H18−問1 監査手続書の作成について
監査手続書は,システム監査において確認すべき監査項目や,システム監査に用いる監査技法などを記載したものである。
監査手続書の作成に当たって, "システム管理基準" , "情報セキュリテイ管理基準" などの基準や社内規程などが用いられる。
これらの基準や社内規程などを基に,監査目的を踏まえて,監査項目の追加や変更などを行って監査手続書を作成する。
したがって,システムが有効に活用されているかどうかを監査目的とする場合と,情報セキュリティが確保されているかどうかを監査目的とする場合とでは,監査項目は異なる。
また,監査対象となるアブリケーションシステム,ネットワーク,組織体制,業務プロセス,外部委託の範囲・内容,ソフトウェアパッケージの利用状況などを考慮して,監査手続書を作成することも必要である。
監査手続書に記載する監査技法には,インタビュー,現場の視察,各種資料の査閲など様々なものがあるので,監査項目と監査対象の状況に適した監査技法を選択することが重要になる。
例えば,アクセス管理が適切に行われているかどうかを監査するためには,アクセスログの分析などの監査技法がある。
しかし,分析に必要なアクセスログが取得されていなければ、アクセスログの分析を監査技法として選択することはできない。
そのような場合には,アクセス権限付与リストの査閲やバスワードの強制変更機能の検証など,ほかの監査技法を選択することになる。
システム監査人には,各種基準や社内規程などの目的及び内容を理解し,監査対象の状況を踏まえて監査手続書を作成する能力が求められる。
上記に基づいて,設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたが携わったシステム監査の目的と概要について,あなたの立場や役割を含めて.800字以内で述べよ。 |
---|---|
設問イ | 設問アのシステム監査の目的を達成するために,監査手続書の作成に当たって利用した基準や社内規程などと,設定した監査項目や選択した監査技法に関するエ夫について具体的に述べよ。 |
設問ウ | 設問イに関連してシステム監査を実施した結集,設問イで述べたエ夫によってどのような効果及び課題があったか。具体的に述べよ。 |
H18−問2 文書類の電子化とシステム監査について
従来,法令によって保存が義務付けられている書類や帳票などの文書類は,書面(紙媒体)で保存する必要があった。
しかし,企業における情報化の進展や電子政府の推進を背景に,e-文書法などの法令が施行され,文書類を電子的記録(以下,電子文書という)として保存することが認められるようになった。
これによって,文書類の保管コストの大幅な削減や,検索能力の向上による効率的な業務の実現などが期待されている。
一方,電子文書に対する適切なコントロールを確立しなければ,消失や改ざん,不正アクセスによる漏えいなど,電子文書の完全性及び機密性を確保できなくなるリスクがある。
また,ハードウェア障害などによって,必要なときに電子文書の表示や書面への出力ができないなど,電子文書の見続性を確保できなくなるリスクもある。
このようなリスクに対して,法令では電子文書の保存などに関する要件を定めている。
しかし,法的要件を満たすだけでは不十分である。保存対象となる電子文書に求められるビジネス要件を明確にして,適切なコントロールを確立し,それに基づいて電子文書の管理体制や規程などを整備する必要がある。
システム監査人は,このような状況を踏まえて,電子文書の取扱いがもたらすリスクを低減するためのコントロールが適切かどうかを確認しなければならない。
上記に基づいて,設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたか携わった業務では,どのような文書類を電子化したか。また,電子化の際の目的や期待したメリットについて,書面の場合と比較して800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた文書類の電子化において想定したリスクについて,法的要件とビジネス要件の違いに関連付けて,具体的に述べよ。 |
設問ウ | 設問イで述べたリスクを低減することを目的に監査を実施する場合,どのような監査手続が適切か。具体的に述べよ。 |
H18−問3 情報漏えい事故対応計画の監査について
個人情報をはじめとして情報漏えい事故が多発している。最近では,漏えいした個人情報が悪用されて詐欺被害に発展するなど,個人や社会に与える影響はますます大きくなっている。
また,個人情報だけではなく,営業秘密などの情報が漏えいした場合も,企業は大きな損失を被る可能性がある。
情報漏えい対案では,予防対策が必要不可欠である。
しかし,予防対策だけで情報漏えい事故の発生を完全に防ぐことは難しく,費用対効果の面からも予防対策には限界がある。
また,情報漏えい事故が発生したときの不適切な対応や対応の遅れによって被害が拡大したり,信用を失ったりする場合もある。
したがって,情報漏えい対策においては,予防対策と並んで,情報漏えい事故が発生したときの事故対応計画を策定しておくことが重要である。
情報漏えい事故が発生したときに迅速かつ適切な対応を行うためには,事故発生直後に初期対応として行うべき事項やその手順,初期対応が完了した後に行うべき事項やその手順などを事故対応計画としてまとめておかなければならない。
事故対応計画には,実際に事故が発生したときに,関係者が事故対応計画に従って迅速かつ適切に対応でき,対応策が十分に機能するといった実効性が求められる。
システム監査人は,このような状況を踏まえて,情報漏えい事故が発生したときの対応計画の実効性について監査を実施する必要がある。
上記に基づいて,設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたが関係する企業などにおいて,情報漏えい事故が発生したとき,組織や社会に重大な影響を及ぼす情報にはどのようなものがあるか。その情報が漏えいした場合の影響も含め,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,事故発生直後に行う初期対応として,事故対応計画に盛り込むべき事項について,具体的に述べよ。 |
設問ウ | 設問イに関連して,システム監査人が事故対応計画の実効性を監査する場合の監査手続について,具体的に述べよ。 |
H17−問1 システム監査の品質確保について
情報システムの企業内における役割の拡大,更には社会にもたらす影響の拡大に伴って,情報システムに関する経営者の管理責任が強く求められるようになっている。
例えば,情報漏えいや重大なシステムトラブルが発生した場合には,経営者の管理責任が問われることがある。そこで,経営者の管理責任を果たす上で,システム監査が重要な意味をもつことになる。
システム監査の役割は,独立した立場にある監査人が,情報システムに関するリスクに対して,適切なコントロールが構築・維持されているかどうかを客観的に点検・評価するとともに,コントロールの有効性や効率性を高めるための改善勧告を行うことといえる。
このような役割を果たすためには,システム監査の品質を確保し,高めていくことが有用になる。
システム監査の品質の確保及び向上においては,監査手順の遵守,適切な監査手続の実施,監査調書の作成・保存などの対応だけではなく,経営にとって有益な監査報告を行うことが重要である。
そのためには,システム監査人の育成及び教育,監査業務プロセスの継続的な改善,監査部門内での品質チェック,外部の第三者による品質評価などが必要になる。
情報システムに対するコントロールを高めていく上で重要な役割を担うシステム監査人は,システム監査の品質を確保し,向上させるように努めなければならない。
また,実施したシステム監査の品質確保の状況について,経営者や第三者に明確に説明できるようにしておくことも大切である。
上記に基づいて、設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたが携わったシステム監査の目的と概要について,システム監査の品質確保の重要性と関連付けて,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,システム監査の品質が十分でない場合に,どのような問題が発生すると考えられるか,具体的に述べよ。 |
設問ウ | 設問イで述べた問題について,システム監査の品質を確保し,高めるために必要な取組について,具体的に述べよ。 |
H17−問2 サービスレベルマネジメント監査について
情報システムの運用・保守業務をアウトソーシングする企業が増えている。
加えて,データ入力,帳票の印刷・発送業務,コールセンタ業務などを一括して委託する,ビジネスプロセスアウトソーシングと呼ばれる形態も現れてきた。
このような状況において,提供側と利用側との間で,サービスの提供時間や障害時の復旧時間などの品質保証項目とその値を定めたサービスレベルを明確にして,確保・維持することが重要な課題になっている。
このことは,サービスの提供企業と利用企業との間だけにとどまらず,企業内の情報システム部門とユーザ部門との間でも同じことがいえる。
しかし,利害の対立するサービスの提供側と利用側の間で,サービスレベルについて合意することは,容易ではない。
また,サービスレベルに関して合意し,明文化しても,それだけでばサービスレベルを確保・維持することはできない。
例えば,合意したサービスレベルの定義や前提条件があいまいな場合,サービスの提供側と利用側との間で認識が食い違ってしまったり,時間の経過とともに,当初合意したサービスレベルを維持できなくなったりすることもある。
したがって,サービスの提供側と利用側の双方において,サービスレベルを適切に確保・維持するためのサービスレベルマネジメントを確立する必要がある。
システム監査人は,監査を通じて第三者的な立場から,サービスレベルマネジメントの確立・維持に重要な役割を担っている。
上記に基づいて、設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたが関係した情報システムの運用・保守サービスの概要,及びそのサービスにおいて重要となるサービスレベルについて,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,サービスレベルの合意が容易でない理由,及び合意の形成過程において内部監査人や外部監査人が果たす役割について,具体的に述べよ。 |
設問ウ | 設問アに関連して,サービスレベルマネジメントが適切に確立・維持されているかどうかを監査する場合の監査手続きについて,具体的に述べよ。 |
H17−問3 情報システムの全体最適化とシステム監査について
企業を取り巻く経営環境の変化に伴い,企業では新たなビジネスモデルの構築,事業や組織の再編などの経営戦略によって企業価値を高め,競争優位を確保・維持しようとしている。
情報システムは,これらの経営戦略を迅速かつ効果的に実行するための基盤としてとらえられている。
しかし,情報システムの多くは,それぞれの業務を支援する目的で,個別に検討され,構築・導入がなされるとともに,ビジネス要件や情報技術の変化などに伴い,機能の追加や変更が繰り返されてきた。
その結果,企業全体としてみた場合,情報システム群が複雑になり,全体像を把握できなくなったり,情報システム間でデータや機能などが重複し,整合性がとれなくなったりしている。
例えば,在庫管理や販売管理のシステム化に際して,企業としての在庫の定義やデータ構造を統一せずに個別に構築したことから,物流拠点の出庫データと販売店の入庫データが一致しなかったり,在庫データの整合性を図るために新たな処理が必要になったりする場合がある。
このような状況から,企業全体の統一された目標や方針に従って,業務プロセス,データ,適用処理,IT基盤などを整理・体系化して,情報システム全体を改善する全体最適化が求められている。
システム監査においても,個々の情報システムを対象とした信頼性,安全性,効率性などの点検・評価のほかに,企業全体としてみた情報システムの全体最適化の視点から,情報システムを点検・評価すべき場合がある。
この場合,システム監査人には,個々の情報システムの範囲に限定される部分最適化とのトレードオフを踏まえて,情報システムの全体最適化について監査することが求められる。
上記に基づいて、設問ア〜ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの概要について,企業全体としての情報システムからみた場合の問題点と関連付けて,800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた内容を踏まえて,情報システムの全体最適化の計画,又は実施状況を監査する場合の監査項目について,具体的に述べよ。 |
設問ウ | 設問イで述べた監査項目に基づいて監査を実施する場合の手法について,具体的に延べよ。 |
論文例 論文例 |
H16−問1 取引先などの利害関係者への開示を目的としたシステム監査について
これまでのシステム監査は,企業などの経営者や管理者などに対して助言を行うという目的で実施されることがほとんどであった。しかし,情報システムの社会的な役割が増大する中,システム監査には新たな役割が求められてきている。
経済活動や社会活動の多くにおいて情報システムが利用されている今日では,一企業の情報システムの停止や誤動作が,他の企業や個人などに多大な影響を与える場合がある。このような状況においては,情報システムにかかわる安全性や信頼性について,個々の企業などが自己評価を行うだけでは必ずしも十分とはいえない。独立した第三者が客観的に企業などの情報システムを監査し,取引先などの利害関係者がその結果を利用できる外部監査の仕組みが,今日の社会において必要になっている。
例えば,企業などが情報システムの運用を外部に委託する場合には,委託業務の信頼性や安全性について評価する必要がある。
また,受託企業が多くの委託元から個別に評価を受けるのも非効率的である。この場合,受託企業が第三者の外部監査を受け,利害関係者に監査報告書を開示することによって,委託元の内部監査人などは,その結果を利用することができる。
一方,利害関係者への開示を目的とした監査においては,助言を目的とした監査とは異なった注意が必要になる。監査報告書を開示する企業は,利害関係者が報告書を適切に利用できるように,監査報告書の開示内容を考慮しなければならない。同時に,監査報告書を利用する利害関係者においても,監査範囲や監査内容を適切に理解した上で,報告書を利用することが求められる。
上記に基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが関係した組織における業務及び情報システムの概要,並びにその安全性や信頼性が利害関係者に及ぼす影響についてについて,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,利害関係者が監査報告書を適切に利用できるように,監査報告書の開示内容に盛り込むべき事項を具体的に述べよ。 |
設問ウ | 設問イに関連して,開示された監査報告書を利害関係企業などの内部監査人が利用して,監査を実施する場合の留意点について具体的に述べよ。 |
論文例 論文例 論文例 |
H16−問2 情報システムの統合とシステム監査について
事業規模の拡大や事業領域の再編を背景として,様々な形で企業の合併や買収などの企業統合が増えている。これに伴いそれぞれの企業の事業活動を支えてきた情報システムの統合も行われている。
企業統合においては,統合を計画どおり実施して,統合によるメリットを最大限に享受できるようにしなければならない。そのためには,情報システムの統合を円滑に行うことが企業統合の重要な成功要因の一つとなる。一方,情報システムの統合が円滑に進まないことから,企業統合の目的を十分に達成できない状況や,統合後のシステム障害の発生によって事業活動に支障を来す状況も発生している。
情報システムの統合においては,ある企業の情報システムを統合相手となる企業がそのまま利用したり,新たに情報システムを構築したりするケースがある。さらに,既存の情報システムを残して統合相手企業の情報システムと連結させるためのシステム機能を付加したりするケースもあり,対応は様々である。
情報システムの統合を進める際には,情報システムだけではなく,情報システムと密接な関係をもつ業務プロセスや内部統制機能など様々な視点から検討する必要がある。例えば,情報戦略,情報システムの管理・運用,社内手続などが統合相手企業と異なることから生じる問題にも適切に対応しなければならない。
システム監査人には,情報システムの統合に当たって幅広い視点から監査を実施することが求められる。また,統合目的の達成に向けた情報システムの統合が行われているかどうかを監査するためには,統合企業が合同で設置した企業統合委員会などの下にシステム監査チームを設置し,統合後の新体制を踏まえた監査を実施することが必要になる。
上記に基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの統合について,その目的と概要を,800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムの統合の適切性について監査する場合の監査項目を,想定されるリスクと関連付けて具体的に述べよ, |
設問ウ | 設問イに関連して,企業統合委員会などの下にシステム監査チームが設置される場合,それぞれの企業のシステム監査部門は,どのような点に留意すべきか具体的に述べよ。 |
論文例 |
H16−問3 IT投資計画の監査について
企業などでは,顧客サービスの向上や企業競争力の強化,競合他社との差別化などを図るために戦略的なIT投資を行ってきている。例えば,インターネット通信販売の実現によって,24時間販売による売上増加や,人件費及び店舗運営などのコスト圧縮だけではなく,インターネット利用者を対象とした新たな販路の拡大が期待される。
また,電子帳簿保存法やIT書面一括法など法制度面での整備も進んできている。取引記録や帳票などの電子的な保存によって,伝票類の印刷や保管などにかかわるコストの圧縮や,受発注から決済までの事務処理の効率の向上などを図ることができる。
一方,IT投資計画の策定においては,システム化によって生じるリスクを低減するための対応策を計画するとともに,システム化以前の業務手続との整合性を保ちつつ,新たな証跡を確保する仕組みの整備が重要となる。例えば,インターネット通信販売システムでは,個人情報の漏えい,決済処理ミスによる二重請求,システム障害によるサービスの停止などのリスクを低減するための対応策や,受注データなど取引の成立要件となる電子データの証跡確保,電子的に保存される帳簿類の真実性・見読性の確保などを含めた計画が必要となる。
このような状況を踏まえて,システム監査人は,IT投資による利便性や効率性などの効果だけではなく,関連法制度への準拠性の確保や,新しいビジネスモデルに伴うリスクを低減するための対応策及び必要なコストの検討など,総合的にIT投資計画が策定されているかどうかを確かめる必要がある。
上記に基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが携わった業務の概要と,その業務にかかわるIT投資の目的及び期待される効果について,経営戦略と関連付けて,800字以内で述べよ。 |
---|---|
設問イ | 設問アにで述べたIT投資計画において,リスクを低減するための対応策や法制度面での準拠性確保に関して,計画段階で考慮すべき点を具体的に述べよ。 |
設問ウ | 設問ア及び設問イで述べた内容を踏まえて,IT投資計画の適切性を監査する場合の監査ポイントを具体的に述べよ。 |
論文例 |
H15−問1 ソフトウェアパッケージの導入に伴うシステム監査について
システム構築にかかわる期間の短縮やコスト低減,ビジネスプロセスの改革による管理レベルや効率の向上などを目的として,ERPパッケージ(統合型業務パッケージ)を中心としたソフトウェアパッケージ(以下,パッケージという)を導入する企業が増えている。パッケージは,一般的に業界標準と考えられているビジネスプロセスに基づいて設計され,当該業務に必要な業務機能やコントロール機能が組み込まれている。
パッケージで想定されているビジネスプロセスについては,導入する企業が必要とするものと差異を生じることが多い。そこで,企業では,パッケージをカスタマイズするか,パッケージに適合したビジネスプロセスに変更することなどによって,導入を進めることになる。特に,大規模なパッケージ導入を行う場合には,全社的なビジネスプロセスの見直しが行われることが少なくない。この結果,ビジネスプロセスに組み込まれるコントロール機能について,現行レベルより向上したり低下したりする部分が発生する。
したがって,パッケージ導入によって変更されるビジネスプロセスにおいて,必要なコントロール機能や水準が確保されているかどうかの検討が不可欠になる。具体的には,ビジネスプロセスの設計段階で,新旧のビジネスプロセスにおけるコントロール機能のギャップを分析し,企業のコントロール水準に関する方針,リスク評価などを踏まえて,その企業が必要とするコントロールの確立を図ることが求められる。
システム監査人は,このような状況を踏まえて,パッケージ導入を前提とした場合のコントロールの適切性について監査を実施しなければならない。
あなたの経験と考えに基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが携わったパッケージ導入の概要と,導入に当たって実施したパッケージのカスタマイズやビジネスプロセスの変更について,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,パッケージ導入によってコントロールの低下をもたらすリスクと監査の必要性について,具体的に述べよ。 |
設問ウ | 設問イに関連して,パッケージ導入に当たっての設計段階で,コントロールの適切性に関する監査を実施する場合の留意点を具体的に述べよ。 |
論文例 論文例 |
H15−問2 事業継続計画(ビジネスコンティニュティプラン)の監査について
情報技術の進展に伴い,情報システムの役割は,企業の事業活動とますます密接なつながりをもつようになってきている。また,企業合併に伴う情報システム統合や情報システム間の相互接続などによって,システムの大規模化と複雑化も進んでいる。
一方,情報システムのグローバル化や24時間稼動によって,障害などによる情報システムの許容停止時間は短くなりつつある。障害,事故,災害,犯罪,テロなどを原因とする情報システムの機能停止によって,企業にとって重要な事業活動が長時間にわたって中断するリスクを無視することができなくなっている。このようなリスクは,社会的に大きな影響を及ぼす可能性もある。そのため,経営上の最優先課題の一つとして事業継続計画を策定しておくことが重要である。
事業継続計画を策定する際には,事業活動の重要度や情報システムへの依存度などを踏まえて総合的に判断する必要がある。例えば,かつては情報システムが停止しても,紙の伝票などの代替手段によって業務を継続できていた。ところが,取り扱うデータ量の増加や情報システム間のデータ連携の広がりなどによって,現在では情報システムの利用なくして業務を継続できない場合がある。したがって,事業継続という観点からは,緊急時対応計画を策定するだけではなく,企業は,事業戦略に基づいた情報システムのサービスレベルを定義し,コストとの関係において適正な情報システムの可用性を確保しなければならない。
システム監査人は,このような情報システムの役割やリスクの変化を踏まえて,事業継続計画の策定状況と,その実効性について監査を実施する必要がある。
あなたの経験と考えに基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの概要と,その情報システムのリスクが事業活動の継続にどのような影響を及ぼすかについて,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,事業継続計画を策定する場合の留意事項と,円滑に事業活動を継続するためのコントロールを具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して,事業継続計画の実効性について監査を実施する場合のポイントと留意点を具体的に述べよ。 |
H15−問3 情報セキュリティマネジメントシステムにおけるシステム監査について
今日,セキュリティ事故によって被る直接的及び間接的な損害,並びにその対策費用は,経営的な観点からも無視できなくなっている。また,技術面,設備面の対策だけでセキュリティ事故を防ぐことは難しく,組織体制や教育などの運用面での対策を適切に組み合わせて対応する必要がある。このため,経営者はセキュリティを経営上の課題として認識し,セキュリティ対策に取り組んでいかなければならない。
情報セキュリティマネジメントシステムは,企業活動を適切に運営するために必要なマネジメントシステムの一つである。情報セキュリティマネジメントシステムとは,個別のセキュリティ問題ごとの技術対策に加えて,事業戦略やリスク評価によって必要なセキュリティレベルを定め,それを継続的に維持するための組織的な仕組みをいう。また,情報セキュリティマネジメントシステムは,セキュリティ目標を達成する上で,効率的かつ効果的なセキュリティ対策を実現するためにも必要な仕組みである。
経営者は,組織の情報セキュリティマネジメントシステムを構築するとともに,それによって組織のセキュリティ目標が実際に達成されているかどうかについても検証していくことが必要である。システム監査は,経営者に代わって,情報セキュリティマネジメントシステムの実効性について監査を実施するという重要な役割を担うことになる。
あなたの経験と考えに基づいて、設問ア,イ,ウについてそれぞれ述べよ。
設問ア | あなたが関係した組織におけるセキュリティの現状と情報セキュリティマネジメントシステムの必要性について,800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して,情報セキュリティマネジメントシステムの構築や維持において,どのような組織体制が必要になるか,それぞれの役割とともに具体的に述べよ。 |
設問ウ | システム監査人が情報セキュリティマネジメントシステムの実効性について監査を実施する場合の主要な監査項目と監査手続きを具体的に述べよ。 |
論文例 |
H14−問1 システム監査における監査調書の作成と整備について
監査調書とは、システム監査の実施内容を記録した資料であり、システム監査人が作成したものや、被監査部門から入手した資料などを取りまとめたものである。システム監査人は、監査調書に基づいてシステム監査報告書を作成する。したがって、監査調書は、システム監査人が専門家としての相当な注意をもってシステム監査を実施し、監査目標に適合した監査意見を表明するために不可欠な資料である。例えば、監査調書に記録されていない事項をシステム監査報告書に記載することは、監査証拠の裏付けのない監査意見を述べることになり、システム監査報告書の正確性を損なう原因となる。
さらに、監査調書は、監査報告書に記載された改善勧告に基づいて適切な措置が講じられているかどうかをフォローアップするときにも、その改善効果を具体的に分析するための資料になる。また、次回以降のシステム監査を合理的に実施するための参考資料としても重要である。
このように、監査調書は、システム監査を実施する上で監査人と被監査部門双方にとって重要なものである。システム監査人は、監査意見を表明するために十分な監査調書を作成するとともに、次回以降の監査で有効活用できるように監査調書を整備しておく必要がある。また、システム監査責任者は、客観的な立場で監査調書を査閲して、予備調査や本調査での監査手続や監査判断が適切であったかどうかを評価しなければならない。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった業務の概要と、その業務にかかわる情報システムを対象として監査を実施する場合の監査目的及び監査目標について、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムの監査において、その監査報告書における監査意見の根拠を明らかにするために、監査調書を作成する上で留意すべき点を具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して、次回以降の監査に向けてどのように監査調書を作成しておくべきか。留意すべき点とその理由を具体的に述べよ。 |
論文例 論文例 |
H14−問2 アウトソーシングの企画段階におけるシステム監査について
今日、情報システムのアウトソーシングを実施する企業が増えている。他社との激しい競争の中で、情報システムの運用などの定型的な業務をアウトソーシングして資金や人といった資源をより戦略的な分野に集中させる企業や、新しい情報技術を迅速に採り入れるために、アウトソーシングを実施する企業もある。また、インターネットビジネスに代表されるように、高い可用性と、高度なセキュリティ管理を必要とする情報システムの運用に関してもアウトソーシングサービス利用のニーズは高まっている。
一方、このような企業のニーズを反映し、大手情報処理サービス業者に加えて、ベンチャ企業、外資系企業、異業種企業など、様々な企業がアウトソーシングビジネスに参入してきている。
しかし、アウトソーシングを実施したすべての企業がそのメリットを享受できるわけではない。当初想定していたアウトソーシングの目的を達成できなかったり、逆に想定していなかったリスクに見舞われたりする企業もある。また、事業戦略を実現する手段としてアウトソーシングが適切でない場合もある。したがって、アウトソーシングを実施するに当たっては、アウトソーシング実施の意思決定からアウトソーシング先との契約までの企画段階において十分な検討が必要になる。
システム監査人は、アウトソーシングの企画段階でシステム監査を実施することによって、アウトソーシングのリスクが適切に管理されているかどうかを確認する必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムで、現在行われているアウトソーシング、又は将来行われる可能性のあるアウトソーシングについて、そのアウトソーシングの目的及び概要を 800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して、企業がアウトソーシングを実施する場合に、考慮すべき重要なリスクの概要、及びそれらのリスクを適切に管理するために企画段階で実施すべき内容について述べよ。 |
設問ウ | 設問ア及び設問イに関連して、アウトソーシング実施の意思決定の合理性に関して、システム監査を実施する場合の監査要点について述べよ。 |
論文例 |
H14−問3 IT ガバナンスとシステム監査について
企業では、IT を活用した新たなビジネスモデルの構築や、IT を駆使した効率的な経営の推進など、IT の進展を積極的に採り入れた情報戦略によって、市場における競争優位を獲得しようとしている。例えば、CRM (Customer Relationship Management)を導入し、顧客の属性や取引内容などを一元的に管理し活用することによって、顧客との関係を強化し、競合他社との競争に勝ち抜こうとしている。また、他社に先駆けてインターネットを活用したビジネスモデルを創造し、新たなビジネスチャンスを獲得しようとしている。
IT の進展は著しいので、情報戦略の策定・実行に際しては、市場での競争優位の獲得に有効か、投資採算性はどうか、サービスレベルは達成できるか、リスクマネジメントに問題はないかなど、多面的かつ迅速な経営判断が求められている。また、IT を活用して競争優位を獲得するためには、企業には、情報戦略の策定・実行をコントロールし、あるべき方向へ導く能力が必要になる。さらに、企業全体としての情報リテラシも不可欠である。このような企業が備えるべき組織能力は、IT ガバナンスと呼ばれる。
今日、企業にとって IT ガバナンスを確立することが重要な課題のひとつとなっている。IT による競争優位を獲得する組織能力が企業に備わっているか、それが有効に機能しているかどうかの判断がシステム監査人に求められている。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | 競争優位の獲得に関して IT に期待される役割を、あなたが携わった事業の概要と関連付けて、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた内容を踏まえて、IT ガバナンスの視点からどのような課題があると考えられるか。情報戦略の目的達成にかかわるリスクと関連付けて、具体的に述べよ。 |
設問ウ | 設問イに関連して、企業の組織能力としての IT ガバナンスの状況を監査する上でどのような点に留意すべきか、システム監査人の立場と関連付けて、具体的に述べよ。 |
論文例 |
H13−問1 リスクを重視したシステム監査の実施について
今日、企業経営の情報システムへの依存度が高まる中、情報システムに関連する経営上のリスクはますます大きくなっている。
情報システムに関連する経営上のリスクとは、情報システムに起因して企業などが経済的又は社会的な価値を失う可能性、あるいは獲得できなくなる可能性をいう。
このようなリスクは、情報システムに対する脅威とその情報システムなどがもつぜい弱性が結びついて顕在化する。
リスクは、企業経営を行っていく上で避けることのできないものであるが、適切なリスクコントロールを行っていくことでそのリスクを低減することができる。
そして、システム監査人は、情報システムに適切なリスクコントロールを確保する上で重要な役割を担うことになる。
一方、情報技術の利用拡大に伴う監査対象領域の拡大や情報技術の高度化によって、システム監査人には、今まで以上に高度かつ幅広い知識が要求されるようになった。
しかし、多くの企業において、そのようなシステム監査人を十分確保することは難しく、システム監査の実施において、重要な問題点を発見できず、監査の目的を達成できないという監査実施上のリスクが増大していることも考慮しなければならない。
このような状況においてシステム監査人は、監査対象のリスクに加えて監査実施上のリスクについても考慮しながら、年度監査計画や個別監査計画を策定していく必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった組織において、経営上のリスクが大きいと考える情報システムについて、そのリスクとリスクコントロールの概要を800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して、システム監査人が監査計画を策定する場合に、監査対象のリスク及び監査実施上のリスクをどのように考慮すべきかについて、具体的に述べよ。 |
設問ウ | 設問イに関連して、監査実施上のリスクを低減するための方法について、具体的に述べよ。 |
論文例 論文例 論文例 |
H13−問2 新しい企業価値の創造を実現する情報システムの監査について
情報システムの目的は、業務の効率化やコスト削減、営業活動支援による販売拡大、顧客サービスの向上など様々である。
最近では、インターネットなどを利用して新しいビジネスモデルを構築し、従来の市場にない新しい企業価値の創造を実現する情報システムの構築に取り組む企業が増えつつある。
このような情報システムの構築に当たっては、情報システムが企業変革を視野に入れた経営戦略に沿って構築され、その目的が達成されているかどうかがトップマネジメントにとって大きな関心事になる。
システム監査人は、新しい企業価値の創造を実現する情報システムを監査する場合、新しいビジネスモデルがもつ戦略的インパクト、その中で果たす情報システムの役割などを把握する必要がある。
また、経営目標の達成度合いを測定する指標の有無、指標の内容及び目標値についても確かめなければならない。
このような測定指標を把握した上で、具体的な監査目標を設定することが、監査の実施に際してカギとなる。
さらに、監査目標を達成するためにいかなる監査手続を適用するかは、限られた監査スタッフや監査期間内で監査の成果を着実にあげるために重要な意味をもつ。
システム監査人は、経営目標を踏まえて、適切な監査手続きを選択しなければならない。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムのシステム化の背景と目的、又は今後の新規開発の可能性を、新しい企業価値の創造や情報戦略と関連付けて、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムに関連して、新しいビジネスモデルの構築や新しい情報戦略の実現を目的とした情報システムを監査するために、どのような監査目標を設定すべきか、具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して、監査目標を効果的かつ効率的に達成するための監査手続きについて、具体的に述べよ。 |
論文例 論文例 |
H13−問3 企業間連携を支援する情報システムの監査について
近年、インターネットをはじめとする情報技術を活用して、取引先との連携を図る企業が増え始めている。
例えば、取引先を含めた効率的な生産計画の策定や正確かつ迅速な納期の実現、在庫削減の推進など、業務プロセス全体の最適化を図るサプライチェーンマネジメントの考え方が導入されるようになっている。
効果的かつ効率的な企業間連携を実現するためには、取引企業間で生産や在庫、販売などの業務プロセスを標準化し、情報の共有化を図ることが重要になる。
情報システムの可用性を確保するためには、取引企業の情報システムがそれぞれ正常に稼働しているだけでなく、企業間で必要な情報を、必要なときに、適切なインタフェースで利用できることが必要である。
また、この企業間連携を支援する情報システムのいずれかにおいて、システム障害が発生したり、データのエラーや不整合などが生じると、連携する企業の業務全体に大きな影響を与える場合がある。
システム監査人は、このような企業間連携の特徴を踏まえて、企業間連携を支援する情報システム全体の可用性や情報の整合性の確保にかかわるコントロールが適切であるかどうかを確かめる必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった業務の概要と、企業間連携を支援する情報システムの導入状況又は導入可能性について、800字以内で述べよ。 |
---|---|
設問イ | 設問アに関連して、企業間連携を支援する情報システムにおいて考慮すべきリスク、及びそのリスクを低減するためのコントロールを具体的に述べよ。 |
設問ウ | 設問ア及びイに関連して、企業間連携を支援する情報システムの可用性、及び情報の整合性を確かめるための監査手続きについて、具体的に述べよ。 |
論文例 論文例 |
H12−問1 セキュリティポリシの監査について
今日、情報漏えいやネットワークへの不正アクセスといった情報セキュリティにかかわる事件の増加に伴い、セキュリティポリシ策定の重要性が指摘されている。セキュリティポリシとは、組織が保有する情報資産を適切に保護するために、セキュリティ対策に関する統一的な考え方や具体的な遵守項目を定めたものである。
適切なセキュリティ対策を実施するためには、単にセキュリティポリシを策定するだけでは不十分であり、策定したセキュリティポリシを適切に運用する必要がある。そして、策定したセキュリティポリシの実効性を確保するためには、システム監査が重要な役割を果たすことになる。
セキュリティポリシに関連したシステム監査では、運用段階におけるセキュリティポリシの遵守状況を調査することが重要であるが、単にそれだけではセキュリティポリシの実効性を高めるためには不十分である。システム監査人は、セキュリティポリシの策定段階におけるプロセスの適切性や、運用段階における環境の変化に伴うセキュリティポリシの妥当性についても調査を実施する必要がある。例えば、システム監査人が運用段階の監査において、不正アクセスなどのセキュリティ上の問題が実際に発生している状況を発見した場合には、その状況によってはセキュリティポリシ自体の改定を行うように提案することも必要になる。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが所属する組織におけるセキュリティポリシの必要性とその策定状況について、800字以内で述べよ。 |
---|---|
設問イ | システム監査人がセキュリティポリシの策定段階で監査を実施することの必要性及びその監査目標について述べよ。 |
設問ウ | セキュリティポリシの運用段階において、セキュリティポリシが遵守されているにもかかわらずセキュリティ上の問題が生じる場合がある。このような状況が発生する理由及びシステム監査人の対応について述べよ。 |
論文例 論文例 論文例 |
H12−問2 システム監査における証拠収集について
電子帳簿保存法の施行や、電子商取引の拡大を背景として、ディジタル化された資料を調査対象とする機会が増加している。例えば、会計帳簿が紙からディジタルデータになり、電子商取引においては、注文書や請求書などの紙の書類による取引データの授受がディジタルデータによる送受信へと代わる。したがって、システム監査人は、監査実施時にディジタルデータを取り扱う機会が多くなってきている。
紙の文書や資料を対象とする場合には、押印、署名、筆跡、紙質、インクなどで事実の確認が可能であった。しかし、ディジタルデータにおいては、収集したディジタルデータやそれを出力したものだけで発見した事実を明確に説明することが難しくなる。例えば、被監査部門から、システム監査人が収集したディジタルデータの内容について異議の申立てがあった場合、システム監査人がディジタルデータやそれを出力したものを被監査部門に示しただけでは十分に納得させられないおそれがある。
監査証拠は監査意見の基礎となるので、システム監査人は、監査証拠の収集の過程を明確にして、被監査部門や関係者に十分な説明ができるようにしなければならない。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの概要と、その情報システムを監査する場合に調査対象となる資料のディジタル化の状況について、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた状況に関連して、システム監査人は、ディジタル化された監査証拠の収集に当たって、どのような点に配慮しなければならないか、具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して、システム監査人には、どのような知識、技術及び能力が必要になるか、具体的に述べよ。 |
論文例 |
H12−問3 データウェアハウスの監査について
近年の消費者ニーズの多様化や製品ライフサイクルの短縮化、グローバル化の進展などによって、企業の経営を取り巻く環境は大きく変化している。経営者は、この経営環境の変化の中で、競争優位を獲得し維持するために、経営状況を的確に把握して迅速な判断を行うことが求められている。
このような背景のもと、意思決定に必要となる情報を適時に提供することを目的としてデータウェアハウスを構築する企業が増えている。データウェアハウスとは、業務プロセスで発生する情報を、それぞれの業務システムから抽出・変換し、データベースに一元的に格納することによって、経営判断に必要な情報の提供や様々な視点からの検索・分析を支援する情報システムである。しかし、システム化の目的や構築時期が業務システムごとに異なっていることから、それぞれの業務システムで持つデータの定義や意味、生成タイミングなどが異なる場合がある。また、過去からの推移分析に備えて、データを刻々とデータベースに追加・蓄積していく必要があるとともに、新たな視点からの分析を可能にするためのデータを追加することも想定しておく必要がある。このため、あらかじめデータ量の増加を考慮した設計も必要とされる。
このような状況を踏まえて、システム監査人は、データウェアハウスの監査に当たっては、各業務システムとの関係が検討され、経営環境の変化に柔軟に対応し、しかも正確で内容の一貫した情報が適時に提供され、適切な判断を支援しているかどうかを確かめる必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった業務の概要と、データウェアハウス導入のねらい、及び導入状況又は導入可能性について、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べたデータウェアハウスについて、想定されるリスク、及びそのリスクを低減するためのコントロールを、有効性・可用性・機密性などの視点から具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して、データウェアハウスの有効性を確かめるための監査手続について、それぞれの監査目標と対応させて具体的に述べよ。 |
論文例 論文例 |
H11−問1 電子商取引のシステム監査について
受発注や決済をディジタルデータで行う電子商取引は、インターネットの普及に伴って、特定の企業間を対象とするものから不特定多数の企業や個人を対象とするものへと拡大している。
電子商取引は、取引にかかわる事務処理の効率化を実現するだけではなく、新たな取引先の開拓や調達コストの低減、個々の顧客ニーズに応じたサービス提供や商品販売を可能とする新しいマーケティングの展開など、ビジネス活動に及ぼすメリットも大きい。
しかし、その一方で、取引データの破壊・改ざん・漏えいなどのリスクは、企業活動に大きな影響を及ぼすので、企業では、システムの可用性確保、取引データの機密保持やインテグリティ確保の対策に加えて、監査証跡への配慮などが必要になる。
システム監査人は、電子商取引のリスクを認識した上で、システム監査を実施しなければならない。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった電子商取引にかかわる情報システムの概要を、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムに関連して、電子商取引の導入に伴ってビジネス活動上新たに生じるリスク、及びリスクを低減するためのコントロールを具体的に述べよ。 |
設問ウ | 設問ア及び設問イに関連して、取引にかかわる書類のディジタル化によって監査手続がどのように変化するか、その特徴を述べよ。 |
論文例 |
H11−問2 分散開発環境におけるコントロールの監査について
近年の情報・通信技術の発達に伴い、企業は LAN やインターネットなどのネットワークを利用したコミュニケーション環境を整備しつつある。情報システムの開発プロジェクトにおいても、コミュニケーション環境を利用し、物理的に離れた場所で同時・並行的に行う開発方式が増えてきている。
このような分散開発環境においては、関係者の間で十分な意思疎通が図れなかったり、システム開発標準が徹底されなかったり、又はこれらの原因によって、開発しているシステム構成間で不整合が生じたりするなどのリスクが高まる傾向にある。開発業務を円滑に遂行するためには、これらのリスクを低減することが必要であり、適切なコントロールが求められる。
システム監査人は、このような状況を踏まえ、分散開発環境におけるコントロールが適切であるかどうかを確かめなければならない。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの概要を、分散開発環境を必要とする背景やねらいと関連させて、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムの分散開発環境におけるリスクを挙げ、それを低減させるためのコントロールを具体的に述べよ。 |
設問ウ | 設問イで述べたコントロールの適切性を確かめるための監査手続を具体的に述べよ。 |
論文例 論文例 論文例 |
H11−問3 システムの保守に関する監査について
システムが完成し稼働を開始した後においても、ユーザの新たなニーズや動作環境の変化に対応するために、ソフトウェアの保守が必要になる。
ソフトウェアの保守とは、情報システムを新しい動作環境下や、より望ましい状態で運用するために、ソフトウェアを変更・修正・追加していく継続的な作業である。具体的な保守作業としては、ユーザの変更要求又は新要求に対応するソフトウェアの変更や、ソフトウェアに内在する不整合の修正に加えて、オペレーティングシステム、DBMS、ミドルウェアのバージョンアップへの対応などがあり、迅速かつ適切な対応が求められる。
保守の実施に際して、事前の調査・分析が十分に行われない場合には、ユーザ要求への対応が完全に実施されなかったり、新たな不整合が発生したり、保守コストが増大するといったリスクが生じる。また、保守を円滑に実施するためには、保守段階に限らず、企画及び開発段階から保守体制の確立や拡張性の高いシステム設計を行うなど、保守に対する十分な配慮も大切である。
ソフトウェアの保守を対象とした監査では、以上のような保守状況を十分に考慮した上で監査を行う必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが携わった情報システムの概要と、そのソフトウェアの保守を必要とする主たる要因、保守を行う上で重視すべき点を、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた保守作業を円滑に実施するために、システムの企画・開発・保守の各段階において、それぞれ考慮すべき事項を述べよ。 |
設問ウ | 設問イの“保守段階”で述べた事項について、コントロールの適切性を確かめるための監査手続を具体的に述べよ。 |
論文例 |
H10−問1 システム監査人のコミュニケーション能力について
システム監査人は、情報システムの信頼性、安全性及び効率性を確保するコントロールの妥当性を点検・評価する為に、ヒアリング、閲覧、現地調査など様々な監査技法を利用し、各種情報の収集と分析を行う。
情報システムのコントロールの実態を正しく把握する為の情報収集、指摘事項の伝達やフォローアップの為の情報提供などにおいて、システム監査人には優れたコミュニケーション能力が求められる。
システム監査人は、必要な情報を効率的に収集する為に、被監査部門における業務分掌や職務権限など、個々の担当者のおかれた立場や背景を理解し、より正確な情報が収集できるように適切な方法を選択する必要がある。また、収集した情報に齟齬が発見されたり、情報の正確性に疑問が生じたりした場合には、より正確な心証を得るために、新たな情報の収集と分析が必要になる。
すなわち、システム監査人のコミュニケーション能力によって、システム監査がもたらす効果は大きく左右される事になる。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要と、その情報システムのコントロールにかかわる問題について、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムを監査するに当たって、監査目的を具体的に設定した上で、どのような情報を収集すべきかについて述べよ。また、収集した情報を分析し、正確性を確かめるための手続きについて述べよ。 |
設問ウ | 設問イに関連して、情報の収集、指摘事項の伝達及びフォローアップのための情報提供におけるコミュニケーション上の留意点について具体的に述べよ。 |
論文例 |
H10−問2 個人情報保護に関するシステム監査について
インターネットに代表されるネットワークの広範な普及に伴って、WWW を利用した新製品に関するアンケート調査、商品の購入や申込みの受付など、個人から直接収集される情報に基づいた新たな企業戦略が展開されつつある。従来から収集・蓄積・利用している個人情報とともに、このような新しい仕組みを利用して収集した個人情報は、企業の重要な資産となり、様々な戦略に活用され始めている。
一方、欧州連合が採択した“個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令”(1995年)、わが国の“民間部門における電子計算機処理に係る個人情報保護に関するガイドライン”(1997年)の内容を見ると、個人情報の収集・蓄積・利用を適切に行うこと、また、第三者への提供に関する留意事項が定められている。
情報システムが個人顧客と直接にかかわりを深めていくことに従い、これらのガイドラインを参考にして、個人情報の保護に関するコントロールの適切性を監査することが必要になる。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要を、その情報システムにおける個人情報の取扱いと関連させて、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムに関して、個人情報保護の観点から想定されるリスクと組み込むべきコントロールの内容について、個人情報の収集・蓄積・利用・提供のそれぞれの視点から整理して述べよ。 |
設問ウ | 設問ア及び設問イの解答を踏まえて、個人情報にかかわるコントロールの適切性を監査する場合の留意点について、個人情報の収集・蓄積・利用・提供のそれぞれの視点から述べよ。 |
論文例 論文例 論文例 論文例 |
H10−問3 情報システムの災害復旧対策の監査について
情報システムを取り巻く重大な脅威の一つに災害がある。災害による情報システムの損壊は、ビジネスの広範囲にわたって深刻な被害をもたらす可能性があるので、十分な対策を講じる必要がある。
情報システムの災害対策としては、災害による被害の未然防止又は被害を軽減する対策、及び情報システムを速やかに正常な状態に復旧するための対策がある。具体的には、耐震強度の高い建物への入居、バックアップシステムの構築、データの定期的な分散保管、更に災害対応マニュアルの整備などがある。
情報システムが災害に遭遇した場合には、損害の状況を把握し、災害対策マニュアルに沿って早期に業務の復旧を図る必要がある。しかし、災害はあらかじめ想定した規模や範囲で発生するとは限らないので、災害対策マニュアルには、被災状況に柔軟に対応できるような工夫と、災害対策マニュアルに準拠した復旧訓練の実施が重要である。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムのシステム構成と、情報システムが果たしている役割の重要性について、災害のリスクを踏まえて、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムに関して、災害に備えた復旧対策の適切性について監査ポイントを述べよ。 |
設問ウ | 設問イで述べた監査ポイントに対応して、具体的な監査手続きについて述べよ。 |
H9−問1 情報システムを取り巻く環境変化を踏まえた監査対象領域の選定について
経済のグローバル化や規制緩和などを背景として、情報システムの適用範囲が拡大している。また、ネットワークの普及によって、例えばエクストラネットと呼ばれる一企業の枠を越えた情報システムが出現している。このような経営環境の変化に対応するための情報システムは、組織内部の効率化を主な目的とするだけでなく、他企業の情報システムとの連携や、更には広く一般市民を含めたコミュニケーションを目的として、社会的基盤となったネットワークも利用することが求められる。その結果、情報システムのリスクも変化し、増大することが想定される。
システム監査人は、このような社会的な広がりをもつようになった情報システムの特質を認識するとともに、経営戦略を踏まえて、監査対象領域を適切に選定することが求められている。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要と、そのシステムが経済のグローバル化、規制緩和、ネットワークの普及などによって変化した、又は今後変化すると思われる点について、経営戦略と対応させて800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた情報システムについて、想定されるリスクと、それに基づく監査対象領域にはどのようなものがあるか。他企業の情報システムとの連携や、一般市民とのコミュニケーションをも視野に入れたネットワークとの関係を踏まえて述べよ。 |
設問ウ | 設問ア及び設問イの解答を踏まえ、社会的な広がりをもつようになった情報システムを監査する場合の監査ポイントを述べよ。 |
論文例 |
H9−問2 モバイルコンピューティングを対象とした監査について
携帯可能なコンピュータの普及や移動体通信基盤の充実に伴い、コンピュータ端末を通信手段と組み合わせ、公衆回線網を通じて外部から組織内データを活用する“モバイルコンピューティング環境”が出現している。
モバイルコンピューティング環境では、端末を利用する場所が一定ではなく、利用時に管理者が身近にいないなど、利用者に対するけん制機能が働きにくい状況となる。また、端末の盗難、置き忘れによって、第三者に端末が渡る可能性も生じる。その結果、端末上のデータの漏えい・改ざんや、第三者からの不正なアクセスなどのリスクが増大する。
一方、モバイルコンピューティング環境での通信品質は、利用場所の影響を受けやすいので、データの信頼性や安全性について、注意を払う必要がある。
モバイルコンピューティング環境におけるシステムを対象としたシステム監査は、技術的背景や利用環境の特性などを踏まえて実施する必要がある。とりわけ、セキュリティ対策の妥当性を慎重に評価し、利便性とのバランスのとれた提言を行うことが望まれる。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった業務の概要と、その業務へのモバイルコンピューティングの適用状況又は適用可能性について、800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた業務を、モバイルコンピューティング環境で運用した場合、生じるリスクについて述べよ。 |
設問ウ | 設問イで述べたリスクを軽減するために必要となる統制機能とその監査ポイントを述べよ。 |
論文例 |
H9−問3 システム監査結果のフォローアップについて
システム監査の結果は、情報システムの信頼性・安全性・効率性、更には経営戦略との整合性などの観点に照らして報告される。
監査の結果、情報システムが必ずしも経営戦略と合致しない場合や、信頼性・安全性・効率性の面から課題が浮き彫りになる場合がある。システム監査人は、これらの課題に対する指摘事項、改善勧告を経営者に報告するとともに、講評の場などを通じて被監査部門及び関連部門の理解を深める必要がある。
更に、システム監査人は、監査結果に基づく改善状況をフォローアップし、作業範囲、作業方法及び実施時期などが、経営者の意図に従ったものであるか否かを確かめておくことが重要である。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要と、システム監査人の立場からそのシステムについて改善すべき課題を、システム構成や業務特性を踏まえて、800字以内で述べよ。 |
---|---|
設問イ | あなたはシステム監査人として、設問アで述べた課題に関する改善勧告の妥当性を、被監査部門及び関連部門に対し、どのような論拠と方法で理解させるかについて述べよ。 |
設問ウ | あなたはシステム監査人として、設問イで述べた改善勧告に対する改善状況をフォローアップするに当たり、被監査部門及び関連部門の対処状況を客観的に判断するための留意点を述べよ。 |
H8−問1 情報技術の有効性の監査について
コンピュータネットワークの広範な進展によって、バーチャルコーポレーションと呼ばれる新しい事業形態が出現するなど、情報技術を効果的に利用した事業基盤をもとに、企業は新しい経営構造への展開を迫られつつある。
このような経営環境の変化に適合し、経営構造を革新するためには、組織風土や経営組織に与える影響及びその対応も考慮し、全社的な視点に立って情報技術の導入を立案することが重要である。
また、情報技術の導入効果を最大限に発揮するためには、経営組織を再検討するとともに、企業を取り巻く関係者(例えば、調達先、納入先企業など)との協業構造を分析し、合意形成に向けた効果的なコミュニケーションを図ることも必要とされる。
システム監査人は、こおのような状況を踏まえ、情報技術の導入と適用に際して、変貌しつつある経営環境への適合性、又は経営戦略との整合性という視点から、情報技術の有効性を確かめるとともに、先進事例も踏まえて提言することが求められつつある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要と導入のねらい、及びその情報システムに適用した情報技術について800字以内で述べよ。 |
---|---|
設問イ | 設問アの解答を踏まえ、情報技術の有効性を確かめる監査目標について、理由を付して述べよ。 |
設問ウ | 設問イで述べた監査目標を確かめるための監査手続を述べよ。 |
H8−問2 ペーパーレスを指向した業務システムの監査について
ネットワークの進展や大容量記憶媒体の低価格化に伴い、業務効率の向上や情報共有化の促進をねらいとしたペーパーレスを指向した業務システムが普及しつつある。
従来、取引・決済や意思決定などにおいては、主要な記録は書面によっていた。
現在ではこれらの局面においても、電磁的記録に置き換えらる場合が生じている。
このような業務システムにおいては、監査を遂行するために必要な証拠が電磁的記録でしか存在しない場合も増えつつある。
また、これらの電磁的記録そのものも、各種方式で暗号化されたり、ICカードに記録された情報など専用の入出力装置でしか内容を確認できなかったりする場合が出現している。
電磁的記録は、内容を直接視認することができないので、監査証拠としての信頼性を確保し、その証拠能力を高めるためには、十分な配慮が必要となる。
また、ネットワークの進展とともに、第三者がアクセスできる機会が増えたため、監査証拠自体が改ざんされる可能性も高まっている。
こうした、いわゆるペーパーレスシステムにおける種々の特性にかんがみ、システム監査人は、監査の各局面において、監査証拠の特性や内部統制の実現の仕組みを考慮して、的確に取り組む必要がある。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたが現在従事している業務の概要と、その業務システムにおけるペーパーレスへの取り組みについて800字以内で述べよ。 |
---|---|
設問イ | 設問アで述べた業務システムにおいてペーパーレス化に起因するリスクと、それを回避するための内部統制について述べよ。 |
設問ウ | 設問イで述べた内部統制の有効性を確かめるための監査手続を述べよ。 |
H8−問3 情報システムのアウトソーシングの監査について
情報システムの投資額と運用コストの削減、委託先企業の専門的能力の効果的利用などを目的として、情報システムの開発・運用・保守などの業務の一部又は全体をアウトソーシングする企業が増加しつつある。
情報システムの運用業務をすべてアウトソーシングする場合、委託元企業にとっては、情報システム技術の空洞化及び情報システムの安全性・信頼性・効率性などの確保に対する新たな課題が生じてくる。
特に、情報システムの安全性・信頼性・効率性は、委託先企業の提供するサービス品質に依存する比率が大きく、委託元企業の直接的なコントロールが及び難いという制約がある。
情報システムの運用業務をアウトソーシングした場合に、その情報システムの安全性・信頼性・効率性を監査するためには、システム監査人は委託元企業での内部統制に加えて、委託先企業のサービス品質を含めた監査を実施して、目標と現実の差異を明確に把握、指摘し、改善への提言を行うことが必要とされる。
あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。
設問ア | あなたがかかわった情報システムの概要と、その情報システムの運用業務をアウトソーシングする場合に予想される効果と制約について、800字以内で述べよ。 |
---|---|
設問イ | 情報システムの運用業務をアウトソーシングした場合、情報システムの安全性・信頼性・効率性を確保するために、委託元企業として内部統制上留意すべき点について述べよ。 |
設問ウ | 設問イで述べた内部統制の有効性を監査する場合の、監査目標と監査手続について述べよ。 |
論文例 論文例 |
H7−問1 業務革新に伴う情報システムの内部統制の監査について
近年、景気の停滞、規制緩和による競争の激化などにみられるように、企業を取り巻く経営環境は厳しさを増している。
このような状況に対応するために、従来の業務プロセス、組織などを根本的に見直す業務革新が推進されつつある。
その結果、現行業務を支援してきた情報システムが業務の見直しを契機に統廃合・再構築されたり、逆に、高度な情報技術の導入によって、業務プロセスが再編されたりすることがある。
しかし一方では、業務プロセスと情報システムの整合を図り、業務革新を推進したにもかかわらず、情報システムの内部統制が不充分なために、新たな問題を引き起こすおそれもある。
また、業務の見直しによって、特定の担当者に権限が集中する可能性もあるので、承認行為が適切に行われているかどうかを確認できる仕組みを情報システムに組み込むことも必要である。
更に、高度な技術を十分に評価しないまま導入すると、情報システムの運用段階で、問題が発生し、業務を円滑に遂行できなくなるおそれがあるので、情報技術の管理についても適切な内部統制が求められる。
そこで、業務革新に伴う情報システムの統廃合・再構築について、システム監査人は想定される様々なリスクを識別するとともに、それらに対する情報システムの内部統制が有効に機能しているかどうかを評価する必要がある。
あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。
設問ア | あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。 |
---|---|
設問イ | 業務革新に伴って統廃合・再構築される情報システムについて具体例を挙げ、想定されるリスク及び必要とされる情報システムの内部統制を述べよ。 |
設問ウ | 設問イの具体例について、情報システムの内部統制が有効に機能していることを評価するための監査手続を、監査目標に明確にして述べよ。 |
H7−問2 情報システムの災害対策の監査について
災害によって情報システムが被害を受けたとき、企業活動の停滞又は停止が社会に大きな混乱を招くことがある。
このため企業にとっては、災害から情報システムを守り、情報システムの運用を継続することが、経営上の大きな課題である。
災害によって、電気、水道、ガス、通信、交通などが途絶してしまう場合などを考慮すると、単一センタだけで情報システムの運用を維持することには限界がある。
社内又は社外の、現センタから離れた場所にバックアップセンタを確保することが、情報システムの災害対策として有効である。
その際、バックアップセンタでは、すべての業務を処理する場合と、一部の業務に絞り込んで処理する場合とが考えられる。
災害時にバックアップセンタへ安全かつ速やかに切り替えるためには、現センタで稼動中の情報システムやデータ及び運用体制などに、切替えを可能とする種々の機能や手順を組み込んでおく必要がある。
更に、現センタが被災した場合、現センタを復旧して業務を再開するか、バックアップセンタに切り替えて業務を再開するかの適切かつ迅速な判断体制の整備が必要である。
システム監査人に対しては、情報システムが災害によって被る可能性のある災害の程度すなわちリスクと、それに対する種々の機能や手順の効果とを対比して、バックアップセンタを含む情報システム全体の安全性、信頼性、効率性を適正に評価する能力が求められる。
あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。
設問ア | あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。 |
---|---|
設問イ | あなたがバックアップセンタを組み込んだ情報システムの災害対策を監査する場合、情報システムのリスクと対応するリスクコントロールの着眼点を述べよ。 |
設問ウ | 設問イで挙げたリスクコントロールに対し、各々の具体的な監査手続について述べよ。 |
H7−問3 デザインレビューの実施状況に関する監査について
ソフトウェアの品質を確保するためには、デザインレビューが重要な役割を果たす。
デザインレビューの目的は、システム開発の各フェーズで作成される設計書などの成果物を通して、次のような項目をチェックすることである。
設問ア | あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。 |
---|---|
設問イ | ソフトウェアに要求される品質の特性について述べよ。 また、ソフトウェアの品質を確保するために、開発局面において実施されるデザインレビューの進め方について述べよ。 |
設問ウ | デザインレビューが適切に計画され、実施されているかどうかを監査する場合の監査手続を述べよ。 |
論文例 |
H6−問1 監査手続書の作成について
システム監査は、情報システムの信頼性、安全性及び効率性を確保する内部統制の有効性を高めることを目的とする。
システム監査の実施に当たっては、個別計画書に基づいて監査手続書を作成し、実施内容の客観性を確保し、実施内容に漏れがないようにすることが重要である。
個別計画書を詳細化した監査手続書を用いることによって、
設問ア | あなたが実施したシステム監査業務及び監査対象とした情報システムの概要と、あなたがどのような立場・役割でかかわったかを、800字以内で述べよ。 |
---|---|
設問イ | 監査手続書の意義について、必要性、目的、役割などの面から述べよ。 また、監査手続書に記載されるべき項目を具体的に挙げよ。 |
設問ウ | あなたは設問アで述べたシステム監査業務について、どのような監査目的を設定したか、具体的に述べよ。 また、その監査目的を実現するための監査手続書について、その作成手順及び作成するうえで留意した点を述べよ。 |
H6−問2 分散処理環境下におけるシステム監査について
近年、適用業務システムがクライアントサーバ型のような分散処理環境において運用されるようになってきた。
その結果、例えばネットワーク化によって多数のユーザが関与するため、データインテグリティの欠如、又は不正アクセスなどが発生しやすくなっている。
したがって、システム監査においても、従来のホスト集中型とは異なる分散処理環境下での適用業務システムの運用について、その全般統制及び業務処理統制を評価することが求められるようになってきている。
一方、公認会計士監査においても、情報システム化の進展に伴い、財務諸表の適正性を立証するうえで、情報システムの監査を重視する必要がでてきた。
特に、分散処理環境下においては、外部監査人が分散処理されている適用業務システムすべてについて、自ら監査することは難しくなっている。
そこで、外部監査人は内部監査としてのシステム監査が適切に実施されているという心証をもてば、その成果を有効に援用し、効率的に財務諸表監査を行うことができる。
これらの背景をもとに、分散処理環境下における適用業務システムの内部統制の評価について、内部監査としてのシステム監査に対する期待が高まりつつある。
あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。
設問ア | あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。 |
---|---|
設問イ | システム監査人が分散処理環境下における適用業務システムの内部統制を評価する場合、どのような項目が評価対象となるかを、全般統制及び業務処理体制についてあげ、その理由を合わせて述べよ。 |
設問ウ | システム監査人は、分散処理環境下における適用業務システムに関するシステム監査の結果を、公認会計士が有効に援用できるようにするために、どのような監査要点を設定し、システム監査を実施する必要があるか。具体的な監査手続を述べよ。 なお、監査要点は設問イで挙げた全般統制及び業務処理統制に関するものとする。 |
H6−問3 情報システムの運用環境の変更について
情報システムの運用環境は、企業活動の進展や新技術の適用などに合わせ、次第に変化していく。
例えば、オペレーティングシステムのレベルアップや新機能の追加、機器構成やネットワーク構成の変更に伴うシステムテーブルの変更などがある。
運用環境を変更する必要性やその方法及び緊急度は、情報システムの経営戦略上の位置づけや、システムの性能及び安全性・信頼性への要請の強さなどによっても異なってくる。
新規にシステムを構築する場合には、一般に、必要な手続が制定され、そのためのテスト環境も新たに準備される。
これに対し、稼動中のシステムの運用環境を変更する場合には、システムの稼動開始時に定められた運用規定や手続が現実にそぐわなくなっていたり、守られなくなっていたりすることが多い。
更に、既にシステムが稼動していることから時間的制約・資源的制約も大きく、環境を変更するためのテスト環境が確保できないか、又は不充分な場合が見受けられる。
このような事情から、運用環境の変更は、運用中の情報システムにトラブルを発生させることが多い。
運用環境の変更を実施するに当たっては、既に稼動しているシステムの運用を妨げないよう、システムそのものの技術面からの検討に加え、運用環境の変化を前提とした組織・制度の整備が必要である。
あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。
設問ア | あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。 |
---|---|
設問イ | システムの運用環境の変更作業を行おうとするとき、既に稼動しているシステムに対して想定されるリスクにはどのようなものがあるかを述べよ。 |
設問ウ | 設問イで述べたリスクを回避するために、システムの運用環境の変更に当たって、監査実施時期及び運用規定、手続、体制などについてのシステム監査上の着眼点を述べよ。 |