「みちともデジタル」は、ITパスポート試験の合格を目指す方を応援する無料学習サイトです。

システム監査-予想問題-a

スポンサーリンク

シス監 予想1

システム監査において、監査証拠となるものはどれか。

 システム監査チームが監査意見を取りまとめるためのミーティングの議事録
 システム監査チームが監査報告書に記載した指摘事項
 システム監査チームが作成した個別監査計画書
 システム監査チームが被監査部門から入手したシステム運用記録
 

出典:情報セキュリティマネジメント 平成30年春午前 問39

正解の理由

監査証拠は、監査の結論を裏付けるための事実です。証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えていなければなりません。

「システム運用記録」は、システムの運用状況を示す事実です。

よって、正解は、 です。

不正解の理由

 「システム監査チームが監査意見を取りまとめるためのミーティングの議事録」は、システム監査チーム内の資料です。

 「システム監査チームが監査報告書に記載した指摘事項」は、監査の結論であって、裏付けでありません。

 「システム監査チームが作成した個別監査計画書」は、監査の前に作成するものなので、結論の裏付けになりません。

(システム監査 予想1)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想2

システム監査における監査調書の説明として、適切なものはどれか。

 監査対象部門が、監査報告後に改善提案への対応方法を記入したもの
 監査対象部門が、予備調査前に当該部門の業務内容をとりまとめたもの
 監査人が、実施した監査のフロセスを記録したもの
 監査人が、年度の監査計画を監査対象ごとに詳細化して作成したもの
 

出典:情報処理安全確保支援士 平成31年春 午前Ⅱ 問25

正解の理由

監査調書は、システム監査人が実施した監査のプロセスを記録したものであり、かつ、監査の結論の基礎となるものです。
(システム監査基準より)

よって、正解は  です。

不正解の理由

 「監査対象部門が、監査報告後に改善提案への対応方法を記入したもの」は、改善計画書です。

 「監査対象部門が、予備調査前に当該部門の業務内容をとりまとめたもの」は、予備調査の資料です。

 「監査人が、年度の監査計画を監査対象ごとに詳細化して作成したもの」は、個別監査計画です。

(システム監査 予想2)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想3

システム監査の業務は、監査計画の立案、監査証拠の入手と評価、監査手続の実施、監査報告書の作成、フォローアップのプロセスに分けられる。これらのうち、適切な対策の実施を指導するプロセスはどれか。

 監査証拠の入手と評価
 監査手続の実施
 監査報告書の作成
 フォローアップ
 

出典:ITパスポート 平成31年春 問55

正解の理由

フォローアップのプロセスでは、監査対象部門又は改善責任部門が実施した改善策が不十分であるか、又は改善提案に基づく問題解決がなされないまま放置されている場合は、当該部門に対して、再度の改善対応を要請します。
(システム監査基準より)

問題に「適切な対策の実施を指導するプロセス」とあるので、フォローアップが適切です。

よって、正解は  です。

不正解の理由

 監査証拠の入手と評価は、監査証拠を入手し、それに基づいて監査の結論を形成することです。

 監査手続の実施は、監査対象の実態を把握するための予備調査、及び予備調査で得た情報を踏まえて、監査証拠を入手するための本調査を実施することです。

 監査報告書の作成は、監査の概要 、監査の結論(指摘事項や改善勧告)を記載した報告書を作成することです。

(システム監査 予想3)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想4

システム監査基準(平成30年)における監査手続の実施に際して利用する技法に関する記述のうち、適切なものはどれか。

 インタビュー法とは、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法をいう。
 現地調査法は、システム監査人が監査対象部門に直接赴いて、自ら観察・調査するものなので、当該部門の業務時間外に実施しなければならない。
 コンピュータ支援監査技法は、システム監査上使用頻度の高い機能に特化した、しかも非常に簡単な操作で利用できる専用ソフトウェアによらなければならない。
 チェックリスト法とは、監査対象部門がチェックリストを作成及び利用して、監査対象部門の見解を取りまとめた結果をシステム監査人が点検する技法をいう。
 

出典:情報処理安全確保支援士 令和元年秋午前Ⅰ 問22

正解の理由

「直接、関係者に口頭で問い合わせ、回答を入手する」ことをインタビューといいます。

よって、正解は  です。

不正解の理由

 現地調査法は、システム監査人自ら対象業務の流れ等の状況を、観察・調査する技法です。「現当該部門の業務時間外に実施」では、対象業務の流れ等の状況を観察できません。

 コンピュータ支援監査技法では、専用ソフトウェアの他に、表計算ソフトウェア等も利用できます。

 チェックリスト法は、システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリストに対して、関係者から回答を求める技法です。「監査対象部門の見解を取りまとめた結果をシステム監査人が点検する」ものではありません。

(システム監査 予想4)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想5

“システム監査基準”における、組織体がシステム監査を実施する目的はどれか。

 自社の強み・弱み、自社を取り巻く機会・脅威を整理、新たな経営戦略・事業分野を設定する。
 システム運用部門によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。
 情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、 ITガバナンスの実現に寄与する。
 ソフトウェア開発の生産性のレベルを客観的に知リ、開発組織の能力を向上させるために、より高い生産性レペルを目指して取り組む。
 

出典:基本情報 平成28年春期午前 問60 参考

正解の理由

システム監査には、次の目的があります。

システム監査の目的

(1)組織体の経営活動と業務活動の効果的かつ効率的な遂行
 (情報システムの監査を通じて、経営活動や業務活動の流れが明確になり、課題の発見や改善ができます。)

(2)組織体の経営活動と業務活動の変革を支援
 (情報システムの改善は、組織体の経営活動と業務活動の変革につながります。)

(3)組織体の目標達成に寄与する
 (有効な情報システムの構築が、組織体の目標達成につながります。)

(4)利害関係者に対する説明責任を果たす

そのため、システム監査は「ITガバナンスの実現」に寄与します。

ITガバナンスは、ビジネスにおいて、他社と自社を比較して有利な状況にするために、IT(情報技術)を経営に活かしていくための方針や計画を作り、効果が出るように実行する組織としての能力です。

よって、正解は  です。

不正解の理由

 「自社の強み・弱み、自社を取り巻く機会・脅威を整理し、新たな経営戦略・事業分野を設定する。」は、SWOT分析の目的です。

 「システム運用部門によるテストによって、社内ネットワーク環境の脆弱性を知り、ネットワーク環境を整備する。」は、ペネトレーションテストの目的です。

 「ソフトウェア開発の生産性のレベルを客観的に知リ、開発組織の能力を向上させるために、より高い生産性レペルを目指して取り組む。」は、CMMIを利用する目的です。

(システム監査 予想5)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想6

システム開発委託先(受託者)から委託元(委託者)に納品される成果物に対するユーザ受入テストの適切性を確かめるためのシステム監査の要点はどれか。

 委託者が作成したユーザ受入テスト計画書に従って、受託者が成果物に対してユーザ受入テストを実施していること
 受託者が成果物と一緒にユーザ受入テスト計画書を納品していること
 受託者から納品された成果物に対して、委託者が要件定義に基づきユーザ受入テストを実施していること
 受託者から納品された成果物に対して、監査人がユーザ受入テスト計画を策定していること
 

出典:応用情報 平成31年春午前 問57

正解の理由

受入れテストは、発注したソフトウェアが要求事項を満たしていることをユーザが自ら確認するテストです。
(ITパスポート 平成30年春 問46より)

「受託者から納品された成果物に対して、委託者が要件定義に基づきユーザ受入テストを実施していること」は、適切な要点です。

よって、正解は  です。

不正解の理由

 「受託者が成果物に対してユーザ受入テストを実施している」ことは、委託者がテストを実施しないので不適切です。

 「受託者が納品」した「ユーザ受入テスト計画書」では、ユーザの要求事項を満たしていることを確認できないので不適切です。

 監査人は、監査対象から独立した立場です。「監査人がユーザ受入テスト計画を策定」するのは不適切です。

(システム監査 予想6)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想7

システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップとして、適切なものはどれか。

 改善勧告に対する改善の実施を被監査部門の長に指示する。
 改善勧告に対する被監査部門の改善実施状況を確認する。
 改善勧告に対する被監査部門の改善実施プロジェクトの管理を行う。
 改善勧告の内容を被監査部門に示した上で改善実施計画を策定する。
 

出典:応用情報 平成28年秋午前 問59

正解の理由

フォローアップは、改善事項が適切かつ適時に実施されているかどうかを確かめることです。

「改善実施状況を確認する。」は適切です。

よって、正解は  です。

不正解の理由

その他の選択肢は、いずれも、システム監査人の独立性と客観性を損なうので不適切です。

(システム監査 予想7)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

シス監 予想8

監査証拠の入手と評価に関する記述のうち、システム監査基準(平成30年)に照らして、 適切でないものはどれか。

 アジャイル手法を用いたシステム開発プロジェクトにおいては、管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。
 外部委託業務実施拠点に対する現地調査が必要と考えたとき、委託先から入手した第三者の保証報告書に依拠できると判断すれば、現地調査を省略できる。
 十分かつ適切な監査証拠を入手するための本調査の前に、監査対象の実態を把握するための予備調査を実施する。
 一つの監査目的に対して、通常は、複数の監査手続を組み合わせて監査を実施する。
 

出典:応用情報 令和2年秋午前 問60

正解の理由

アジャイル手法を用いたシステム開発プロジェクトなど、精緻な管理ドキュメントの作成に重きが置かれない場合は、例えばホワイトボードに記載されたスケッチの画像データや開発現場で作成された付箋紙など、必ずしも管理用ドキュメントとしての体裁が整っていなくとも監査証拠として利用できる場合があります。
(システム監査基準より)

そのため、 「管理用ドキュメントとしての体裁が整っているものだけが監査証拠として利用できる。」は不適切です。

適切でないものを選ぶ問題なので、正解は  です。

(システム監査 予想8)
新出用語順(分野別)
Ver.5.0Ver.5.0
問題一覧に戻る

コメント

タイトルとURLをコピーしました