シス監 予想1
システム監査において、監査証拠となるものはどれか。
出典:情報セキュリティマネジメント 平成30年春午前 問39
正解の理由
監査証拠は、監査の結論を裏付けるための事実です。証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えていなければなりません。
エの「システム運用記録」は、システムの運用状況を示す事実です。
よって、正解は、エ です。
不正解の理由
ア 「システム監査チームが監査意見を取りまとめるためのミーティングの議事録」は、システム監査チーム内の資料です。
イ 「システム監査チームが監査報告書に記載した指摘事項」は、監査の結論であって、裏付けでありません。
ウ 「システム監査チームが作成した個別監査計画書」は、監査の前に作成するものなので、結論の裏付けになりません。
シス監 予想2
システム監査における監査調書の説明として、適切なものはどれか。
出典:情報処理安全確保支援士 平成31年春 午前Ⅱ 問25
正解の理由
監査調書は、システム監査人が実施した監査のプロセスを記録したものであり、かつ、監査の結論の基礎となるものです。
(システム監査基準より)
よって、正解は ウ です。
不正解の理由
ア 「監査対象部門が、監査報告後に改善提案への対応方法を記入したもの」は、改善計画書です。
イ 「監査対象部門が、予備調査前に当該部門の業務内容をとりまとめたもの」は、予備調査の資料です。
エ 「監査人が、年度の監査計画を監査対象ごとに詳細化して作成したもの」は、個別監査計画です。
シス監 予想3
システム監査の業務は、監査計画の立案、監査証拠の入手と評価、監査手続の実施、監査報告書の作成、フォローアップのプロセスに分けられる。これらのうち、適切な対策の実施を指導するプロセスはどれか。
出典:ITパスポート 平成31年春 問55
正解の理由
フォローアップのプロセスでは、監査対象部門又は改善責任部門が実施した改善策が不十分であるか、又は改善提案に基づく問題解決がなされないまま放置されている場合は、当該部門に対して、再度の改善対応を要請します。
(システム監査基準より)
問題に「適切な対策の実施を指導するプロセス」とあるので、フォローアップが適切です。
よって、正解は エ です。
不正解の理由
ア 監査証拠の入手と評価は、監査証拠を入手し、それに基づいて監査の結論を形成することです。
イ 監査手続の実施は、監査対象の実態を把握するための予備調査、及び予備調査で得た情報を踏まえて、監査証拠を入手するための本調査を実施することです。
ウ 監査報告書の作成は、監査の概要 、監査の結論(指摘事項や改善勧告)を記載した報告書を作成することです。
シス監 予想4
システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち、適切なものはどれか。
出典:情報処理安全確保支援士 令和元年秋午前Ⅰ 問22
正解の理由
「直接、関係者に口頭で問い合わせ、回答を入手する」ことをインタビューといいます。
よって、正解は ア です。
不正解の理由
イ 現地調査法は、システム監査人自ら対象業務の流れ等の状況を、観察・調査する技法です。「現当該部門の業務時間外に実施」では、対象業務の流れ等の状況を観察できません。
ウ コンピュータ支援監査技法では、専用ソフトウェアの他に、表計算ソフトウェア等も利用できます。
エ チェックリスト法は、システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリストに対して、関係者から回答を求める技法です。「監査対象部門の見解を取りまとめた結果をシステム監査人が点検する」ものではありません。
シス監 予想5
“システム監査基準”における、組織体がシステム監査を実施する目的はどれか。
出典:基本情報 平成28年春期午前 問60 参考
正解の理由
システム監査には、次の目的があります。
システム監査の目的
(1)組織体の経営活動と業務活動の効果的かつ効率的な遂行
(情報システムの監査を通じて、経営活動や業務活動の流れが明確になり、課題の発見や改善ができます。)
(2)組織体の経営活動と業務活動の変革を支援
(情報システムの改善は、組織体の経営活動と業務活動の変革につながります。)
(3)組織体の目標達成に寄与する
(有効な情報システムの構築が、組織体の目標達成につながります。)
(4)利害関係者に対する説明責任を果たす
そのため、システム監査は「ITガバナンスの実現」に寄与します。
ITガバナンスは、ビジネスにおいて、他社と自社を比較して有利な状況にするために、IT(情報技術)を経営に活かしていくための方針や計画を作り、効果が出るように実行する組織としての能力です。
よって、正解は ウ です。
不正解の理由
ア 「自社の強み・弱み、自社を取り巻く機会・脅威を整理し、新たな経営戦略・事業分野を設定する。」は、SWOT分析の目的です。
イ 「システム運用部門によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。」は、ペネトレーションテストの目的です。
エ 「ソフトウェア開発の生産性のレベルを客観的に知リ、開発組織の能力を向上させるために、より高い生産性レペルを目指して取り組む。」は、CMMIを利用する目的です。
シス監 予想6
システム開発委託先(受託者)から委託元(委託者)に納品される成果物に対するユーザ受入テストの適切性を確かめるためのシステム監査の要点はどれか。
出典:応用情報 平成31年春午前 問57
正解の理由
受入れテストは、発注したソフトウェアが要求事項を満たしていることをユーザが自ら確認するテストです。
(ITパスポート 平成30年春 問46より)
「受託者から納品された成果物に対して、委託者が要件定義に基づきユーザ受入テストを実施していること」は、適切な要点です。
よって、正解は ウ です。
不正解の理由
ア 「受託者が成果物に対してユーザ受入テストを実施している」ことは、委託者がテストを実施しないので不適切です。
イ 「受託者が納品」した「ユーザ受入テスト計画書」では、ユーザの要求事項を満たしていることを確認できないので不適切です。
エ 監査人は、監査対象から独立した立場です。「監査人がユーザ受入テスト計画を策定」するのは不適切です。
シス監 予想7
システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップとして、適切なものはどれか。
出典:応用情報 平成28年秋午前 問59
正解の理由
フォローアップは、改善事項が適切かつ適時に実施されているかどうかを確かめることです。
イの「改善実施状況を確認する。」は適切です。
よって、正解は イ です。
不正解の理由
その他の選択肢は、いずれも、システム監査人の独立性と客観性を損なうので不適切です。
シス監 予想8
監査証拠の入手と評価に関する記述のうち、システム監査基準(平成30年)に照らして、 適切でないものはどれか。
出典:応用情報 令和2年秋午前 問60
正解の理由
アジャイル手法を用いたシステム開発プロジェクトなど、精緻な管理ドキュメントの作成に重きが置かれない場合は、例えばホワイトボードに記載されたスケッチの画像データや開発現場で作成された付箋紙など、必ずしも管理用ドキュメントとしての体裁が整っていなくとも監査証拠として利用できる場合があります。
(システム監査基準より)
そのため、ア 「管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。」は不適切です。
適切でないものを選ぶ問題なので、正解は ア です。
コメント