応用情報技術者では毎回でシステム監査に関する問題が出題されます。ここでマスターしましょう。
システム監査の目的と手順
システム監査の目的は、システムに関わるリスクに対して適切な対処がされているのかを独立した第三者が検査・報告して、監査対象の組織の変革を手伝うことです。
監査対象の組織内の人間は監査人にはなりません。忖度した判断をしてしまう可能性があるからです。なので、監査人は監査対象の組織と関係ない第三者が行います。
システム監査は以下の手順で行われます。
- 監査計画を立てる
- 監査を実施する
- 監査結果を報告してフォローする
システム監査の実施
システム監査を実施する際、
- 何をもってリスクがあると判断するのか
- どのように監査を実施するのか
を統一しないと監査結果が客観的に正しいかどうか分からなくなります。
そこで、経済産業省によって作られたのがシステム監査基準です。
システム監査基準はシステム監査人が客観的な指標で効率的なシステム監査を実施出来るように作られた行動規範です。
システム監査はシステム監査基準に基づいて実施されます。
予備調査
システム監査を実施する際に事前調査として、監査対象の組織がどんな体制で何をしている部署なのかを知るために行うのが予備調査です。
予備調査を実施することでシステム監査の本調査をスムーズに行うことが出来ます。
本調査
監査手続ではシステム監査で調査する項目(監査項目)について、適切なリスク管理が出来ているのか判断するための証拠を集めていきます。
監査手続には色々な技法がありますが、応用情報技術者の午前試験で出題されるのはインタビュー法とウォークスルー法です。
監査中は監査の実施内容や発見した問題点などを監査調書に記録します。
監査調書を作成することできちんと監査を行った証拠になります。また、監査報告書を作成する際の根拠となる資料にもなります。
システム監査実施後
監査報告書
システム監査を実施した後は、監査報告書を作成して監査を依頼した人に提出します。
監査報告書には次のようなことを記載します。
- 監査対象に問題が無いことを保証する(問題が無かった場合)
- 監査対象に対する指摘事項と改善勧告
監査人は問題点を指摘して、改善をお勧めするだけで実際に改善を実施するかどうかや改善計画の作成は監査対象の組織に委ねられます。
フォローアップ
監査報告書で改善勧告をした場合、適切な改善が実施されているか監査して欲しいと依頼され、監査の実施を行うことがあります。これをフォローアップと言います。
フォローアップでは、監査対象の組織が作成した改善計画書を受け取り、その計画書通りに改善が実施されているかモニタリングします。
フォローアップの際、システム監査人が改善計画を作成したり改善実施を手伝うと、客観性を損なうことになるので、やるべきでは無いです。
応用情報技術者試験での出題
応用情報技術者試験を突破するのに必要な知識はこれだけです。
システム監査の目的
リスクに対して適切な対処がされているか独立した第三者が検査・報告する
システム監査の実施
・システム監査基準
監査人が客観的な指標で効率的な監査を実施出来るように作られた行動規範
・予備調査
本調査を円滑に実施するために監査対象の体制や業務内容を事前に確認する
・監査手続の実施
監査で調査すべき項目について証拠を集める
インタビュー法/ウォークスルー法等がある
・監査調書の作成
監査の実施内容や組織の問題点を記録する
システム監査実施後
・監査報告書
組織に問題点が無いことの保証や指摘事項・改善勧告を記す
・フォローアップ
監査結果に対して適切に改善実施がされているか検査する
出題例
応用情報技術者 午前試験
令和4年度春期問58
事業継続計画(BCP)について監査を実施した結果、適切な状況と判断されるものはどれか。
ア 従業員の緊急連絡先リストを作成し、最新版に更新している。
イ 重要書類は複製せずに、1か所で集中保管している。
ウ 全ての業務について、優先順位なしに同一水準のBCPを策定している。
エ 平時にはBCPを従業員に非公開としている。
正解は”ア”
BCPとは予期せぬ災害が発生した場合に、最低限の事業は継続しながら早く復旧するための計画です。なので、予期せぬ災害というリスクに対して適切な対処がされているかが監査のポイントになります。
選択肢の中でリスクに対して適切な対処がされているのはアだけなので答えはアとなります。
応用情報技術者 午前試験
令和4年度秋期問60
システム監査基準の意義はどれか。
ア システム監査業務の品質を確保し、有効かつ効率的な監査を実現するためのシステム監査人の行為規範となるもの
イ システム監査の信頼性を保つために、システム監査人が保持すべき情報システム及びシステム監査に関する専門的知識・技能の水準を定めたもの
ウ 情報システムのガバナンス、マネジメント、コントロールを点検・評価・検証する際の判断の尺度となるもの
エ どのような組織体においても情報システムの管理において共通して留意すべき基本事項を体系化・一般化したもの
正解は”ア”
応用情報技術者 午前試験
令和5年度春期問58
システム監査基準(平成30年)における予備調査についての記述として、適切なものはどれか。
ア 監査対象の実態を把握するために、必ず現地に赴いて実施する。
イ 監査対象部門の事務手続やマニュアルなどを通じて、業務内容、業務分掌の体制などを把握する。
ウ 監査の結論を裏付けるために、十分な監査証拠を入手する。
エ 調査の範囲は、監査対象部門だけに限定する。
正解は”イ”
応用情報技術者 午前試験
平成31年度春期問58
システム監査における”監査手続”として、最も適切なものはどれか。
ア 監査計画の立案や監査業務の進捗管理を行うための手順
イ 監査結果を受けて、監査報告書に監査人の結論や指摘事項を記述する手順
ウ 監査項目について、十分かつ適切な証拠を入手するための手順
エ 調査テーマに合わせて、監査チームを編成する手順
正解は”ウ”
応用情報技術者 午前試験
令和4年度春期問59
監査調書に関する記述のうち,適切なものはどれか。
ア 監査調書には、監査対象部門以外においても役立つ情報があるので、全て企業内で公開すべきである。
イ 監査調書の役割として、監査実施内容の客観性を確保し、監査の結論を支える合理的な根拠とすることなどが挙げられる。
ウ 監査調書は、通常、電子媒体で保管されるが、機密保持を徹底するためバックアップは作成すべきではない。
エ 監査調書は監査の過程で入手した客観的な事実の記録なので、監査担当者の所見は記述しない。
正解は”イ”
監査調書には事実の記録だけでなく、監査担当者の所見を記述することもあるので”エ”は誤りです。
応用情報技術者 午前試験
令和3年度春期問58
情報セキュリティ管理基準(平成28年)を基に、情報システム環境におけるマルウェア対策の実施状況について監査を実施した。判明したシステム運用担当者の対応状況のうち、監査人が、指摘事項として監査報告書に記載すべきものはどれか。
ア Webページに対して、マルウェア検出のためのスキャンを行っている。
イ マルウェア感染によって被害を受けた事態を想定して、事業継続計画を策定している。
ウ マルウェア検出のためのスキャンを実施した上で、組織として認可していないソフトウェアを使用している。
エ マルウェアに付け込まれる可能性のある脆弱性について情報収集を行い、必要に応じて修正コードを適用し、脆弱性の低減を図っている。
正解は”ウ”
監査報告書の指摘事項には、リスクに対して適切な処理がされていないことを記載します。よって、答えは”ウ”となります。
応用情報技術者 午前試験
令和3年度春期問60
システム監査人が行う改善提案のフォローアップとして、適切なものはどれか。
ア 改善提案に対する改善の実施を監査対象部門の長に指示する。
イ 改善提案に対する監査対象部門の改善実施プロジェクトの管理を行う。
ウ 改善提案に対する監査対象部門の改善状況をモニタリングする。
エ 改善提案の内容を監査対象部門に示した上で改善実施計画を策定する。
正解は”ウ”
監査の客観性を保つため、システム監査人は改善実施に直接関与はしません。