見の明確化(監査判断の形成)総合評価、指摘事項、改善勧告の原案をまとめます。

    2-7 評価・結論の総合検討

    2-8 監査報告書案の作成監査の結果を定められた様式で取りまとめます。
    あくまでも「案」です。

    1.内部統制とは
    内部統制の反対は何でしょう。・・・外部統制です。
    外部統制は、外部(法律や行政指導)による統制ですが、内部統制は自ら統制する活動です。

    金融庁のサイトから定義を引用します。
    1.内部統制の定義
     内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。

    http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf より引用)

    c0c762ed 

    よくわかりませんね
    かなりざっくりですが、内部統制とは、不正が無いように、きちんとしたチェック体制を取ることと考えておけばいいでしょう。

    2.内部統制とJ-SOX法
    内部統制はこれまで、法的に義務付けられていませんでした。しかし、大手上場企業の不正が発覚したことにより、アメリカのSOX法(サーベンス・オクスリー法)を参考にJ-SOX法(金融商品取引法の一部)が2008年度決算から適用されました。
    過去問では、「2008年4月1日以後に開始する事業年度からは,財務報告の信頼性の確保を目的に,上場会社に対して内部統制報告書の作成が義務付けられた(H23年秋SC_PM1より)」とあります。

    過去問(H26年IP秋問43)を見てみましょう
    内部統制の整備と運用に関する基本方針に基づいて,内部統制を整備,運用する役割と責任を有している人又は組織として,適切なものはどれか。
    ア 監査役
    イ 経営者
    ウ 取締役会
    エ 内部監査人
    正解はイの経営者です。内部統制報告書も、経営者が責任をもって評価し、報告書を内閣総理大臣に提出する必要があります。

    3.内部統制の実現方法
    応用情報技術者のシラバスには、内部統制に関して次のように述べられています。

    (1)内部統制
    内部統制とは,健全かつ効率的な組織運営のための体制を企業などが自ら構築し運用する仕組みであり,実現には業務プロセスの明確化,職務分掌,実施ルールの設定,チェック体制の確立が必要であることを理解する。

    ここにありますように、「業務プロセスの明確化」「職務分掌」「実施ルールの設定」「チェック体制の確立」などが必要です。
    職務分掌に関しては、難しい言葉なので、過去問から言葉を引用します。過去問(H27年春IP問33)では、職務分掌に関して、「内部統制の観点から,担当者間で相互けん制を働かせることで,業務における不正や誤りが発生するリスクを減らすために,担当者の役割を決めること」と述べられています。
    このとき、役割を明確にするだけでなく、実施者とチェック者を分けることが大事です。そうすれば、チェック体制が確立できます。

    過去問(H26年春AP午前)を見てみましょう。
    問60 営業債権管理業務に関する内部統制のうち,適切なものはどれか。
    ア 売掛金回収条件の設定は,営業部門ではなく,審査部門が行っている。
    イ 売掛金の消込み入力と承認処理は,販売を担当した営業部門が行っている。
    ウ 顧客ごとの与信限度の決定は,審査部門ではなく,営業部門の責任者が行ってい
     る。
    エ 値引き又は割戻しの処理は,取引先の実態を熟知している営業部門の担当者が行
     っている。
    正解はアです。ポイントは、営業部門ではなく,審査部門という他部門がチェックを行っていることです。イ、ウ、エのように、自部門でチェックを行えば、不正を隠す可能性があります。

    4.内部統制の6つの基本的要素
    内部統制の定義にありますように、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング(監視活動)」「IT(情報技術)への対応」が内部統制における基本要素です。

    細かく理解をする必要はありません。イメージだけつかんでおけば十分です。たとえば、「統制活動」の一つに、先ほど述べた「職務分掌」が含まれています。

    5.ITへの対応
    (1)概要
    先の6つ目にある「ITへの対応」に関しては、重要なので補足します。
    「財務報告に係る内部統制の評価及び監査の基準のあり方について」の資料(http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.pdf)には、次の記載があります。
    (6) ITへの対応
    ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
    ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
    ITへの対応は、IT環境への対応とITの利用及び統制からなる。

    (2)IT統制
    「ITへの対応は、IT環境への対応とITの利用及び統制からなる。」とありました。この中のIT統制に関して、もう少し詳しく解説します。
    まず、IT統制は、IT全社的統制、IT全般統制、IT業務処理統制の3つに分けられます。
    「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」を詳しく見ましょう。
    http://www.meti.go.jp/policy/netsecurity/docs/secgov/2007_ZaimuHoukokuNiKakaruITTouseiGuidance.pdf

    この資料には、IT統制に関して以下の記載があります。
    ----------------------------------------
    IT 業務処理統制は、アプリケーション・システムにおいて処理される財務情報の信頼性に直接係ることになる。また、IT 基盤が、これらのアプリケーション・システムが稼動するために必要な情報システムのサポートを行う。このIT 基盤におけるIT 業務処理統制が有効に機能する環境を保証するための統制活動がIT 全般統制であり、財務情報に係る信頼性の基礎となる。さらに、アプリケーション・システムとIT 基盤全体を計画性と整合性を伴って統制する役割を持つのが、IT 全社的統制である。IT 全社的統制は、組織におけるIT 全体に係るものであり、IT 全般統制とIT 業務処理統制の基盤となる。これらの関係を図表供ィ院檻海房┐后
    ----------------------------------------

    図表供ィ院檻海楼焚爾任后
    it

    ではここで、過去問を見て見ましょう。
    ----------------------------------------
    ■H26春AU午前2
    問10 金融庁の“財務報告に係る内部統制の評価及び監査の基準”におけるIT業務処理統制に該当するものはどれか。
    ア 外部委託に関する契約の管理
    イ システムの運用管理
    ウ システムの開発・保守に係る管理
    エ 利用部門によるエラーデータの修正と再処理
    ----------------------------------------
    上の図を見れば明らかですね。IT業務処理統制に該当するのは、エです。それ以外のア、イ、ウは、IT全般統制に該当します。

    エディットバリデーションチェック(edit validation check) 「validation」は「検証」などの意味を持ちます。

    過去問(H27春AP午前問57)を見てみましょう。
    問57 インプットコントロールの監査で,エディットバリデーションチェックが正しく機能しているかどうかの検証方法として,適切なものはどれか。
    ア 許可された担当者以外はログインできないことを試行する。
    イ 実際に例外データや異常データの入力を行う。
    ウ 入力原票の承認印を確認する。
    エ 入力対象データの件数とプルーフリスト上の合計件数を照合する。
    正解はイ


    過去問(H24秋AP午前問59)を見てみましょう。
    問59 業務システムの利用登録をするために,利用者登録フォーム画面(図1)から登録処理を行ったところ,エラー画面(図2)が表示され,再入力を求められた。このコントロールはどれか。
    59
    ア アクセスコントロール
    イ エディットバリデーションチェツク
    ウ コントロールトータルチェツク
    エ プルーフリスト
    正解はイ

    このページのトップヘ