ITパスポート試験(シラバス6.3) マネジメント系 システム監査 の出題傾向、学習ポイント、重要な用語を説明します。
「システム監査」出題傾向
「システム監査」から、4問程度(マネジメント系20問中)出題されます。
平成6年過去問題(公開)では、5問でした。
Ver.○.○の表示について
用語が初めて掲載されたときの、シラバスのバージョンです。
Ver.4.0、Ver.5.0は、シラバスの比較的新しい用語です。
Ver.6.0と同じく要注意用語です。
表示がないのは、Ver.3以前からシラバスにある用語です。
システム監査
最初に、目的、誰が、何を、どのように行うのか流れを理解してから、個々の用語を覚えるといいよ。
会計監査
会計監査は、企業が法律や社内ルールを守って正しく計算書類や財務諸表を作成しているかを、独立した第三者がチェックすることです。
会計監査の目的は、計算書類や財務諸表などの内容の正しさを証明するためです。
問題をチェック! R5年 問52
業務監査
業務監査は、組織の製造、販売などの会計業務以外の業務全般についてその遂行状況を評価します。
(ITパスポート 平成28年秋 問40より)
情報セキュリティ監査
情報セキュリティに関わるリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備、運用状況を評価します。
(ITパスポート 平成28年秋 問40より)
監査の対象は、保有している全ての情報資産です。
(ITパスポート 平成31年春 問50より)
システム監査
Ver.6.1
システム監査は、情報システムに係るリスクに適切に対応しているかどうかを、高い倫理観の下、独立かつ客観的な立場のシステム監査人が検証・評価し、もって保証や助言を行うことです。
(IT パスポート試験 シラバス(Ver.6.1)より)
システム監査は、企業や自治体などの組織が任意に行う監査です。
法令で定められたものではありません。
システム監査の目的
システム監査の目的は、次の4つです。
問題をチェック!
R6年 問55 シス監 予想5 R元年 問36
システム監査人
Ver.6.1
システム監査人は、情報システムに係るリスクに適切に対応しているかどうかを、高い倫理観の下、検証・評価し、もって保証や助言を行います。
システム監査人は、独立かつ客観的な立場です。
問題をチェック!
R6年 問42 R5年 問37 R3年 問55
システム監査基準
システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査業務を実施するための基準を定めたものです。
(ITパスポート 平成28年秋 問54より)
システム管理基準
シラ外
システム管理基準は、ITシステムの利活用において共通して留意すべき事項を体系化・一般化してまとめたものです。
システム管理基準の適用においては、項目・内容の取捨選択・修正、関連する他の基準やガイドライン等からの必要項目の追加、用語の修正等を行い、組織体に適した形にすることが望ましいです。
問題をチェック! R6年 問48
システム監査の流れ
システム監査は、次の流れで行われます。
問題をチェック! R3年 問38
システム監査計画
システム監査は、 監査計画に基づき予備調査、本調査、評価・結論の手順によって実施しなければなりません。
(ITパスポート 令和3年 問38より)
問題をチェック! R3年 問38
監査手続の適用
Ver.5.0
監査手続は、どのように監査するか示したものです。
監査証拠の入手と評価
Ver.5.0
監査手続を実施して、監査の結論を裏付けるための監査証拠を入手します。
監査証拠は、監査の結論を裏付けるための事実です。証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えていなければなりません。
監査調書の作成と保管
Ver.5.0
監査調書は、監査人が実施した監査のプロセスを記録したものです。
問題をチェック! シス監 予想2
改善提案
Ver.5.0
改善提案は、監査報告書に記載します。
フォローアップ
Ver.5.0
フォローアップでは、改善勧告に対する被監査部門の改善実施状況を確認します。
システム監査報告書にある改善提案にもとづいて、監査対象部門に改善の指示が出ます。
改善活動が行われます。
改善実施状況を確認します。
システム監査技法
次のような、代表的なシステム監査技法があります。
チェックリスト法
システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリストに対して、関係者から回答を求める技法です。
ドキュメントレビュー法
システム監査人が、関連する資料及び文書類を入手し、内容を点検する技法です。
インタビュー法
システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法
ウォークスルー法
データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法です。
内部統制
内部統制、ITガバナンスについて、目的、具体的にやること、責任者を覚えよう。
内部統制
内部統制は、企業の事業目的や経営目標を達成するために、業務の効率化、財務報告、法令遵守、資産の保全などについてのルール、仕組みを整備して、適切に運用することです。
この内部統制の考え方は、上場企業以外にも有効であり取り組む必要があります。
(ITパスポート 平成31年春 問43より)
内部統制の構築には、業務プロセスの明確化、 職務分掌、 実施ルールの設定及びチェック体制の確立が必要です。
(ITパスポート 平成29年春 問44より)
内部統制を整備、運用の責任者は、経営者です。
(ITパスポート 平成26年秋 問43より)
問題をチェック!
R6年 問54 R5年 問50 R5年 問53
内部統制におけるモニタリング
モニタリングとは、内部統制が有効に機能していることを、連続的、または定期的に観察・記録して、監視を続けることを指します。
モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価があります。両者は個別に又は組み合わせて行われる場合があります。
(財務報告に係る内部統制の評価及び監査の基準(金融庁)より)
問題をチェック! R元年 問37
職務分掌
職務分掌は、組織において各部門の職務の内容と責任及び権限を定めたものです。
(ITパスポート 平成28年春 問26より)
問題をチェック! R5年 問50
レピュテーションリスク
Ver.4.0
レピュテーションリスクは、企業に対して否定的な評判が広まることによって、信用やブランド価値の低下などの損害を被るリスクのことです。
レピュテーションとは「評判」の意味です。
ITガバナンス
Ver.6.1
ガバナンス(governance)には、統治、管理、支配という意味があります。
IT ガバナンスとは、組織体のガバナンスの構成要素で、取締役会等がステークホルダーのニーズに基づき、組織体の価値及び組織体への信頼を向上させるために、組織体におけるIT の利活用のあるべき姿を示すIT 戦略と方針の策定及びその実現のための活動です。
(IT パスポート試験 シラバス(Ver.6.1)より)
ITガバナンスを構築・推進する責任者は、経営者です。
(ITパスポート 令和元年 問53より)
次のようなITガバナンスに関する記述も試験に出題されています。
ITガバナンスは、企業が競争優位性構築を目的に、 IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力のことです。
(ITパスポート 令和2年 問45より)
ITガバナンスは、経営陣が組織の価値を高めるために実践する行動であり、情報システム戦略の策定及び実現に必要な組織能力のことです。
(ITパスポート 令和4年 問40より)
問題をチェック!
R6年 問53 R4年 問40 R3年 問49
ITマネジメント
Ver.6.3
IT マネジメントとは,経営方針及びIT ガバナンス方針に基づいて策定したIT 戦略の各目標を達成するために,IT システムの利活用に関するコントロールを実行し,その結果を経営者に報告するための体制を整備・運用する活動のことです。
(ITパスポート試験シラバス (ipa.go.jp) より)
まとめ
【出題傾向】
「システム監査」から、4問程度(マネジメント系20問中)出題されます。
平成6年過去問題(公開)では、5問でした。
【学習ポイント】
・システム監査
→最初に、目的、誰が、何を、どのように行うのか流れを理解してから、個々の用語を覚えるといいでしょう。
・内部統制
→内部統制、ITガバナンスについて、目的、具体的にやること、責任者を覚えましょう。
【重要用語】
システム監査、内部統制について、内容を掘り下げた用語が増えました。
一つ一つの用語の学習が大切です。
コメント