HOME»応用情報技術者試験掲示板»システム監査の解き方

応用情報技術者試験掲示板

掲示板検索:

[2834]システム監査の解き方

 ぉぉさん(No.1) 
いよいよ試験一ヶ月を切りましたね。最近はシステム監査の勉強をしているんですが、皆さんの解き方のコツやアドバイスなどあったら教えてほしいです!!
2021.09.12 17:55
AgentTakaさん(No.2) 
AP・シルバーエキスパート
ぉぉさん
こんばんは

お久しぶりです。
システム監査に特化したコツですね。
まず、システム監査基準を一読することから始めることをご推奨いたします。
で、わたしがまとめたノートをローンチ(公開、覚えたて)しちゃいまーす。

職務の分離
・入力と承認を別人にするコントロールが必要
・入力、変更の禁止の設定、解除を使用者以外の者が行う
・特権アカウントの管理と行使の権限を同一人物に付与しない

最少権限の原則

何を監査したいのかテーマをよく理解すること

システム監査の問題
・レベルの低いリスクが仕組まれている、あまり難しく考えない
・問題文の一つのワードに根拠や正解に導くヒント有り、よく読む
・プロセスに不自然な文章や日本語に設問の答え有り、よく読む
・登場人物は皆不正をしようと疑って読め!人間性悪説
・犯罪捜査ではない、監査部門の協力を得ながら

個人情報の目的外利用に本人の同意が必要  頻出

作業後のチェックがないために不適切  頻出

予防的コントロール
  プログラム修正や変更の本番環境への反映は変更者以外が行う
  第三者の目線でチェックし未然に防ぐ
発見的コントロール
  本番環境に正しく反映されたことを第三者が確認する

頻出の突合・照合法で「何と何を」選ぶか
  何を正しく実施しているか、という目的を正しく読み取れ
    例:正当な承認なく受注の変更が行われていないか
          変更履歴と承認済みの変更登録簿
    例:ウィルス対策管理者が通知を適切に記録しているか
          ログと管理簿

データの完全性のポイント
・網羅性  抜け、漏れがないか、全てのデータを入力する
・正確性  データが正しい、不正なデータがないこと
・安全性  安全に保護されていること
・整合性  データが一貫していること

監査証拠を入手する

指摘事項と改善勧告はそれぞれ対応

アクセス権が付与されたユーザIDの定期的な点検

ウォークスルー法
  書面又は実際に追跡。作業負荷が大きいので数を増やせばいいものではない

インダビュー(ヒヤリング)
  1人だけでなく複数人の関係者に。組織の問題か明らかにする

相関分析
  2つ以上の要因がもう一方の変化にどの程度影響を与えているか

全てのテストケース実施=システムの目的を達成  ではない
  要件定義通りに作られていること

変更の受け付け順ではなく変更要求の緊急度を考慮して処理順を決定する

[新しい購買業務プロセスの概要]にも職務の分離に反している問題もある。正しいと思い込むな

情報化投資の有効性を確認する
  事前に定めた指標と比較し達成/未達成を評価すること(モニタリングではない)

委託先は再委託先に直接指示できない
  委託元→委託先→再委託先

承認額を超えた場合、購買の申請を差し戻す
  正しい値に直させる、ご発注なら返品

与信限度額は承認を得て超えた後すぐに元に戻す

財務報告に係る内部統制の評価及び監査の基準
・実在性
・網羅性                      知識が無くても「・・性」という文脈から考える            
・権利と義務の帰属
・評価の妥当性
・期間配分の適切性
・表示の妥当性

COBIT
  企業などの組織において情報システムを適切に管理するための指針や規約
  標準的な工程をまとめたガイドライン  IT統制

特定の監査から得られる、得られない監査結果がある
  複数の監査手続きを組み合わせる

正しいプロセスを飛び越した例外的な問題文には要注意!
  例:支払い遅延をさけるため購買管理システムを経由せず会計システムの債務データに直接追加、修正を行うことがある
  例:先行発注業務が受注管理システムと連携していないため不正発注が起こりうる

想定される不正の解答に「不正」は記述しなくてよい

比較するのが「〜日」と何か、では「〜日(時)」まで記述する
  例:ログの確認日と最新のハードディスクスキャンの実行日時

内部統制  会社が健全に事業活動を遂行するためのルールや仕組み
  4つの目的
    @業務の有効性及び効率性
    A財務報告の信頼性
    B事業活動の信頼性
    C資産の保全
  6つの要素
    @統制環境
    Aリスクと評価と対応
    B統制的活動
    C情報と伝達
    Dモニタリング
    EIT(情報化技術)への対応

アクセス権といっても参照権限と更新権限では想定されるリスクが大きく異なる

プロジェクト遅延を報告するだけではダメ
  スケジュールを見直して経営陣に再度承認をとる

ふーーー
以上でございます。
主に間違えた解答をドットコム様の解説や講評から反省の意味を込めてまとめたものです。
取捨選択して拾ってください。
何か役にたてば幸いでございます。
2021.09.12 18:55
 ぉぉさん(No.3) 
AgentTakaさんお久しぶりです!
わーすごいたくさん書いていただきありがとうございます!一通り読んで知識を盗ませていただきます。本番お互いに頑張りましょう!
2021.09.14 15:25
AgentTakaさん(No.4) 
AP・シルバーエキスパート
ぉぉさん
こんにちは

盗みまくってください。その方が全然うれしいです。
ただ、わたしのノートも断片的なのでぜひ「システム監査基準(平成30年)」をネットで検索して入手し監査を体系的に学ぶところから入って下さい!40ページもないのでしぎ読み終わりますよ。

よく見たら2か所も誤字ありましたので読み替えお願い致します。ごめんなさい、、、

誤:委託先は再委託先に直接指示できない
正:委託元は再委託先に直接指示できない

誤:  正しい値に直させる、ご発注なら返品
正:  正しい値に直させる、誤発注なら返品

本番お互いに頑張るぞーーー!  おおっーーー!
2021.09.14 15:37
kさん(No.5) 
AgentTakaさん私も是非参考にしたいのですが、URLなど終えていただけないでしょうか。
2021.09.17 10:23
AgentTakaさん(No.6) 
AP・シルバーエキスパート
kさん
こんにちは

ドットコム様のルールで当サイトとIPA以外のリンクは貼れないんです。

システム監査基準  平成30年
で検索すると
PDF システム監査基準 - METI
てすぐヒットしますよ。
2021.09.17 13:24
kさん(No.7) 
ありがとうございます。助かりました。
2021.09.17 14:21

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2010-2021 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop