« 平成21年度、2009年度 システム監査技術者試験 小論文 問2 解答速報 | メイン | 平成21年(2009年度)プロジェクトマネージャ試験 小論文、解答速報 »

2009年4月19日

平成21年度、2009年度 システム監査技術者試験 小論文 問1 解答速報

平成21年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 シンクライアント検討と期待効果
1.1 シンクライアント検討している現場

 私が勤務するC社は、機械部品製造販売業である。C社では自動車部品を生産する設備を 開発し、かつ生産、販売しているが業績好調であるため、近年新卒採用が増えている。
 C社の経営者は、学卒・高卒の区分で求人票を地元高校、首都圏の大学に送付し、また、 インターネットでエントリサイトを構築し求人活動する学生を募集している。おおよその 求人活動は①求人募集活動計画、②求人票送付、Web公開、③応募票をファイリングして、 総務人事部長に提出する。④社内規定に従って応募者は書類選考される。⑤応募者に合否と 次回面接やセミナーの案内を連絡する。⑥最終合格者のファイルを作成し、メディカルチェック、 内定承諾書等の文書とともにファイリングする。
 取り扱う文書も、①履歴書、②志望動機書、③推薦書、④健康診断書、⑥入社試験記録、 ⑦資格試験合格証明書、⑧卒業証明書、成績証明書、⑨交通費清算票、⑩面接記録など多岐に わたると共に媒体も電子媒体や紙媒体などがある。 

1.2 シンクライアントの期待効果について

 C社では社員データベースを持っていて社員情報を一元管理している。 サーバはセキュリティ管理基準を持ち適切に管理するサーバ企業にホスティングして、 VPN回線を通じてアクセスしている。
 また、サーバにアクセスするPCはパスワードとIDによるアクセス管理、PCルームは ファシリティ管理、入退室管理が実施されている。しかし、以下のようなリスクが危惧されている。

  1. PC自体に作業ファイルの形式で個人情報が残ることがある
  2. PC盗難やUSBメモリなどの媒体を通して情報漏えいが憂慮される

 C社では上記のような人事情報の漏洩、紛失リスクを軽減するためにシンクライアントの 導入を検討している。その期待効果は以下の通りである。

  1. PCに残存した社員情報を複写するような情報漏洩を予防したい
  2. PCの盗難があっても、社員情報漏洩が予防できるようにしたい
  3. PCで入力中の社員情報や求人情報がPCの停電や故障で喪失しないようにしたい
2 シンクライアント導入によるリスクついて
 シンクライアント導入によるリスクは情報システム的リスクと 業務的リスクの2つがあると考えられる。
2.1 情報システム的リスク

 C社ではシンクライアントに関する情報システムリスクを次のように認識している。

  1. 外部メモリに接続されるとシンクライアントでも情報は漏洩する
  2. シンクライアントではアプリケーションの実行効率が低下することがある
  3. 起動時にデータやプログラムをダウンロードするのに時間がかかる
  4. サーバ負荷、回線の負荷が発生しやすい
  5. 地図情報などのマップとのリンクを行うと計算量が多くなり処理効率が低下する
2.2 業務的リスク

 シンクライアントには次のような業務リスクが危惧されている。

  1. 操作法の変更などシンクライアントの導入に反対する社員を説得する必要がある
  2. 業務手続の変更が必要になる
  3. 一斉移行すると使用できないクライアントが発生し業務が停滞する場合がある
  4. 一時的にネットワークに接続できないPCが発生することがある
3 リスク対策と監査手続き
3.1 リスク対策

 本監査では、次のようなリスク対策の実施完了を監査する必要がある。 ①外部メモリの接続禁止などの対策が講じられているか。
②シンクライアントの集中接続、起動時のアプリケーション、ネットワークテストが完了しているか
③計算量の多い業務やファイル、プログラムの特定とその利用頻度が十分調査されているか
④担当社員に対してシンクライアント導入の目的と必要性を十分教育周知徹底されているか。
⑤シンクライアントの以降計画が立案されていて、業務繁忙時を避ける計画となっているか。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査業務の実態にかかわる資料をレビュー、 その特性を理解する。また、シンクライアント利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シンクライアントのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2009年4月19日 22:18