SC H27 秋 午前Ⅱ 問25

システム監査における監査証拠の説明のうち, 適切なものはどれか。

  • 監査人が収集又は作成する資料であり, 監査報告書に記載する監査意見や指摘事項は, その資料によって裏付けられていなければならない。
  • 監査人が当初設定した監査手続を記載した資料であり, 管理人はその資料に基づいて監査を実施しなければならない。
  • 機密性の高い情報が含まれている資料であり, 監査人は監査報告書の作成後, 速やかに全てを処分しなければならない。
  • 被監査部門が監査人に提出する資料であり, 監査人が自ら作成する資料は含まれない。
  • 解答を見る
    正解:ア



    SC H26 春 午前Ⅱ 問25

    システム監査報告書に記載された改善勧告に対して, 被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針のうち, 適切なものはどれか。

  • 1年以内に実現できる改善を実施する。
  • 経営資源の状況を踏まえて改善を実施する。
  • 情報システムの機能面の改善に絞って実施する。
  • 被監査部門の予算の範囲内で改善を実施する。
  • 解答を見る
    正解:イ

    ITガバナンス
    様々な定義が存在しているが、経済産業省の報告書では下記のように定義されている。

    「企業が競争優位性構築を目的に、IT(情報技術)戦略の策定・実行をコントロールし、あるべき方向に導く組織能力」

  • 期間で限定すべきではない。
  • 正しい記述です。
  • 機能面以外の改善も実施すべき。
  • 予算の範囲内で限定すべきではない。


  • SC H25 秋 午前Ⅱ 問25

    被監査企業がSaaSをサービス利用契約して業務を実施している場合, 被監査企業のシステム監査人がSaaSの利用環境からSaaSへのアクセスコントロールを評価できる対象のIDはどれか。

  • DBMSの管理者ID
  • アプリケーションの利用者ID
  • サーバのOSの利用者ID
  • ストレージデバイスの管理者ID
  • 解答を見る
    正解:イ

    SaaSでは、ユーザ側で利用するのはアプリケーションである。
    DBMSやサーバ、ストレージなどはサービス提供者側で運用・保守を行う。
    よって、イが正解。

    SaaSは、クラウドコンピューティングのサービス形態の1つ。
    クラウドコンピューティングとは、ネットワーク上に存在するサービスを利用する形態のことで、以下の3種類のサービス形態に分類される場合が多い。

    • SaaS(Software as a Service)
      ソフトウェア(アプリケーション)をサービスとして提供する形態。
      「サース」と読む。
      具体例としては、Googleが提供するGoogle Apps、Salesforce.comが提供する顧客管理システム(CRM)などが該当する。
    • PaaS(Platform as a Service)
      アプリケーション実行するための基盤(プラットフォーム)を提供する形態。「パース」と読む。
      具体例としては、マイクロソフトが提供するWindows Azure、Salesforce.comが提供するForce.comなどが該当する。
    • IaaS(Infrastructure as a Service)
      OS、ストレージ、ネットワークなどのITインフラを提供する形態。
      「イアース」と読む。
      代表的なのは、AmazonのEC2。

    cloud_computing




    SC H25 春 午前Ⅱ 問25

    新システムへの移行に関するシステム監査で確認した状況のうち, 指摘事項に該当するものはどれか。

  • 移行作業と併せて, システム運用部門及びシステム利用部門に対する新システムの操作教育を計画し, 実施していた。
  • 移行対象, 移行方法, 移行実施体制及び移行スケジュールを明記した移行計画に従って, 移行作業を行っていた。
  • 移行ツールを利用して, データベースの移行及びその移行結果の検証を行っていた。
  • システム開発部門内に検証体制を作って移行結果の検証を行い, 移行完了としていた。
  • 解答を見る
    正解:エ

  • 指摘事項になりません。
  • 指摘事項になりません。
  • 指摘事項になりません。
  • システム開発部門だけでは検証不十分である。利用者側の検証も必要。


  • SC H24 秋 午前Ⅱ 問25

    システム監査で用いる統計的サンプリングに関する記述のうち,適切なものはどれか。

  • 開発プロセスにおけるコントロールを評価する際には,開発規模及び影響度の大きい案件を選定することによって,母集団全体の評価を導き出すことができる。
  • コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。
  • 正しいサンプリング手順を踏むことによって,母集団全体に対して検証を行う場合と同じ結果を常に導き出すことができる。
  • 母集団からエラー対応が行われたデータを選定することによって,母集団全体に対してコントロールが適切に行われていることを確認できる。
  • 解答を見る
    正解:イ



    SC H24 春 午前Ⅱ 問25

    内部監査として実施したシステム監査で,問題点の検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。

  • 改善事項を被監査部門へ事前に通知した場合,不備の是正が行われ,元から不備が存在しなかったように見える可能性があるので,被監査部門に秘匿する。
  • 監査人からの一方的な改善提案は実行不可能なものとなる恐れがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。
  • 経営判断に関することを避けるため,不備を改善する際の経済合理性などの判断を行わず,そのまま経営者に対する改善勧告とする。
  • 将来のフォローアップに際して,客観的で中立的な判断を阻害する要因となるので,改善勧告の優先度付けや取捨選択を行うことを避ける。
  • 解答を見る
    正解:イ



    SC H22 秋 午前Ⅱ 問25

    請負契約でシステム開発を委託している条件について, 委託元のシステム監査人の指摘事項に該当するものはどれか。

  • 委託した開発案件の品質を委託元の管理者が定期的にモニタリングしている。
  • 委託元の管理者が委託先の開発担当者を指揮命令している。
  • 契約書に機密保持のための必要事項が盛り込まれている。
  • 特定の委託先との契約が長期化しているので, その妥当性を確認している。
  • 解答を見る
    正解:イ



    SC H22 春 午前Ⅱ 問25

    "情報セキュリティ監査基準"の位置付けはどれか。

  • 監査人が情報誌さんの監査を行う際に判断の尺度としても一縷べき基準であり, 監査人の規範である。
  • 情報資産を保護するためのベストプラクティスをまとめたものであり, 監査マニュアル作成の手引書である。
  • 情報セキュリティ監査業務の品質を確保し, 有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
  • 組織体が効果的な情報セキュリティマネジメント体制を構築し, 適切なコントロールを整備, 運用するための実践規範である。
  • 解答を見る
    正解:ウ



    SC H21 秋 午前Ⅱ 問25

    ITにかかる内部統制を評価し検証するシステム監査の対象となるのはどれか。

  • 経営企画部が行っている中期経営計画の策定の経緯
  • 人事部が行っている従業員の人事考課の結果
  • 製造部が行っている不良品削減のための生産設備見直しの状況
  • 販売部が行っているデータベース入力・更新における正当性確保の方法
  • 解答を見る
    正解:エ



    SC H21 春 午前Ⅱ 問24

    アクセス権限を管理しているシステムの利用者IDリストから, 退職による権限喪失者が削除されていることを検証する手続として、最も適切なものはどれか。

  • アクセス権限削除申請書の全件について, 利用者IDリストから削除されていることを確認する。
  • 最新の利用者IDリストの全件について, 対応するアクセス権限削除申請書が存在しないことを確認する。
  • 人事発令簿の退職者の全件について, 利用者IDリストから削除されていることを確認する。
  • 利用者IDリストの更新履歴の全件について, 対応するアクセス権限削除申請書の存在を確認する。
  • 解答を見る
    正解:ウ



    SC H21 春 午前Ⅱ 問25

    外部保管のために専門業者にバックアップ媒体を引き渡す際の安全性について, セキュリティ監査を実施した。指摘事項となる状況はどれか。

  • 委託元責任者が, 一定期間ごとに, 専門業者における媒体保管状況を確認している。
  • 委託元責任者が, 専門業者との間で, 機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している。
  • 委託元担当者が, 専用の記録簿に, 引渡しの都度, 日付と内容を記入し, 専門業者から受領印をもらっている。
  • 委託元担当者が, バックアップ媒体を段ボール箱に入れ, 専門業者に引き渡している。
  • 解答を見る
    正解:エ