« 2008年03月 | メイン | 2008年08月 »
2008年04月26日
新たなシステム監査技術者試験の体系的勉強法について
システム監査技術者試験の体系的勉強報
読者の方から質問をいただきました
今回の結果を見る限り、関連法規や品質管理が弱点となっております。しかし、問題を変えられたり別の年度になると
最後の監査で多く間違えたり、コンピュータで間違えたりしております。
例えば、過去問では「著作権の帰属」の問題はあまり間違えたりしませんでしたが今回はミスした、という具合に。
請負業務と委託業務も改題されるとミスしている気がします。(過去問なら正解していたがミスするのは何か理解不足の証拠)
システム監査試験の午後対策として
午後Ⅰ対策に関して
過去問3年分くらいを3回くらい反復する。
問題の与件内容から解答例に至るまでの考え方・プロセスと 前提となる知識を身につける。
これくらいしか思いつきません。
午後Ⅱ対策に関して
まず、問題と模範解答例から章立て構成とキワードを ピックアップする。
次に論文の各章(各段落)ごとに要点を短文でまとめ上げる。 以上のことを9~12テーマぐらいやる。
システム管理基準とシステム監査基準を暗記し、監査業務を 行う上で大切なことを整理する。
これ以外に論文対策として必要なことがあればご指摘願います。
午前対策について
よりよいご意見、誠に有難うございました。新たな教材開発に役立てさせていただきたく 思いますので、よろしくシステム監査技術者試験小論文合格講座CDを ご愛顧ください。
試験全般対策について
システム監査技術者試験はシステム監査基準に準拠した試験となっております。 「AU試験とシステム監査基準について」 に詳細な勉強を入れておきましたので、よろしくご参照下さい。
午後Iについて
午後Iの勉強報は以下にコンテンツを作ってありますから是非、ご参照下さい。
午後IIについて
午後IIの勉強報は以下にコンテンツを作ってありますから是非、ご参照下さい。
2008年04月25日
2008年度 システム監査技術者試験 小論文 問2
平成20年 システム監査技術者試験 午後Ⅱ 問2 解答例
1 情報システムとIT業務処理統制について
1.1 B社概要と情報システムの概要
私が勤務するB社は、二部上場の自動車部品系第一次部品加工製造業である。B社は大手輸送企業や
自動車メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
大手輸送機器企業向けの製品を及び部品を連続生産型で開発、生産している。
下請負先企業は30社ほどある。そのうち3社はB社子会社であり、決算期には連結決算を行う必要がある。
情報システムは管理会計、会計、給与、生産、営業、設計、在庫、調達業務システムが分散系のホストで稼動している。
1.2 IT業務処理統制機能の不備のリスク
B社の上記業務システムのコントロールが不備の場合のリスクは次の通りである。
- (1)会計システムに不備、不正があると上場廃止の危機にいたる。その結果、株主や利害関係者に 対する経営責任が果たせない
- (2)会計システムに不備、不正があると管理会計の基礎的データに欠陥があることになる。 この結果、正確な次年度計画策定が困難になる。
- (3)在庫、生産業務システムに不備があると、取引先のJust In Timeラインが 停止する可能性が高く。取引先から損害賠償を求められる可能性がある。
- (4)調達業務、特に関連会社、子会社との間の業務システムに不正が発生する可能性が高い。
- 架空取引、二重取引などの操作が容易であるため、このような不正が発生すると社会的評価が低下し
- 顧客からの指名停止などにより売上高減少、営業損益がマイナスになる可能性がある。
- (4)給与システムに不備、不正があると雇用の平等性が崩れる。また、不正な役員報酬や不正支出があると 経営層に対する組織内の信頼性が低下し、モチベーション低下を招く 以上のことから、コントロールの不備は内部の混乱を招くだけでなく株主などの利害関係者、取引先、下請け企業にまで 被害を及ぼす可能性がある。
2 IT全般統制の有効性監査の手続き
2.1 IT全般統制の有効性監査の準備
IT全般統制の有効性監査を実施するにあたり、被監査対象の標準テンプレートを
用意し、文書化の状態をチェック検証しコントロールの差異を分析して、統制の
有効性を検証してゆく。
また、内部統制の有効性について以下の観点から情報システムとその業務プロセス
及びインプット、アウトプットデータについて監査する必要がある。
(1)重大な欠陥
財務報告に重要な影響を及ぼす可能性の高い財務報告に係る内部統制の不備はないか。
(2)組織の財務計算に関する書類の適切性の確保
組織の財務計算に関する書類の適切性の確保するために必要な体制として、その組織における
財務報告が法令に基づいて適正に作成されているか。経営者の意見表明が行われているか
(3)内部統制報告書の記載事項
組織は内部統制報告書を3通作成し、有価証券報告書とあわせて財務局長に提出しているか
3.2 有効性監査の手続き
上記の目的を達成するための監査手続きを整理すると次のとおりになる。
- 年間監査計画にもとづいて監査を実施する。
- 監査にあたり経営者をインタビューして、監査目的を理解する。
- 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
- 予備調査にもとづき監査手続書、個別計画書を作成する。
- 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
- 監査証跡をもとにして監査報告書を作成する。
- 監査報告書に被監査組織の捺印をもらう。
- 不適合事項が発見された場合、フォローアップ監査を実施する。
有効性評価監査の過程で内部統制評価が必要になる。その概要は次のとおりになる。
- (1)重点評価範囲:重要な勘定科目や重要なグループ企業のコントロールの適切さの検証。
- (2)内部統制評価:文書化の状態の監査、運用状態の適切さの検証
- (3)不備、欠陥の是正:評価基準の作成、不備の認識、改善、改善結果の評価状況
- (4)経営者による有効性の評価:補完的コントロールの存在の確認、重要な欠陥の財務諸表に与える 影響の検討
- (5)重大な欠陥の重要性と発生確率。
- (6)重大な欠陥の発見:特に職務記述書、フローチャート、コントロールマトリックスについては 注意深く監査を行う。
3 IT全般統制の不備に対する監査人の態度
不備が発見された場合には、次の点に留意して監査を実施する必要がある。
3.1 有効性監査の留意点
財務アサーションの観点についてIT全般統制を留意する必要がある。
- 財務諸表項目の実在性
- 財務諸表項目の網羅性
- 権利と義務
- 評価
- 開示
3.2 リスクの検証
IT全般統制の有効性確認の手続き。
- 過大な入力、重複入力が行われていないか
- 入力漏れ、入力遅延はないか
- 重要なデータは正確に入力されたか。
- 入力前の適切な承認は行われたか。
- 入力データは商法、企業会計原則などの基準を満たしているか。
- 入力データは改ざんされていないか。
2008年04月24日
2008年度システム監査技術者試験解答速報概要
2008年システム監査技術者試験 午後II 小論文の総評
■総評
- 非常に意欲的で、システム監査技術者としての実力を問うようなテーマが出題された
- 問2の内部統制報告と問3の事業継続計画はもしかすると、予想が当たった方もいると思う。
- 全3問のなかで問2が一番難しいなと思った。
全体的に2007年度の問題に比べて相対的に難しい。小論文試験では、その意図を 解答者が読み取って、小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。
■難易度
[難易度]★が多いほど難しい
- 問1 ★★★★☆
- 問2 ★★★★★
- 問3 ★★★★☆
上記の難易度を決めた理由は次の通りである。
- 問1:一種のアクセスコントロール系の問題であるが、そのなかのアイデンティティマネジメントや シングルサインオンが理解できていないと論文が書けない。
- 問2:一言で言うと、内部統制報告書の何たるかを理解していないと十分な論文はかけないから。
- 問3:基本的には事業継続計画の論文だ。しかし、対象業務を外部委託している業務に限定されているので、 書きにくかったのではないか。
■問題別、小論文戦略
合格できるか、否かについての基準を示そう。
| 問題 | 問題の必須条件 | 合格のための工夫 |
| 問1 | アイデンティティマネジメントが理解できているか | IDの一元管理のメリットとデメリットを掻き分けられるか |
| 問2 | 内部統制報告書についての理解ができていること | 内部統制報告書の有効性について説得力のある論文をかけるか |
| 問3 | ISO27001の知識体系が必要である | 外部委託している業務について詳細な説明ができるか |
■総評と解答速報
●総評
●午後Ⅱ
■2008システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座
2008年04月23日
2008年 システム監査技術者試験 小論文 解答速報 問3
平成20年 システム監査技術者試験 午後Ⅱ 問3 解答例
1 組織全体の事業継続計画の概要について
1.1 組織概要と調達の実態
私が勤務するC社は、電子部品系第一次部品加工製造業である。C社は大手通信企業や
大手電子通信機器メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
業務には2系統ある。売上の70%は大手電子通信機器メーカから受注する連続生産品である。
残りの30%は大手通信企業向けの製品を及び部品を受注生産型で開発、生産している。
生産形態にかかわらず、電子部品のパーツとなるICなどは協力会社及び商社から調達している。しかし、協力会社も
在庫削減を目的としていて確定的発注以外の予約押さえは困難である。
大手商社X,Y社とはWeb-EDIを使って、受発注のやり取りを行っており、その取引額は仕入れ価格ベースで
85%である。
1.2 事業継続化計画の概要
C社における事業継続化計画は仕入れ調達の85%を占める大手商社X,Y社との取引を中心に考え 計画することが妥当との経営者の判断により、次のような概要となっている。
- (1)事業継続計画手続きの確立:事業継続計画の過程で①リスクを評価し、② 障害の影響を最小化するために必要な設備を定義する。
- ③あわせて、損害発生に備え損失額に見合った保険加入を検討する。④ビジネス戦略 にあわせた事業継続プロセスの確立を行い、経営陣の承認をえる。
- (2)リスクアセスメント:リスクは発生確率と事業への影響度を考慮する。 また、重要なビジネスの洗い出しと適切な優先度を設定する。障害の影響分析 にあたっては想定される損害の規模と回復に要する時間を考慮する。
- (3)継続計画の策定と実施
- 調達先商社及びC社の通信回線や情報システムの障害、故障、災害、外部からの攻撃 を想定した事業継続計画の策定をすること。
- 計画実行に要するリソースの確保と要員の教育の実施、関係者への周知を実施する
- 作成した事業継続計画の経営層による承認、本計画で連携すべき商社との円滑な連携の確保
- (4)事業継続計画の有効性の確保:①関係各所の連絡手段の確保。②事業支援サービスへの切り替え手順の 確保
- ③業務の再開手順の確保、④事業継続計画の見直しサイクルの確保
- (5)テストや訓練の実施:事故発生対策チームの配置、システムの回復手順とバックアップによる 業務継続の実施、業務継続処理プロセスのリハーサル
2 確認すべき事項
C社では商社のX、Y社からの供給が停止した場合を想定して確認すべき事項を点検した。
(1)ビジネス的確認事項- 商社、XとYから供給される部品の代替部品の調達は他の調達先から調達可能か
- 調達が可能な場合のコスト、調達手続き、担当部署、契約書は文書化され、 担当部署に周知徹底されているか
- 調達が不可能な場合の対処、例えば船荷便を航空機便で切替えて納期に関する契約を 遵守する対策及び手通きその物流手段は十分検討されているか。
- 地震災害などで長期にわたり、輸送ルートの破壊、調達先企業の企業活動停止状態に 陥った場合の、調達先切替えの見極めの判断基準と顧客企業への対応手続きの文書化の確認
商社と当社との通信経路及び商社と当社の情報システムの停止に陥った場合を想定した 点検事項。
- 様々な情報システム障害に対する机上演習
- 事故対策チームの組織化の状態、訓練の状態
- 事故処理手続きの存在の確認。
- システム回復手順の存在と有効性の検証の確認。
- バックアップシステムの存在と業務継続の可能性の確認。
- 情報システム及びネットワークサービスの障害発生時の計画に基づく処理の確認。
- 事業継続計画に基づく処理プロセスの全体リハーサル
- 事業継続計画レビューの存在、事業継続計画プロセスの追加の検討、変更事項の検討の有無
3 事業継続計画にかかわる要点と手続き
3.1 事業継続計画監査にかかわる要点
(1)事業継続計画の範囲の網羅
事業継続計画の有効性を確保するために、事業継続計画にかかわる組織の範囲と
情報システムの範囲、業務の範囲を明確に定めておく必要がある。
(2)商社の協力
調達先大手商社との事業継続計画に関連する契約、事業継続計画発動時の手続きの合意、
訓練への参加などの覚書の確保
(3)顧客の合意
事業継続計画に関連するリスク発生時の対応について、顧客の合意の存在を確認
(4)事業戦略の見直しと事業継続計画
事業戦略の見直しに伴い事業継続計画が見直されているかの確認。
3.2 調達先と当社の事業継続計画にかかわる要点と手続き
上記の目的を達成するための監査手続きを整理すると次のとおりになる。
- 年間監査計画にもとづいて監査を実施する。
- 監査にあたり経営者をインタビューして、監査目的を理解する。
- 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
- 予備調査にもとづき監査手続書、個別計画書を作成する。
- 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
- 監査証跡をもとにして監査報告書を作成する。
- 監査報告書に被監査組織の捺印をもらう。
- 不適合事項が発見された場合、フォローアップ監査を実施する。
2008年04月22日
2008年 システム監査技術者試験 小論文解答速報 問1
平成20年 システム監査技術者試験 午後Ⅱ 問1 解答例
1 アイデンティティマネジメントの実態と課題
1.1 アイデンティティマネジメントの実態
私が勤務するA社は、食品製造販売業である。部署には研究開発部門、生産管理部門、
工場、倉庫、営業の5部門からなる。現在、海外企業と連携して新素材の研究に取組ん
でいる。
特に、新素材の研究をしている研究開発部門のセキュリティには高機密性が求めら
れる。研究開発部門では、海外とのやりとりに電子メール、研究開発サーバへのアクセス、
研究プロジェクトの管理としてグループウェアなどを利用している。
これらの情報資産へのアクセスコントロールとして、情報資産ごとに異なる
IDとパスワードで認証を行いセキュリティ管理を実施している。
1.2 アイデンティティマネジメントの課題
A社におけるアイデンティティマネジメントの課題は次のとおりである。
- 社内の研究開発スタッフの雇用形態も博士資格を持った契約社員、正社員、外部専門家など多岐に 分かり、IDとパスワードの管理が煩雑である。
- 海外からの情報資産に対するアクセス管理が煩雑である。
- 情報資産ごとにIDとパスワード管理するため、アクセス状況監視やパスワード定期的変更管理 が事実上困難となっている。
- 資産と管理方法が多岐に渡るため監査証跡の定期的確保が困難となっている。
- 情報資産管理が複雑化しているため、研究開発部門のセキュリティレベルが低下している。
- あわせて情報資産の使いやすさも低下している。
- ユーザーという実在する人間のアイデンティティを認証(Authentication)する ことが困難。
- 本人性を認証するため、サービス同士の相互信頼や、セキュアな転送経路が必要。
- 既にいない利用者のアカウントが残る「放置アカウント」の発生。
- 以上による、研究開発データの盗聴、改ざんのリスク。
2 アイデンティティ管理ツールの導入について
A社では、内部統制の強化を目的として、1回の認証ですべての情報資産弐アクセスする権限を 与えるシングルサインオンシステムの導入を検討している。
(1)その目的は次の通り- 当初の目的は、研究開発部門内で乱立する、多数のIDとパスワードを集約すること。
- 単一のIDとパスワードで複数の情報資産へのアクセスを可能とすること。
- 情報資産へのアクセスを容易にすること。
- 情報資産へのアクセス監視等アクセスコントロールを容易にすること。
- 本人性を認証するため、Identityをもとにアクセス制御などの認可できること。
シングルサインオンシステムでは上記のメリットがある反面、以下のようなリスクが危惧されている。
- 市販パッケージの既存認証基盤によるシングルサインオン構築は、ライセンス費が高額となることがある。
- 定期的なバージョンアップに伴い、保守費以外の支出を伴うケースが多い。
- ベンダのビジネス動向(販売撤退、買収等)により計画外費用が発生しやすい。
- トラブル発生時、パッケージソフト毎に対応窓口が異なる。
- A社情報システム部がシングルサインオンシステムに関するスキルを持っていない。
3 運用状況監査にかかわる要点と手続き
3.1 運用状況監査にかかわる要点
(1)セキュリティコントロール機能の強化
アイデンティティマネジメントによって、①ユーザ認証、②ユーザ認可、③ユーザ、情報資産管理、
④監査証跡確保機能の強化
(2)セキュリティレベルの向上
認証メカニズムを強化。X.509 デジタル証明書、
OTP (使い捨てパスワード) デバイスとしても知られている時間ベースの
ハードウェアトークン、バイオメトリック認証を使用したセカンダリ確認などに
より安全な非パスワード ベースのメカニズムおよびテクノロジが利用されているか
(3)利便性の向上
アイデンティティマネジメントによってユーザの利便性は向上しているか
(4)コスト削減効果
アイデンティティマネジメントによってITトータルコスト、管理コストは低減しているか。
また、運用だけでなくアプリケーションのセキュリティ機能開発コストが低減しているか。
3.2 運用状況監査にかかわる要点と手続き
上記の目的を達成するための監査手続きを整理すると次のとおりになる。
- 年間監査計画にもとづいて監査を実施する。
- 監査にあたり経営者をインタビューして、監査目的を理解する。
- 監査に先立ち予備調査を実施して、シングルサインオンシステムにかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
- 予備調査にもとづき監査手続書、個別計画書を作成する。
- シングルサインオンシステムについて、監査の本調査を実施する。
- 監査証跡をもとにして監査報告書を作成する。
- 監査報告書に被監査組織の捺印をもらう。
- 不適合事項が発見された場合、フォローアップ監査を実施する。
2008年04月21日
2008年春、システム監査技術者試験 小論文解答速報
2008(平成20年度 システム監査技術者試験午後Ⅱ解答速報
※留意事項
この解答速報は、システム監査小論文試験等の
「合格のためのガイドラインを予測するもの」
です。完全性を保障するものではなく、また、
利用される皆さんの合格を保証するものではありません。その点を十分、
ご留意いただいたうえでご利用ください。
新版CD「システムアナリスト小論文突破講座(第5版)」は
2008年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!
新版CD「プロジェクトマネージャ試験合格講座」は
2008年4月14 リリース開始! もうご購入できます!
■合格のためのガイドラインと正答率
合格と足切りのガイドラインは以下の通りであると予想します。
表1.平成18年度AN試験の合格のガイドライン| 試験 | 足切りの得点率 | 足切り割合 | 備考 |
| 午前 | 68%程度 | ①=受験者×50%程度 | IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。 50門中34問以上取れないと、恐らく合格出来ないでしょう。 |
| 午後I | 70%程度 | ②=①×40%程度 | 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。 |
| 午後II | 60%程度 | ③=②×40%程度 | 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。 |
※これは試験センター発表の正式情報ではありません。弊社の推測値です。
■IRTと足きり
午前の足きりライン
午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。
午後Iの足きりライン
午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。
■総評と解答速報
●総評
●午後Ⅱ
2008年04月07日
システム監査技術者試験=どこを暗記すればいいのか=
システム監査の基本的用語について
CD購入者の方からご質問いただきました
Q1 どの程度の暗記が必要なのか
CDを読むと”システム監査試験の小論文は暗記が重要”とありましたので、素直に暗記しようと考えております。
ところが、どこを暗記していいのかわかりません。どの程度の暗記が必要なのでしょうか。
「サンプル論文を読ませていただきましたが、システム管理基準のあちこちを引用されたり、
ISMSなどのいろいろなものを引用されています。すべて覚えるのは不可能ですよね。
ご回答
「Q1 どの程度の暗記が必要なのか」について
基本的にヤマは張りたくないのですが、すべてを覚えたくない方も多いと思います。
なので、ヒントを書いておきます。ただし、ヤマが外れた場合の責任は持ちません。
自分の経験に基づいて語ります。
そのうえで試験対策は次のように考えます。
- CDに、小論文試験テーマを整理した欄があるので、まずそこをご覧下さい。
- 試験に良く出る場所を覚えて、出ない場所を外す。これが試験の鉄則です。
- よく出る分野は、ITガバナンス、IT投資とIT戦略の有効性、監査証跡の確保。
- つまり、システム開発系は出題されにくい。
- ITガバナンス、IT化計画系は出題されやすいから徹底して暗記。
- 過去に出題されたテーマで、システム監査基準やシステム管理基準にない内容を 他のスタンダードから引用、眼を通す。
よって自分が受験したときは、システム管理基準のなかのITガバナンスを集中的に暗記しておき、システム開発は暗記から外し、運用や報告書作成などのところは眼をとおしておきました。
Q2 システム監査基準を重視すべきか、システム管理基準を重視すべきなのか
また、事務的にシステム監査基準に即して監査項目を列挙する。
ここは、「監査基準」ではなく、「管理基準」でいいですか?
ご回答
「Q2 システム監査基準を重視すべきか、システム管理基準を重視すべきなのか」について
結論から言うと、システム管理基準を重視と考えます。
しかし、これについても前述と同様です。すなわち。
- 試験テーマによく出題される部分を集中的に暗記する。
- 新・旧のスタンダードでテーマがかぶる部分があったら、新基準を参照。
- それで不足ならISO27000等を参照。
要はどこを暗記するかによって勝敗がわかれる。
システム監査試験は知らなければかけない論文です。だから、どこを暗記するかが合否の鍵を握る。
そのために試験傾向の把握が重要です。CDに良く出る分野が書かれていますので、
その部分を暗記すれば当たる確率が高いでしょう。
2008年04月03日
改正パートタイム労働法について
改正パートタイム労働法 2008年4月1日施行
改正パートタイム労働法の概要
パートタイム労働法が改正されました。この結果、パート労働者と正社員との差別的
待遇が禁止されます
このため人事制度や教育制度を見直す企業が出てきました。これはパートの待遇改善によって
優秀な人材を囲い込み、企業競争力を高めようとする企業側の戦略的な狙いもあります。
パートタイム労働法改正の概要は以下のとおりです。
- 雇用契約の際に、昇給の有無、退職手当の有無、賞与の有無の明示を義務化
- 待遇の決定に当たり考慮した事項の説明の義務化
- 職務内容が正社員と変わらない場合の差別的待遇の禁止
- 職務内容が正社員と変わらない場合、教育訓練の実施を義務化
- 福利厚生施設などの利用機会提供の配慮の義務化
- 試験制度を設けるなど正社員転換推進の義務化
企業の対応施策
パートタイム労働法が改正に伴いさまざまな工夫をする企業が出てきています。 その概要は以下のとおりです。
地域限定社員制度
転勤や異動を好まない雇用形態の受け皿として「地域限定社員制度」がある。 その特徴は以下のとおりです。
- 転勤を好まない社員の勤務地を限定する
- 正社員待遇とした上で、賞与等を抑制する
- 優秀なパートを地域限定社員として登用する
- これによって社員間の待遇差を埋めつつ、人件費を抑制する
パート社員の教育制度の充実
パート社員へ「資格取得」への道を開く制度です。
- 資格取得支援を実施する
- 資格取得促進によって、資格手当て、役職手当などに格差がつきにくくする
- 正社員への道を開くことによって、パート社員のモチベーションアップを目指す
- スタッフのレベル向上によって顧客へのサービスアップを目指す。そのことによる競争力強化を狙いとする
人事評価の明文化、計数化
パート社員の正社員への登用を促進するための施策として人事評価の明文化、計数化の工夫を行う企業もある。
- パート社員の評価制度の見直しが必要
- 勤務態度や執務能力などの能力評価、人事評価を計数化
- 正社員に登用する水準の明確化
目標が明確になれば、優秀な社員の確保が可能になるという考えだ。
改正パートタイム労働法対応のメリット
パート社員の待遇改善施策を実施することによって企業は次のようなメリットがある。
かつてはアルバイトやパート社員は「雇用の安全弁」として考えられていた。
すなわち、切捨て、使い捨ての対象だった。しかし、
労働力人口が減少する将来を見据えて優秀な社員の囲い込みは企業命題の1つである。
その一例を以下に示す。
- 求人倍率の高い都市部における人手不足感の解消
- 派遣社員利用よりも業務ノウハウを蓄積しやすい
- パートの待遇改善で、人材の囲い込みを実施。企業競争力の確保
短時間雇用管理者の選任について
改正パートタイム労働法(第15条)では、 事業主は、常時10人以上のパートタイム労働者を雇用する事業所ごとに 「短時間雇用管理者」を選任するよう努めなければならないものとされている。
出所・参考文献
以下のWebを参考にさせていただきました。どうも有難うございます。- 日本経済新聞 2008年3月27日 37面 「改正パートタイム労働法 来月施行」
- 厚生労働省「講座会計学」
2008年04月02日
システム監査の網羅性の確保について
システム監査の基本的用語について
掲示板読者の方からご質問いただきました
電子メールのモニタリングをするにあたり、セキュリティ対策の監査について論述しようとしました。
ここでも悩ましいのは、セキュリティ対策の網羅性です。情報セキュリティ管理基準は莫大すぎて、覚え切れません。
「セキュリティ対策として、①物理的セキュリティ、②人的セキュリティの両方について監査を行った。」
これでは内容が薄いですよね。セキュリティ監査を得意分野として持っておこうと思いますが、
得策ではないのでしょうかね?
ITProには、以下の記事がありました。ここでは「旧システム管理基準」の「いるか」を覚えたとあり、
これなら覚えられそうです。この中で、データ管理と運用管理などに絞れば全部覚えられそうです。
ですが、旧基準なので、これでいいのでしょか?
なんか脈絡のない質問になっていましましたが、アドバイスをいただけると幸いです。
ご回答
システム監査において、網羅性は重要な問題です。システム監査人にとって、
看過した要因でセキュリティインシデントが発生した場合、責任問題にも発展しかねないからです。
しかし、すべての監査することは困難なので、実務上、論文上落としどころが必要です。
その場合のスタンスを示したいと思います。
システム監査における網羅性のスタンス
- システム監査人としても、被監査組織から説明を求められた場合、網羅性の根拠を示したい
- そのためには、スタンダードな手法を採用することが無難
- 小論文の場合、採点する側も模範解答が必要で、その模範解答はスタンダードなものになるはず
網羅性にかかわり参照すべきスタンダード
そこで、スタンダードとして考えられる項目を列挙します。
- 旧システム監査基準
- システム管理基準
- ISO27000:ISMS 情報セキュリティマネジメントシステム
- JIS Q15001:個人情報保護マネジメントシステム要求事項
以下、モニタリングにかかわるスタンダードを洗い出してゆきたいと思います。この範囲で まとめてもらえれば合格できると思います。
旧システム監査基準- ハ 運用業務 1 運用管理 (9):オペレーション実施記録は運用ルールに基づいて一定期間保存しているか。
- 同 3 データ管理(2):データのアクセスコントロールモニタリングは有効に機能しているか
- 同 4 出力管理 (6):出力情報の利用状況を記録し、定期的に分析しているか
- 同 5 ソフトウェア管理(2):ソフトウェアへのアクセスコントロール及びモニタリングは有効に機能しているか
- 同 6 ハードウェア管理 (6):ハードウェアの利用状況を記録し、定期的に分析しているか
- 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
- 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
- 同 9 建物・関連設備管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
- III 開発業務 2 システム設計(14):モニタリング機能を考慮して設計すること
- IV 運用業務 2 運用管理(15):情報システムの稼動に関するモニタリング体制を確立すること
- データ管理、出力管理:及びソフトウェア、ハードウェア、ネットワーク、建物・関連設備は旧システム監査基準と同じ
- VI 共通業務4.2 業務遂行(3):要員の交代は誤謬防止、不正防止、及び機密保護等から検討すること
- 同 4.4 健康管理 (2):メンタルヘルスケアを行うこと
- 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
- 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
- 同 9 建物・関連施設管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
「6.1.2 要員審査及びその個別方針」について
- 従業員採用時の信用度のチェック実施
- 情報処理施設や設備にアクセスする業務への配置に当たっての信用度の再確認の実施
- 重要なポストにいる人物の信用度チェックの定期的な実施
- 派遣、請負の信用チェック
- 取り扱いに慎重を要するシステムにアクセスするスタッフに関するセキュリティ管理能力評価
- 業務に影響を与えることにつながるような部下の個人事情の把握
「7.1.2 物理的入退室管理」「7.1.4 セキュリティが保たれた領域での作業」「7.1.5 (データの)受渡し場所の隔離」について
- すべてのスタッフに対する明確なIDの付与
- スタッフ全員による不審な者の立ち入りについての監視
- ビジターに対する管理領域内での行動記録、監視
- スタッフ不在時における施錠と、不在時に侵入がないことの確認
- 立ち入り制限の認可や作業の監視等による、サポートサービス要員等の第三者の立ち入り制限
- 写真、ビデオ、オーディオ等の記録装置の持込禁止等の監視
- 受渡しエリアへの外部からのアクセス制限
- 受渡しエリアの外部から内部への通り抜け環境の排除
- 受渡しエリアから保護領域までの安全確認の実施
「9.7 システムアクセス及びシステム使用状況の監視」「9.7.1 事象の記録」「9.7.2 システムの使用状況の監視」 についてですが、膨大なのでポイントを明示します。
- システムの不正な使用や不適切な運用のチェックや問題が発生したイベントは記録して保管する
- システムアクセスの試みに成功したもの、拒否したものの記録
- 情報処理施設及び設備の使用監視要領の確立
- 監視手順に基づいた情報処理施設及び設備の使用についての監視
- 監視記録のチェック
- ログ情報の保護の確認
- 監視要領のなかでの監視レベルの明確化
- 4.4.3.3 従業員の監督:個人情報の安全管理が図られるように従業者に対して必要かつ適切な監督をしなければならない
- 4.4.3.4 委託先の監督:委託する個人情報の安全管理が図られるように委託先に対して必要かつ適切な監督をしなければならない
- 4.7 点検 4.7.1 運用の確認:事業者は個人情報保護のマネジメントシステムが適切に 運用されていることを事業者の各部門及び階層において定期的に確認しなければならない
上記の内容は具体的でないので、もう少し調べてみると詳細(抜粋)なものがありました。
- 組織的安全管理措置:権限と責任を定め、手順書を整備し、実施状況を確認する
- 人的安全管理措置:雇用契約、非開示契約の締結と教育訓練の実施
- 物理的安全管理措置:入退室管理の実施
- 技術的安全管理措置:アクセスの識別と認証、アクセス制御、アクセス権限管理、アクセスの記録 、不正プログラム対策状況、情報システム動作、情報システムの監視
安全管理の一環としてビデオやオンラインのモニタリングする場合、次の点を留意すること。
- モニタリングの目的の明示、取得する個人情報の利用目的の特定
- モニタリング実施責任者と権限の規定
- モニタリング実施の場合 、社内規定の徹底
- モニタリングが適切に行われているか監督、確認実施
まとめ
モニタリングについて重要な要点を洗い出しましたが、膨大です。 だから、これらをすべて記載しようとすると無理があります。そこで、以下の工夫をしてください。
- 設問アの段階で、どの資源をどの程度保護すべきかを明確にすること
- 設問アの段階で、監査目的を明確にすべき
- 設問アの段階で、監査の観点を明確化すべき
設問アの段階で、監査要点を絞り込んでおかないと膨大な量の設問イ以降の執筆につながるということです。 だから「重要なのは設問ア」であり、ここで「監査対象」「監査目的」を明確化 することが合格の秘訣です。例を示します。
- 監査目的は金融証券取引法に基づく内部統制の確認
- 監査対象は会計、清算プロセス
- 監査の観点は、プロセスの妥当性、データの信頼性、機密性の確保
- 被監査組織は営業、会計、給与、購買部門