Ｈ１８−問１　監査手続書の作成について

　 　監査手続書は，システム監査において確認すべき監査項目や，システム監査に用いる監査技法などを記載したものである。 監査手続書の作成に当たって， "システム管理基準" ， "情報セキュリテイ管理基準" などの基準や社内規程などが用いられる。
　これらの基準や社内規程などを基に，監査目的を踏まえて，監査項目の追加や変更などを行って監査手続書を作成する。 したがって，システムが有効に活用されているかどうかを監査目的とする場合と，情報セキュリティが確保されているかどうかを監査目的とする場合とでは，監査項目は異なる。
　また，監査対象となるアブリケーションシステム，ネットワーク，組織体制，業務プロセス，外部委託の範囲・内容，ソフトウェアパッケージの利用状況などを考慮して，監査手続書を作成することも必要である。
　監査手続書に記載する監査技法には，インタビュー，現場の視察，各種資料の査閲など様々なものがあるので，監査項目と監査対象の状況に適した監査技法を選択することが重要になる。 例えば，アクセス管理が適切に行われているかどうかを監査するためには，アクセスログの分析などの監査技法がある。 しかし，分析に必要なアクセスログが取得されていなければ、アクセスログの分析を監査技法として選択することはできない。 そのような場合には，アクセス権限付与リストの査閲やバスワードの強制変更機能の検証など，ほかの監査技法を選択することになる。
　システム監査人には，各種基準や社内規程などの目的及び内容を理解し，監査対象の状況を踏まえて監査手続書を作成する能力が求められる。
　上記に基づいて，設問ア〜ウについてそれぞれ述べよ。

Ｈ１８−問２　文書類の電子化とシステム監査について

　 　従来，法令によって保存が義務付けられている書類や帳票などの文書類は，書面(紙媒体）で保存する必要があった。 しかし，企業における情報化の進展や電子政府の推進を背景に，e-文書法などの法令が施行され，文書類を電子的記録（以下，電子文書という）として保存することが認められるようになった。 これによって，文書類の保管コストの大幅な削減や，検索能力の向上による効率的な業務の実現などが期待されている。
　一方，電子文書に対する適切なコントロールを確立しなければ，消失や改ざん，不正アクセスによる漏えいなど，電子文書の完全性及び機密性を確保できなくなるリスクがある。 また，ハードウェア障害などによって，必要なときに電子文書の表示や書面への出力ができないなど，電子文書の見続性を確保できなくなるリスクもある。
　このようなリスクに対して，法令では電子文書の保存などに関する要件を定めている。 しかし，法的要件を満たすだけでは不十分である。保存対象となる電子文書に求められるビジネス要件を明確にして，適切なコントロールを確立し，それに基づいて電子文書の管理体制や規程などを整備する必要がある。
　システム監査人は，このような状況を踏まえて，電子文書の取扱いがもたらすリスクを低減するためのコントロールが適切かどうかを確認しなければならない。
　上記に基づいて，設問ア〜ウについてそれぞれ述べよ。

Ｈ１８−問３　情報漏えい事故対応計画の監査について

　 　個人情報をはじめとして情報漏えい事故が多発している。最近では，漏えいした個人情報が悪用されて詐欺被害に発展するなど，個人や社会に与える影響はますます大きくなっている。 また，個人情報だけではなく，営業秘密などの情報が漏えいした場合も，企業は大きな損失を被る可能性がある。
　情報漏えい対案では，予防対策が必要不可欠である。 しかし，予防対策だけで情報漏えい事故の発生を完全に防ぐことは難しく，費用対効果の面からも予防対策には限界がある。 また，情報漏えい事故が発生したときの不適切な対応や対応の遅れによって被害が拡大したり，信用を失ったりする場合もある。 したがって，情報漏えい対策においては，予防対策と並んで，情報漏えい事故が発生したときの事故対応計画を策定しておくことが重要である。
　情報漏えい事故が発生したときに迅速かつ適切な対応を行うためには，事故発生直後に初期対応として行うべき事項やその手順，初期対応が完了した後に行うべき事項やその手順などを事故対応計画としてまとめておかなければならない。 事故対応計画には，実際に事故が発生したときに，関係者が事故対応計画に従って迅速かつ適切に対応でき，対応策が十分に機能するといった実効性が求められる。
　システム監査人は，このような状況を踏まえて，情報漏えい事故が発生したときの対応計画の実効性について監査を実施する必要がある。
　上記に基づいて，設問ア〜ウについてそれぞれ述べよ。

Ｈ１７−問１　システム監査の品質確保について

　情報システムの企業内における役割の拡大，更には社会にもたらす影響の拡大に伴って，情報システムに関する経営者の管理責任が強く求められるようになっている。 例えば，情報漏えいや重大なシステムトラブルが発生した場合には，経営者の管理責任が問われることがある。そこで，経営者の管理責任を果たす上で，システム監査が重要な意味をもつことになる。
　システム監査の役割は，独立した立場にある監査人が，情報システムに関するリスクに対して，適切なコントロールが構築・維持されているかどうかを客観的に点検・評価するとともに，コントロールの有効性や効率性を高めるための改善勧告を行うことといえる。 このような役割を果たすためには，システム監査の品質を確保し，高めていくことが有用になる。
　システム監査の品質の確保及び向上においては，監査手順の遵守，適切な監査手続の実施，監査調書の作成・保存などの対応だけではなく，経営にとって有益な監査報告を行うことが重要である。 そのためには，システム監査人の育成及び教育，監査業務プロセスの継続的な改善，監査部門内での品質チェック，外部の第三者による品質評価などが必要になる。
　情報システムに対するコントロールを高めていく上で重要な役割を担うシステム監査人は，システム監査の品質を確保し，向上させるように努めなければならない。 また，実施したシステム監査の品質確保の状況について，経営者や第三者に明確に説明できるようにしておくことも大切である。
　上記に基づいて、設問ア〜ウについてそれぞれ述べよ。
　

Ｈ１７−問２　サービスレベルマネジメント監査について

　情報システムの運用・保守業務をアウトソーシングする企業が増えている。 加えて，データ入力，帳票の印刷・発送業務，コールセンタ業務などを一括して委託する，ビジネスプロセスアウトソーシングと呼ばれる形態も現れてきた。
　このような状況において，提供側と利用側との間で，サービスの提供時間や障害時の復旧時間などの品質保証項目とその値を定めたサービスレベルを明確にして，確保・維持することが重要な課題になっている。 このことは，サービスの提供企業と利用企業との間だけにとどまらず，企業内の情報システム部門とユーザ部門との間でも同じことがいえる。
　しかし，利害の対立するサービスの提供側と利用側の間で，サービスレベルについて合意することは，容易ではない。 また，サービスレベルに関して合意し，明文化しても，それだけでばサービスレベルを確保・維持することはできない。 例えば，合意したサービスレベルの定義や前提条件があいまいな場合，サービスの提供側と利用側との間で認識が食い違ってしまったり，時間の経過とともに，当初合意したサービスレベルを維持できなくなったりすることもある。 したがって，サービスの提供側と利用側の双方において，サービスレベルを適切に確保・維持するためのサービスレベルマネジメントを確立する必要がある。
　システム監査人は，監査を通じて第三者的な立場から，サービスレベルマネジメントの確立・維持に重要な役割を担っている。
　上記に基づいて、設問ア〜ウについてそれぞれ述べよ。

Ｈ１７−問３　情報システムの全体最適化とシステム監査について

　企業を取り巻く経営環境の変化に伴い，企業では新たなビジネスモデルの構築，事業や組織の再編などの経営戦略によって企業価値を高め，競争優位を確保・維持しようとしている。 情報システムは，これらの経営戦略を迅速かつ効果的に実行するための基盤としてとらえられている。
　しかし，情報システムの多くは，それぞれの業務を支援する目的で，個別に検討され，構築・導入がなされるとともに，ビジネス要件や情報技術の変化などに伴い，機能の追加や変更が繰り返されてきた。 その結果，企業全体としてみた場合，情報システム群が複雑になり，全体像を把握できなくなったり，情報システム間でデータや機能などが重複し，整合性がとれなくなったりしている。 例えば，在庫管理や販売管理のシステム化に際して，企業としての在庫の定義やデータ構造を統一せずに個別に構築したことから，物流拠点の出庫データと販売店の入庫データが一致しなかったり，在庫データの整合性を図るために新たな処理が必要になったりする場合がある。
　このような状況から，企業全体の統一された目標や方針に従って，業務プロセス，データ，適用処理，IT基盤などを整理・体系化して，情報システム全体を改善する全体最適化が求められている。
　システム監査においても，個々の情報システムを対象とした信頼性，安全性，効率性などの点検・評価のほかに，企業全体としてみた情報システムの全体最適化の視点から，情報システムを点検・評価すべき場合がある。 この場合，システム監査人には，個々の情報システムの範囲に限定される部分最適化とのトレードオフを踏まえて，情報システムの全体最適化について監査することが求められる。
　上記に基づいて、設問ア〜ウについてそれぞれ述べよ。

Ｈ１６−問１　取引先などの利害関係者への開示を目的としたシステム監査について

　これまでのシステム監査は，企業などの経営者や管理者などに対して助言を行うという目的で実施されることがほとんどであった。しかし，情報システムの社会的な役割が増大する中，システム監査には新たな役割が求められてきている。
　経済活動や社会活動の多くにおいて情報システムが利用されている今日では，一企業の情報システムの停止や誤動作が，他の企業や個人などに多大な影響を与える場合がある。このような状況においては，情報システムにかかわる安全性や信頼性について，個々の企業などが自己評価を行うだけでは必ずしも十分とはいえない。独立した第三者が客観的に企業などの情報システムを監査し，取引先などの利害関係者がその結果を利用できる外部監査の仕組みが，今日の社会において必要になっている。
　例えば，企業などが情報システムの運用を外部に委託する場合には，委託業務の信頼性や安全性について評価する必要がある。
　また，受託企業が多くの委託元から個別に評価を受けるのも非効率的である。この場合，受託企業が第三者の外部監査を受け，利害関係者に監査報告書を開示することによって，委託元の内部監査人などは，その結果を利用することができる。
　一方，利害関係者への開示を目的とした監査においては，助言を目的とした監査とは異なった注意が必要になる。監査報告書を開示する企業は，利害関係者が報告書を適切に利用できるように，監査報告書の開示内容を考慮しなければならない。同時に，監査報告書を利用する利害関係者においても，監査範囲や監査内容を適切に理解した上で，報告書を利用することが求められる。
　上記に基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１６−問２　情報システムの統合とシステム監査について

　事業規模の拡大や事業領域の再編を背景として，様々な形で企業の合併や買収などの企業統合が増えている。これに伴いそれぞれの企業の事業活動を支えてきた情報システムの統合も行われている。
　企業統合においては，統合を計画どおり実施して，統合によるメリットを最大限に享受できるようにしなければならない。そのためには，情報システムの統合を円滑に行うことが企業統合の重要な成功要因の一つとなる。一方，情報システムの統合が円滑に進まないことから，企業統合の目的を十分に達成できない状況や，統合後のシステム障害の発生によって事業活動に支障を来す状況も発生している。
　情報システムの統合においては，ある企業の情報システムを統合相手となる企業がそのまま利用したり，新たに情報システムを構築したりするケースがある。さらに，既存の情報システムを残して統合相手企業の情報システムと連結させるためのシステム機能を付加したりするケースもあり，対応は様々である。
　情報システムの統合を進める際には，情報システムだけではなく，情報システムと密接な関係をもつ業務プロセスや内部統制機能など様々な視点から検討する必要がある。例えば，情報戦略，情報システムの管理・運用，社内手続などが統合相手企業と異なることから生じる問題にも適切に対応しなければならない。
　システム監査人には，情報システムの統合に当たって幅広い視点から監査を実施することが求められる。また，統合目的の達成に向けた情報システムの統合が行われているかどうかを監査するためには，統合企業が合同で設置した企業統合委員会などの下にシステム監査チームを設置し，統合後の新体制を踏まえた監査を実施することが必要になる。
　上記に基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１６−問３　IT投資計画の監査について

　企業などでは，顧客サービスの向上や企業競争力の強化，競合他社との差別化などを図るために戦略的なIT投資を行ってきている。例えば，インターネット通信販売の実現によって，24時間販売による売上増加や，人件費及び店舗運営などのコスト圧縮だけではなく，インターネット利用者を対象とした新たな販路の拡大が期待される。
　また，電子帳簿保存法やIT書面一括法など法制度面での整備も進んできている。取引記録や帳票などの電子的な保存によって，伝票類の印刷や保管などにかかわるコストの圧縮や，受発注から決済までの事務処理の効率の向上などを図ることができる。
　一方，IT投資計画の策定においては，システム化によって生じるリスクを低減するための対応策を計画するとともに，システム化以前の業務手続との整合性を保ちつつ，新たな証跡を確保する仕組みの整備が重要となる。例えば，インターネット通信販売システムでは，個人情報の漏えい，決済処理ミスによる二重請求，システム障害によるサービスの停止などのリスクを低減するための対応策や，受注データなど取引の成立要件となる電子データの証跡確保，電子的に保存される帳簿類の真実性・見読性の確保などを含めた計画が必要となる。
　このような状況を踏まえて，システム監査人は，IT投資による利便性や効率性などの効果だけではなく，関連法制度への準拠性の確保や，新しいビジネスモデルに伴うリスクを低減するための対応策及び必要なコストの検討など，総合的にIT投資計画が策定されているかどうかを確かめる必要がある。
　上記に基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１５−問１　ソフトウェアパッケージの導入に伴うシステム監査について

　システム構築にかかわる期間の短縮やコスト低減，ビジネスプロセスの改革による管理レベルや効率の向上などを目的として，ＥＲＰパッケージ（統合型業務パッケージ）を中心としたソフトウェアパッケージ（以下，パッケージという）を導入する企業が増えている。パッケージは，一般的に業界標準と考えられているビジネスプロセスに基づいて設計され，当該業務に必要な業務機能やコントロール機能が組み込まれている。
　パッケージで想定されているビジネスプロセスについては，導入する企業が必要とするものと差異を生じることが多い。そこで，企業では，パッケージをカスタマイズするか，パッケージに適合したビジネスプロセスに変更することなどによって，導入を進めることになる。特に，大規模なパッケージ導入を行う場合には，全社的なビジネスプロセスの見直しが行われることが少なくない。この結果，ビジネスプロセスに組み込まれるコントロール機能について，現行レベルより向上したり低下したりする部分が発生する。
　したがって，パッケージ導入によって変更されるビジネスプロセスにおいて，必要なコントロール機能や水準が確保されているかどうかの検討が不可欠になる。具体的には，ビジネスプロセスの設計段階で，新旧のビジネスプロセスにおけるコントロール機能のギャップを分析し，企業のコントロール水準に関する方針，リスク評価などを踏まえて，その企業が必要とするコントロールの確立を図ることが求められる。
　システム監査人は，このような状況を踏まえて，パッケージ導入を前提とした場合のコントロールの適切性について監査を実施しなければならない。
　あなたの経験と考えに基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１５−問２　事業継続計画（ビジネスコンティニュティプラン）の監査について

　情報技術の進展に伴い，情報システムの役割は，企業の事業活動とますます密接なつながりをもつようになってきている。また，企業合併に伴う情報システム統合や情報システム間の相互接続などによって，システムの大規模化と複雑化も進んでいる。
　一方，情報システムのグローバル化や24時間稼動によって，障害などによる情報システムの許容停止時間は短くなりつつある。障害，事故，災害，犯罪，テロなどを原因とする情報システムの機能停止によって，企業にとって重要な事業活動が長時間にわたって中断するリスクを無視することができなくなっている。このようなリスクは，社会的に大きな影響を及ぼす可能性もある。そのため，経営上の最優先課題の一つとして事業継続計画を策定しておくことが重要である。
　事業継続計画を策定する際には，事業活動の重要度や情報システムへの依存度などを踏まえて総合的に判断する必要がある。例えば，かつては情報システムが停止しても，紙の伝票などの代替手段によって業務を継続できていた。ところが，取り扱うデータ量の増加や情報システム間のデータ連携の広がりなどによって，現在では情報システムの利用なくして業務を継続できない場合がある。したがって，事業継続という観点からは，緊急時対応計画を策定するだけではなく，企業は，事業戦略に基づいた情報システムのサービスレベルを定義し，コストとの関係において適正な情報システムの可用性を確保しなければならない。
　システム監査人は，このような情報システムの役割やリスクの変化を踏まえて，事業継続計画の策定状況と，その実効性について監査を実施する必要がある。
　あなたの経験と考えに基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１５−問３　情報セキュリティマネジメントシステムにおけるシステム監査について

　今日，セキュリティ事故によって被る直接的及び間接的な損害，並びにその対策費用は，経営的な観点からも無視できなくなっている。また，技術面，設備面の対策だけでセキュリティ事故を防ぐことは難しく，組織体制や教育などの運用面での対策を適切に組み合わせて対応する必要がある。このため，経営者はセキュリティを経営上の課題として認識し，セキュリティ対策に取り組んでいかなければならない。
　情報セキュリティマネジメントシステムは，企業活動を適切に運営するために必要なマネジメントシステムの一つである。情報セキュリティマネジメントシステムとは，個別のセキュリティ問題ごとの技術対策に加えて，事業戦略やリスク評価によって必要なセキュリティレベルを定め，それを継続的に維持するための組織的な仕組みをいう。また，情報セキュリティマネジメントシステムは，セキュリティ目標を達成する上で，効率的かつ効果的なセキュリティ対策を実現するためにも必要な仕組みである。
　経営者は，組織の情報セキュリティマネジメントシステムを構築するとともに，それによって組織のセキュリティ目標が実際に達成されているかどうかについても検証していくことが必要である。システム監査は，経営者に代わって，情報セキュリティマネジメントシステムの実効性について監査を実施するという重要な役割を担うことになる。
　あなたの経験と考えに基づいて、設問ア，イ，ウについてそれぞれ述べよ。

Ｈ１４−問１　システム監査における監査調書の作成と整備について

　監査調書とは、システム監査の実施内容を記録した資料であり、システム監査人が作成したものや、被監査部門から入手した資料などを取りまとめたものである。システム監査人は、監査調書に基づいてシステム監査報告書を作成する。したがって、監査調書は、システム監査人が専門家としての相当な注意をもってシステム監査を実施し、監査目標に適合した監査意見を表明するために不可欠な資料である。例えば、監査調書に記録されていない事項をシステム監査報告書に記載することは、監査証拠の裏付けのない監査意見を述べることになり、システム監査報告書の正確性を損なう原因となる。
　さらに、監査調書は、監査報告書に記載された改善勧告に基づいて適切な措置が講じられているかどうかをフォローアップするときにも、その改善効果を具体的に分析するための資料になる。また、次回以降のシステム監査を合理的に実施するための参考資料としても重要である。
　このように、監査調書は、システム監査を実施する上で監査人と被監査部門双方にとって重要なものである。システム監査人は、監査意見を表明するために十分な監査調書を作成するとともに、次回以降の監査で有効活用できるように監査調書を整備しておく必要がある。また、システム監査責任者は、客観的な立場で監査調書を査閲して、予備調査や本調査での監査手続や監査判断が適切であったかどうかを評価しなければならない。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１４−問２　アウトソーシングの企画段階におけるシステム監査について

　今日、情報システムのアウトソーシングを実施する企業が増えている。他社との激しい競争の中で、情報システムの運用などの定型的な業務をアウトソーシングして資金や人といった資源をより戦略的な分野に集中させる企業や、新しい情報技術を迅速に採り入れるために、アウトソーシングを実施する企業もある。また、インターネットビジネスに代表されるように、高い可用性と、高度なセキュリティ管理を必要とする情報システムの運用に関してもアウトソーシングサービス利用のニーズは高まっている。
　一方、このような企業のニーズを反映し、大手情報処理サービス業者に加えて、ベンチャ企業、外資系企業、異業種企業など、様々な企業がアウトソーシングビジネスに参入してきている。
　しかし、アウトソーシングを実施したすべての企業がそのメリットを享受できるわけではない。当初想定していたアウトソーシングの目的を達成できなかったり、逆に想定していなかったリスクに見舞われたりする企業もある。また、事業戦略を実現する手段としてアウトソーシングが適切でない場合もある。したがって、アウトソーシングを実施するに当たっては、アウトソーシング実施の意思決定からアウトソーシング先との契約までの企画段階において十分な検討が必要になる。
　システム監査人は、アウトソーシングの企画段階でシステム監査を実施することによって、アウトソーシングのリスクが適切に管理されているかどうかを確認する必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１４−問３　IT ガバナンスとシステム監査について

　企業では、IT を活用した新たなビジネスモデルの構築や、IT を駆使した効率的な経営の推進など、IT の進展を積極的に採り入れた情報戦略によって、市場における競争優位を獲得しようとしている。例えば、CRM (Customer Relationship Management)を導入し、顧客の属性や取引内容などを一元的に管理し活用することによって、顧客との関係を強化し、競合他社との競争に勝ち抜こうとしている。また、他社に先駆けてインターネットを活用したビジネスモデルを創造し、新たなビジネスチャンスを獲得しようとしている。
　IT の進展は著しいので、情報戦略の策定・実行に際しては、市場での競争優位の獲得に有効か、投資採算性はどうか、サービスレベルは達成できるか、リスクマネジメントに問題はないかなど、多面的かつ迅速な経営判断が求められている。また、IT を活用して競争優位を獲得するためには、企業には、情報戦略の策定・実行をコントロールし、あるべき方向へ導く能力が必要になる。さらに、企業全体としての情報リテラシも不可欠である。このような企業が備えるべき組織能力は、IT ガバナンスと呼ばれる。
　今日、企業にとって IT ガバナンスを確立することが重要な課題のひとつとなっている。IT による競争優位を獲得する組織能力が企業に備わっているか、それが有効に機能しているかどうかの判断がシステム監査人に求められている。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１３−問１　リスクを重視したシステム監査の実施について

　今日、企業経営の情報システムへの依存度が高まる中、情報システムに関連する経営上のリスクはますます大きくなっている。 情報システムに関連する経営上のリスクとは、情報システムに起因して企業などが経済的又は社会的な価値を失う可能性、あるいは獲得できなくなる可能性をいう。 このようなリスクは、情報システムに対する脅威とその情報システムなどがもつぜい弱性が結びついて顕在化する。
　リスクは、企業経営を行っていく上で避けることのできないものであるが、適切なリスクコントロールを行っていくことでそのリスクを低減することができる。 そして、システム監査人は、情報システムに適切なリスクコントロールを確保する上で重要な役割を担うことになる。
　一方、情報技術の利用拡大に伴う監査対象領域の拡大や情報技術の高度化によって、システム監査人には、今まで以上に高度かつ幅広い知識が要求されるようになった。 しかし、多くの企業において、そのようなシステム監査人を十分確保することは難しく、システム監査の実施において、重要な問題点を発見できず、監査の目的を達成できないという監査実施上のリスクが増大していることも考慮しなければならない。
　このような状況においてシステム監査人は、監査対象のリスクに加えて監査実施上のリスクについても考慮しながら、年度監査計画や個別監査計画を策定していく必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１３−問２　新しい企業価値の創造を実現する情報システムの監査について

　情報システムの目的は、業務の効率化やコスト削減、営業活動支援による販売拡大、顧客サービスの向上など様々である。 最近では、インターネットなどを利用して新しいビジネスモデルを構築し、従来の市場にない新しい企業価値の創造を実現する情報システムの構築に取り組む企業が増えつつある。 このような情報システムの構築に当たっては、情報システムが企業変革を視野に入れた経営戦略に沿って構築され、その目的が達成されているかどうかがトップマネジメントにとって大きな関心事になる。
　システム監査人は、新しい企業価値の創造を実現する情報システムを監査する場合、新しいビジネスモデルがもつ戦略的インパクト、その中で果たす情報システムの役割などを把握する必要がある。 また、経営目標の達成度合いを測定する指標の有無、指標の内容及び目標値についても確かめなければならない。 このような測定指標を把握した上で、具体的な監査目標を設定することが、監査の実施に際してカギとなる。
　さらに、監査目標を達成するためにいかなる監査手続を適用するかは、限られた監査スタッフや監査期間内で監査の成果を着実にあげるために重要な意味をもつ。 システム監査人は、経営目標を踏まえて、適切な監査手続きを選択しなければならない。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１３−問３　企業間連携を支援する情報システムの監査について

　近年、インターネットをはじめとする情報技術を活用して、取引先との連携を図る企業が増え始めている。 例えば、取引先を含めた効率的な生産計画の策定や正確かつ迅速な納期の実現、在庫削減の推進など、業務プロセス全体の最適化を図るサプライチェーンマネジメントの考え方が導入されるようになっている。
　効果的かつ効率的な企業間連携を実現するためには、取引企業間で生産や在庫、販売などの業務プロセスを標準化し、情報の共有化を図ることが重要になる。 情報システムの可用性を確保するためには、取引企業の情報システムがそれぞれ正常に稼働しているだけでなく、企業間で必要な情報を、必要なときに、適切なインタフェースで利用できることが必要である。 また、この企業間連携を支援する情報システムのいずれかにおいて、システム障害が発生したり、データのエラーや不整合などが生じると、連携する企業の業務全体に大きな影響を与える場合がある。
　システム監査人は、このような企業間連携の特徴を踏まえて、企業間連携を支援する情報システム全体の可用性や情報の整合性の確保にかかわるコントロールが適切であるかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１２−問１　セキュリティポリシの監査について

　今日、情報漏えいやネットワークへの不正アクセスといった情報セキュリティにかかわる事件の増加に伴い、セキュリティポリシ策定の重要性が指摘されている。セキュリティポリシとは、組織が保有する情報資産を適切に保護するために、セキュリティ対策に関する統一的な考え方や具体的な遵守項目を定めたものである。
　適切なセキュリティ対策を実施するためには、単にセキュリティポリシを策定するだけでは不十分であり、策定したセキュリティポリシを適切に運用する必要がある。そして、策定したセキュリティポリシの実効性を確保するためには、システム監査が重要な役割を果たすことになる。
　セキュリティポリシに関連したシステム監査では、運用段階におけるセキュリティポリシの遵守状況を調査することが重要であるが、単にそれだけではセキュリティポリシの実効性を高めるためには不十分である。システム監査人は、セキュリティポリシの策定段階におけるプロセスの適切性や、運用段階における環境の変化に伴うセキュリティポリシの妥当性についても調査を実施する必要がある。例えば、システム監査人が運用段階の監査において、不正アクセスなどのセキュリティ上の問題が実際に発生している状況を発見した場合には、その状況によってはセキュリティポリシ自体の改定を行うように提案することも必要になる。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１２−問２　システム監査における証拠収集について

　電子帳簿保存法の施行や、電子商取引の拡大を背景として、ディジタル化された資料を調査対象とする機会が増加している。例えば、会計帳簿が紙からディジタルデータになり、電子商取引においては、注文書や請求書などの紙の書類による取引データの授受がディジタルデータによる送受信へと代わる。したがって、システム監査人は、監査実施時にディジタルデータを取り扱う機会が多くなってきている。
　紙の文書や資料を対象とする場合には、押印、署名、筆跡、紙質、インクなどで事実の確認が可能であった。しかし、ディジタルデータにおいては、収集したディジタルデータやそれを出力したものだけで発見した事実を明確に説明することが難しくなる。例えば、被監査部門から、システム監査人が収集したディジタルデータの内容について異議の申立てがあった場合、システム監査人がディジタルデータやそれを出力したものを被監査部門に示しただけでは十分に納得させられないおそれがある。
　監査証拠は監査意見の基礎となるので、システム監査人は、監査証拠の収集の過程を明確にして、被監査部門や関係者に十分な説明ができるようにしなければならない。 　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１２−問３　データウェアハウスの監査について

　近年の消費者ニーズの多様化や製品ライフサイクルの短縮化、グローバル化の進展などによって、企業の経営を取り巻く環境は大きく変化している。経営者は、この経営環境の変化の中で、競争優位を獲得し維持するために、経営状況を的確に把握して迅速な判断を行うことが求められている。
　このような背景のもと、意思決定に必要となる情報を適時に提供することを目的としてデータウェアハウスを構築する企業が増えている。データウェアハウスとは、業務プロセスで発生する情報を、それぞれの業務システムから抽出・変換し、データベースに一元的に格納することによって、経営判断に必要な情報の提供や様々な視点からの検索・分析を支援する情報システムである。しかし、システム化の目的や構築時期が業務システムごとに異なっていることから、それぞれの業務システムで持つデータの定義や意味、生成タイミングなどが異なる場合がある。また、過去からの推移分析に備えて、データを刻々とデータベースに追加・蓄積していく必要があるとともに、新たな視点からの分析を可能にするためのデータを追加することも想定しておく必要がある。このため、あらかじめデータ量の増加を考慮した設計も必要とされる。
　このような状況を踏まえて、システム監査人は、データウェアハウスの監査に当たっては、各業務システムとの関係が検討され、経営環境の変化に柔軟に対応し、しかも正確で内容の一貫した情報が適時に提供され、適切な判断を支援しているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１１−問１　電子商取引のシステム監査について

　受発注や決済をディジタルデータで行う電子商取引は、インターネットの普及に伴って、特定の企業間を対象とするものから不特定多数の企業や個人を対象とするものへと拡大している。
　電子商取引は、取引にかかわる事務処理の効率化を実現するだけではなく、新たな取引先の開拓や調達コストの低減、個々の顧客ニーズに応じたサービス提供や商品販売を可能とする新しいマーケティングの展開など、ビジネス活動に及ぼすメリットも大きい。
　しかし、その一方で、取引データの破壊・改ざん・漏えいなどのリスクは、企業活動に大きな影響を及ぼすので、企業では、システムの可用性確保、取引データの機密保持やインテグリティ確保の対策に加えて、監査証跡への配慮などが必要になる。
　システム監査人は、電子商取引のリスクを認識した上で、システム監査を実施しなければならない。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１１−問２　分散開発環境におけるコントロールの監査について

　近年の情報・通信技術の発達に伴い、企業は LAN やインターネットなどのネットワークを利用したコミュニケーション環境を整備しつつある。情報システムの開発プロジェクトにおいても、コミュニケーション環境を利用し、物理的に離れた場所で同時・並行的に行う開発方式が増えてきている。
　このような分散開発環境においては、関係者の間で十分な意思疎通が図れなかったり、システム開発標準が徹底されなかったり、又はこれらの原因によって、開発しているシステム構成間で不整合が生じたりするなどのリスクが高まる傾向にある。開発業務を円滑に遂行するためには、これらのリスクを低減することが必要であり、適切なコントロールが求められる。
　システム監査人は、このような状況を踏まえ、分散開発環境におけるコントロールが適切であるかどうかを確かめなければならない。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１１−問３　システムの保守に関する監査について

　システムが完成し稼働を開始した後においても、ユーザの新たなニーズや動作環境の変化に対応するために、ソフトウェアの保守が必要になる。
　ソフトウェアの保守とは、情報システムを新しい動作環境下や、より望ましい状態で運用するために、ソフトウェアを変更・修正・追加していく継続的な作業である。具体的な保守作業としては、ユーザの変更要求又は新要求に対応するソフトウェアの変更や、ソフトウェアに内在する不整合の修正に加えて、オペレーティングシステム、DBMS、ミドルウェアのバージョンアップへの対応などがあり、迅速かつ適切な対応が求められる。
　保守の実施に際して、事前の調査・分析が十分に行われない場合には、ユーザ要求への対応が完全に実施されなかったり、新たな不整合が発生したり、保守コストが増大するといったリスクが生じる。また、保守を円滑に実施するためには、保守段階に限らず、企画及び開発段階から保守体制の確立や拡張性の高いシステム設計を行うなど、保守に対する十分な配慮も大切である。
　ソフトウェアの保守を対象とした監査では、以上のような保守状況を十分に考慮した上で監査を行う必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１０−問１　システム監査人のコミュニケーション能力について

　システム監査人は、情報システムの信頼性、安全性及び効率性を確保するコントロールの妥当性を点検・評価する為に、ヒアリング、閲覧、現地調査など様々な監査技法を利用し、各種情報の収集と分析を行う。
　情報システムのコントロールの実態を正しく把握する為の情報収集、指摘事項の伝達やフォローアップの為の情報提供などにおいて、システム監査人には優れたコミュニケーション能力が求められる。
　システム監査人は、必要な情報を効率的に収集する為に、被監査部門における業務分掌や職務権限など、個々の担当者のおかれた立場や背景を理解し、より正確な情報が収集できるように適切な方法を選択する必要がある。また、収集した情報に齟齬が発見されたり、情報の正確性に疑問が生じたりした場合には、より正確な心証を得るために、新たな情報の収集と分析が必要になる。
　すなわち、システム監査人のコミュニケーション能力によって、システム監査がもたらす効果は大きく左右される事になる。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１０−問２　個人情報保護に関するシステム監査について

　インターネットに代表されるネットワークの広範な普及に伴って、WWW を利用した新製品に関するアンケート調査、商品の購入や申込みの受付など、個人から直接収集される情報に基づいた新たな企業戦略が展開されつつある。従来から収集・蓄積・利用している個人情報とともに、このような新しい仕組みを利用して収集した個人情報は、企業の重要な資産となり、様々な戦略に活用され始めている。
　一方、欧州連合が採択した“個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令”(1995年)、わが国の“民間部門における電子計算機処理に係る個人情報保護に関するガイドライン”(1997年)の内容を見ると、個人情報の収集・蓄積・利用を適切に行うこと、また、第三者への提供に関する留意事項が定められている。
　情報システムが個人顧客と直接にかかわりを深めていくことに従い、これらのガイドラインを参考にして、個人情報の保護に関するコントロールの適切性を監査することが必要になる。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ１０−問３　情報システムの災害復旧対策の監査について

　情報システムを取り巻く重大な脅威の一つに災害がある。災害による情報システムの損壊は、ビジネスの広範囲にわたって深刻な被害をもたらす可能性があるので、十分な対策を講じる必要がある。
　情報システムの災害対策としては、災害による被害の未然防止又は被害を軽減する対策、及び情報システムを速やかに正常な状態に復旧するための対策がある。具体的には、耐震強度の高い建物への入居、バックアップシステムの構築、データの定期的な分散保管、更に災害対応マニュアルの整備などがある。
　情報システムが災害に遭遇した場合には、損害の状況を把握し、災害対策マニュアルに沿って早期に業務の復旧を図る必要がある。しかし、災害はあらかじめ想定した規模や範囲で発生するとは限らないので、災害対策マニュアルには、被災状況に柔軟に対応できるような工夫と、災害対策マニュアルに準拠した復旧訓練の実施が重要である。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ９−問１　情報システムを取り巻く環境変化を踏まえた監査対象領域の選定について

　経済のグローバル化や規制緩和などを背景として、情報システムの適用範囲が拡大している。また、ネットワークの普及によって、例えばエクストラネットと呼ばれる一企業の枠を越えた情報システムが出現している。このような経営環境の変化に対応するための情報システムは、組織内部の効率化を主な目的とするだけでなく、他企業の情報システムとの連携や、更には広く一般市民を含めたコミュニケーションを目的として、社会的基盤となったネットワークも利用することが求められる。その結果、情報システムのリスクも変化し、増大することが想定される。
　システム監査人は、このような社会的な広がりをもつようになった情報システムの特質を認識するとともに、経営戦略を踏まえて、監査対象領域を適切に選定することが求められている。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ９−問２　モバイルコンピューティングを対象とした監査について

　携帯可能なコンピュータの普及や移動体通信基盤の充実に伴い、コンピュータ端末を通信手段と組み合わせ、公衆回線網を通じて外部から組織内データを活用する“モバイルコンピューティング環境”が出現している。
　モバイルコンピューティング環境では、端末を利用する場所が一定ではなく、利用時に管理者が身近にいないなど、利用者に対するけん制機能が働きにくい状況となる。また、端末の盗難、置き忘れによって、第三者に端末が渡る可能性も生じる。その結果、端末上のデータの漏えい・改ざんや、第三者からの不正なアクセスなどのリスクが増大する。
　一方、モバイルコンピューティング環境での通信品質は、利用場所の影響を受けやすいので、データの信頼性や安全性について、注意を払う必要がある。
　モバイルコンピューティング環境におけるシステムを対象としたシステム監査は、技術的背景や利用環境の特性などを踏まえて実施する必要がある。とりわけ、セキュリティ対策の妥当性を慎重に評価し、利便性とのバランスのとれた提言を行うことが望まれる。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ９−問３　システム監査結果のフォローアップについて

　システム監査の結果は、情報システムの信頼性・安全性・効率性、更には経営戦略との整合性などの観点に照らして報告される。
　監査の結果、情報システムが必ずしも経営戦略と合致しない場合や、信頼性・安全性・効率性の面から課題が浮き彫りになる場合がある。システム監査人は、これらの課題に対する指摘事項、改善勧告を経営者に報告するとともに、講評の場などを通じて被監査部門及び関連部門の理解を深める必要がある。
　更に、システム監査人は、監査結果に基づく改善状況をフォローアップし、作業範囲、作業方法及び実施時期などが、経営者の意図に従ったものであるか否かを確かめておくことが重要である。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ８−問１　情報技術の有効性の監査について

　コンピュータネットワークの広範な進展によって、バーチャルコーポレーションと呼ばれる新しい事業形態が出現するなど、情報技術を効果的に利用した事業基盤をもとに、企業は新しい経営構造への展開を迫られつつある。 このような経営環境の変化に適合し、経営構造を革新するためには、組織風土や経営組織に与える影響及びその対応も考慮し、全社的な視点に立って情報技術の導入を立案することが重要である。 また、情報技術の導入効果を最大限に発揮するためには、経営組織を再検討するとともに、企業を取り巻く関係者（例えば、調達先、納入先企業など）との協業構造を分析し、合意形成に向けた効果的なコミュニケーションを図ることも必要とされる。
　システム監査人は、こおのような状況を踏まえ、情報技術の導入と適用に際して、変貌しつつある経営環境への適合性、又は経営戦略との整合性という視点から、情報技術の有効性を確かめるとともに、先進事例も踏まえて提言することが求められつつある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ８−問２　ペーパーレスを指向した業務システムの監査について

　ネットワークの進展や大容量記憶媒体の低価格化に伴い、業務効率の向上や情報共有化の促進をねらいとしたペーパーレスを指向した業務システムが普及しつつある。 従来、取引・決済や意思決定などにおいては、主要な記録は書面によっていた。 現在ではこれらの局面においても、電磁的記録に置き換えらる場合が生じている。 このような業務システムにおいては、監査を遂行するために必要な証拠が電磁的記録でしか存在しない場合も増えつつある。 また、これらの電磁的記録そのものも、各種方式で暗号化されたり、ＩＣカードに記録された情報など専用の入出力装置でしか内容を確認できなかったりする場合が出現している。
　電磁的記録は、内容を直接視認することができないので、監査証拠としての信頼性を確保し、その証拠能力を高めるためには、十分な配慮が必要となる。 また、ネットワークの進展とともに、第三者がアクセスできる機会が増えたため、監査証拠自体が改ざんされる可能性も高まっている。
　こうした、いわゆるペーパーレスシステムにおける種々の特性にかんがみ、システム監査人は、監査の各局面において、監査証拠の特性や内部統制の実現の仕組みを考慮して、的確に取り組む必要がある。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ８−問３　情報システムのアウトソーシングの監査について

　情報システムの投資額と運用コストの削減、委託先企業の専門的能力の効果的利用などを目的として、情報システムの開発・運用・保守などの業務の一部又は全体をアウトソーシングする企業が増加しつつある。
　情報システムの運用業務をすべてアウトソーシングする場合、委託元企業にとっては、情報システム技術の空洞化及び情報システムの安全性・信頼性・効率性などの確保に対する新たな課題が生じてくる。 　特に、情報システムの安全性・信頼性・効率性は、委託先企業の提供するサービス品質に依存する比率が大きく、委託元企業の直接的なコントロールが及び難いという制約がある。
　情報システムの運用業務をアウトソーシングした場合に、その情報システムの安全性・信頼性・効率性を監査するためには、システム監査人は委託元企業での内部統制に加えて、委託先企業のサービス品質を含めた監査を実施して、目標と現実の差異を明確に把握、指摘し、改善への提言を行うことが必要とされる。
　あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

Ｈ７−問１　業務革新に伴う情報システムの内部統制の監査について

　近年、景気の停滞、規制緩和による競争の激化などにみられるように、企業を取り巻く経営環境は厳しさを増している。 このような状況に対応するために、従来の業務プロセス、組織などを根本的に見直す業務革新が推進されつつある。 その結果、現行業務を支援してきた情報システムが業務の見直しを契機に統廃合・再構築されたり、逆に、高度な情報技術の導入によって、業務プロセスが再編されたりすることがある。
　しかし一方では、業務プロセスと情報システムの整合を図り、業務革新を推進したにもかかわらず、情報システムの内部統制が不充分なために、新たな問題を引き起こすおそれもある。 また、業務の見直しによって、特定の担当者に権限が集中する可能性もあるので、承認行為が適切に行われているかどうかを確認できる仕組みを情報システムに組み込むことも必要である。 更に、高度な技術を十分に評価しないまま導入すると、情報システムの運用段階で、問題が発生し、業務を円滑に遂行できなくなるおそれがあるので、情報技術の管理についても適切な内部統制が求められる。
　そこで、業務革新に伴う情報システムの統廃合・再構築について、システム監査人は想定される様々なリスクを識別するとともに、それらに対する情報システムの内部統制が有効に機能しているかどうかを評価する必要がある。
　あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。

Ｈ７−問２　情報システムの災害対策の監査について

　災害によって情報システムが被害を受けたとき、企業活動の停滞又は停止が社会に大きな混乱を招くことがある。 このため企業にとっては、災害から情報システムを守り、情報システムの運用を継続することが、経営上の大きな課題である。
　災害によって、電気、水道、ガス、通信、交通などが途絶してしまう場合などを考慮すると、単一センタだけで情報システムの運用を維持することには限界がある。 社内又は社外の、現センタから離れた場所にバックアップセンタを確保することが、情報システムの災害対策として有効である。 その際、バックアップセンタでは、すべての業務を処理する場合と、一部の業務に絞り込んで処理する場合とが考えられる。
　災害時にバックアップセンタへ安全かつ速やかに切り替えるためには、現センタで稼動中の情報システムやデータ及び運用体制などに、切替えを可能とする種々の機能や手順を組み込んでおく必要がある。 更に、現センタが被災した場合、現センタを復旧して業務を再開するか、バックアップセンタに切り替えて業務を再開するかの適切かつ迅速な判断体制の整備が必要である。
　システム監査人に対しては、情報システムが災害によって被る可能性のある災害の程度すなわちリスクと、それに対する種々の機能や手順の効果とを対比して、バックアップセンタを含む情報システム全体の安全性、信頼性、効率性を適正に評価する能力が求められる。
　あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。

Ｈ７−問３　デザインレビューの実施状況に関する監査について

　ソフトウェアの品質を確保するためには、デザインレビューが重要な役割を果たす。
　デザインレビューの目的は、システム開発の各フェーズで作成される設計書などの成果物を通して、次のような項目をチェックすることである。

• ユーザが要求する機能・性能を実現するためにどのような設計がされているか。
• ソフトウェアに要求される品質の特性に対する目標がどの程度達成されているか。
• 移行･運用・保守に対してどのような配慮がなされているか。

Ｈ６−問１　監査手続書の作成について

　システム監査は、情報システムの信頼性、安全性及び効率性を確保する内部統制の有効性を高めることを目的とする。
　システム監査の実施に当たっては、個別計画書に基づいて監査手続書を作成し、実施内容の客観性を確保し、実施内容に漏れがないようにすることが重要である。
　個別計画書を詳細化した監査手続書を用いることによって、

• 監査手続がより具体的になる。
• 監査目的の達成上必要な証拠が入手できる。
• 監査業務の進捗管理が可能となる。

Ｈ６−問２　分散処理環境下におけるシステム監査について

　近年、適用業務システムがクライアントサーバ型のような分散処理環境において運用されるようになってきた。 その結果、例えばネットワーク化によって多数のユーザが関与するため、データインテグリティの欠如、又は不正アクセスなどが発生しやすくなっている。 したがって、システム監査においても、従来のホスト集中型とは異なる分散処理環境下での適用業務システムの運用について、その全般統制及び業務処理統制を評価することが求められるようになってきている。
　一方、公認会計士監査においても、情報システム化の進展に伴い、財務諸表の適正性を立証するうえで、情報システムの監査を重視する必要がでてきた。 特に、分散処理環境下においては、外部監査人が分散処理されている適用業務システムすべてについて、自ら監査することは難しくなっている。 そこで、外部監査人は内部監査としてのシステム監査が適切に実施されているという心証をもてば、その成果を有効に援用し、効率的に財務諸表監査を行うことができる。 これらの背景をもとに、分散処理環境下における適用業務システムの内部統制の評価について、内部監査としてのシステム監査に対する期待が高まりつつある。
　あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。

Ｈ６−問３　情報システムの運用環境の変更について

　情報システムの運用環境は、企業活動の進展や新技術の適用などに合わせ、次第に変化していく。 例えば、オペレーティングシステムのレベルアップや新機能の追加、機器構成やネットワーク構成の変更に伴うシステムテーブルの変更などがある。 運用環境を変更する必要性やその方法及び緊急度は、情報システムの経営戦略上の位置づけや、システムの性能及び安全性・信頼性への要請の強さなどによっても異なってくる。
　新規にシステムを構築する場合には、一般に、必要な手続が制定され、そのためのテスト環境も新たに準備される。 これに対し、稼動中のシステムの運用環境を変更する場合には、システムの稼動開始時に定められた運用規定や手続が現実にそぐわなくなっていたり、守られなくなっていたりすることが多い。 更に、既にシステムが稼動していることから時間的制約・資源的制約も大きく、環境を変更するためのテスト環境が確保できないか、又は不充分な場合が見受けられる。 このような事情から、運用環境の変更は、運用中の情報システムにトラブルを発生させることが多い。
　運用環境の変更を実施するに当たっては、既に稼動しているシステムの運用を妨げないよう、システムそのものの技術面からの検討に加え、運用環境の変化を前提とした組織・制度の整備が必要である。
　あなたの経験と考えに基づいて、設問ア〜ウに従って論述せよ。

設問ア	あなたが現在従事している業務の概要と、情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを、800字以内で述べよ。
設問イ	システムの運用環境の変更作業を行おうとするとき、既に稼動しているシステムに対して想定されるリスクにはどのようなものがあるかを述べよ。
設問ウ	設問イで述べたリスクを回避するために、システムの運用環境の変更に当たって、監査実施時期及び運用規定、手続、体制などについてのシステム監査上の着眼点を述べよ。