2010年03月03日
システム監査添削受講生からのご質問に回答しました
添削受講生からのご質問
質問内容
小論文の設問ウでは、ほとんどのケースにおいてシステム監査手続についての記載を求めらる場合が多いように思います。「システム監査手続」の定義として「本調査における監査証拠を入手するプロセス」と認識しています。
そういうことで、今回の提出論文にも、「監査証拠を入手するプロセス」について記載しました。
やはり、「年間計画~フォローアップ」すべてを含むように書くべきなのでしょうか。それとも、監査手続=「年間計画~フォローアップ」ということになるのでしょうか。
回答
監査手続の概要については「情報セキュリティ監査基準」=実施基準=、=報告基準=に掲載されていますのでご覧下さい。 概要を整理すると以下のようになります。- 監査計画の立案「情報セキュリティ監査基準」=実施基準= 1.監査計画の立案
- 監査証拠の入手と評価「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.1
- 監査調書の作成と保存「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.2
- 監査業務の体制の確保「情報セキュリティ監査基準」=実施基準= 3.監査業務の体制
- 監査報告書の提出と開示「情報セキュリティ監査基準」=報告基準= 1.報告書の提出と開示
- 監査報告に基づく改善指導(フォローアップ)「情報セキュリティ監査基準」=報告基準= 5.監査報告に基づく改善指導
- 監査計画の立案年度監査計画、経営者レビュー、予備調査、個別監査計画
- 監査証拠の入手と評価本調査(インタビュー、監査ツールの使用、アンケート、レビュー)
- 監査調書の作成と保存
- 監査業務の体制の確保監査報告書の作成、上位監査者の評価
- 監査報告書の提出と開示証拠の提示、改善勧告もしくは監査結果の開示
- 監査報告に基づく改善指導(フォローアップ)是正、予防、マネジメントレビューの監視、フォローアップ監査
投稿者 hirano : 12:19 | コメント (0) | トラックバック (0)
2010年01月28日
システム監査試験、H20年午後II問2の回答スタンスについて
H20年午後II問2について
読者から質問をいただきました。読者からの質問内容
今回、平成20年度の午後Ⅱ問2はまさに業務と直結しているので
初回のサンプルテーマに選択しました。
悩んだのが、範囲です。IT全般統制の計画からフォローに至るまで
システム監査基準の範囲を述べるのか、設問にあるように
開発・保守の変更管理や外部委託、アクセス管理等ある程度絞った
統制に対する具体的に手続きを述べるかです。
私は当初、後者を選びましたが、先生の回答例は、前者です。
あくまで、回答例であるのですが、自分の考えとして、次のように 理解しました。
IT全般統制の監査手続きを求めている、システム監査手続きは計画からフォロー までとしているので、全体像を記述する。
その中で、システムの特徴と照らしまあせて、実践した統制評価の手続きを 記述する。と考えました。
考え方としてはいかがでしょうか?
回答
試験センターの出題趣旨
試験センター発表の出題趣旨として、情報システムの特性を踏まえたうえでの IT全般統制について問うとしています題意
- 問題文のなかで「情報システムの運用特性に応じた全般統制の有効性監査が必要」としている
- 設問イでも「情報システムの運用特徴と関連づけて」と論述範囲を定めている
- よって、情報システムの運用特性と関連付けつつ、監査手続きを述べるべきである
回答
- 題意に従うことは重要である
- しかし、そのほかに重要なことがあり、それはシステム監査基準に準拠していることである
- システム監査基準に準拠していなければ、たとえ実務的に有効な手段であっても減点対象となりうる
投稿者 kato : 22:06 | コメント (0) | トラックバック (0)
2009年10月21日
2009年度、ITストラテジスト 午後II 問2解答速報
1 情報化促進の目的と業務特性
1.1 情報化促進の目的
私がコンサルティングで関与したするB社は、自動車関連の部品を
製造販売する製造業である。
B社では自動車会社大手数社から部品の生産を依頼されると
、その新部品であると仕様を技術検討したうえで原価計算、見積りを行い
契約、受注にいたる。従来部品の場合は仕様変更の有無を確認して
部品展開や部品調達後生産する。
情報化促進の目的は次のとおりである。
- 自動車部品メーカから受注に関連する作業を迅速化するように求められていて対応したい
- 受注にかかかわる情報をデータベース化して経営層は受注残の状況を把握したい
- そのことによって資金計画立案を円滑化したい
- 受注には顧客対応、原価計算、技術検討などの多部署との連携が必要で情報共有化を図りたい
そのうえで、①受注時の省力化として手作業の80%削減、 ②受注リードタイムを1日とすること、③受注情報の共有化を情報化促進の 基本理念とした。
1.2 業務特性
第一回目の経営者とのヒアリング、現場代表者の意見収集の結果、次のような 業務特性が存在することが判明した。
- かつて、2000万円かけて構築した受注管理システムが現在、殆ど使われていない
- その原因として、現場の意見や実情が反映されていないという不満が存在する
- メーカからの依頼書はEDIを通じてオンラインでB社に通達される
- しかしEDIの仕様が各社によって異なり、標準的な作業が存在しない
- ISO9000を取得している。そのためには受注に関連する標準的な書式が必要となっている
- この結果、ISO9000とEDIとの結果に矛盾が発生する
基本的に標準化を進めたいが、どのように標準化を すすめてよいのかがわからないような状態であることがわかった。
2 情報化促進の阻害要因と原因究明
2.1 情報化促進の阻害要因
2.1.1 EDIと当社標準化受注フォームとの矛盾
当社は5社の自動車、家電大手との付き合いがある。
その関係で各社のEDIを全て使っていて、その電文フォーマットにしたがって
受注処理をしている。各大手の受注フォーマットはそれぞれ少しずつ異なっており
B社の受注処理標準化遅れの原因となっている。
その問題点は次のとおりである。
- 受注した電文を印刷し、当社の標準フォーマットに手作業で再記入する
- その記入に間違いがないか記入者本人が確認する
- さらに記入者の上司が確認する
2.1.2 当社標準化受注フォームとISO9000との矛盾
ISO9000では品質保証を目的として受注記録の記入と
保持、点検を標準化することを求めている。
その現在の問題点は次のとおりである。
- 当社の標準フォーマットをISO9000審査・監査に耐える フォーマットに改ざんしている
- かいざんは、ISO9000の審査直前1ヶ月に集中的実施する
- すなわち改ざんに関連する受注に関わる二重処理の実態がある
2.2 分析手法について
私の分析法は、①経営者へのヒアリング、②組織図のレビュー、
③現場代表者(課長)のインタビュー、④現状分析(業務分析と
情報化のワークフロー)、⑤現場作業員を交えた情報化会議開催である
特に、業務分析は今回の問題解決の要と考えて、次の手法を
駆使して分析時間の短縮と正確化を図った。
- ISO9000の品質マニュアル、作業マニュアル等の文書を 精査する
- ISO9000のマニュアルに記入された作業手順を ワークフロー化する。(DFD)
- DFDの読み方をスタッフに教育して、DFD化した作業と 実際の作業を比較して矛盾点、欠落点を情報化委員会で指摘してもらう
- 再度、作り直したDFDをもとに、 現実的な現状作業を洗い出す
- その際に、上記の矛盾点や、標準化推進の課題を社内や経営層にに周知徹底する
3 促進案
促進案にはIT的手法と、経営的手法がある。
3.1 促進案
提案内容は次のとおりである。
3.1.1 標準化について
①各社EDIからの受注データを一端、データベースに蓄積する。
②データベースには各社受注種別ごとのフォーマットを作りこんでおく。
③その際に受注電文の原本と、名寄せした項目に変換し、蓄積した電文を
の両方を保持する
④標準的な名称に名寄せした電文を標準フォーマットへ
変換し、これを受注フォームとする
⑤これにより、転記作業が廃止される
3.1.2 現場の意見を反映した情報システム
このほか、情報化委員会で明らかになった現場の不満や
欠落していた業務プロセスを情報システムに反映することにする。
3.2 経営的手法
上記のIT的問題解決を円滑に図るために次のような施策を 提案する。
- ISOの自己適合宣言を行う。
- ISO監査機関の教条的監査から逃れるために。 ISO自己適合宣言し、ISO本来の趣旨を理解し監査する団体に監査を依頼する
- その結果、監査用の文書作成という価値0の作業が軽減される。
- 情報化促進の状況を確認するために内部監査としてISO以外にシステム監査を実施する。
- システム監査によってITガバナンスの適切さが検証される
以上
投稿者 kato : 09:47 | コメント (0) | トラックバック (0)
