« 2009年10月 | メイン | 2010年03月 »
2010年01月28日
システム監査試験、H20年午後II問2の回答スタンスについて
H20年午後II問2について
読者から質問をいただきました。読者からの質問内容
今回、平成20年度の午後Ⅱ問2はまさに業務と直結しているので
初回のサンプルテーマに選択しました。
悩んだのが、範囲です。IT全般統制の計画からフォローに至るまで
システム監査基準の範囲を述べるのか、設問にあるように
開発・保守の変更管理や外部委託、アクセス管理等ある程度絞った
統制に対する具体的に手続きを述べるかです。
私は当初、後者を選びましたが、先生の回答例は、前者です。
あくまで、回答例であるのですが、自分の考えとして、次のように 理解しました。
IT全般統制の監査手続きを求めている、システム監査手続きは計画からフォロー までとしているので、全体像を記述する。
その中で、システムの特徴と照らしまあせて、実践した統制評価の手続きを 記述する。と考えました。
考え方としてはいかがでしょうか?
回答
試験センターの出題趣旨
試験センター発表の出題趣旨として、情報システムの特性を踏まえたうえでの IT全般統制について問うとしています題意
- 問題文のなかで「情報システムの運用特性に応じた全般統制の有効性監査が必要」としている
- 設問イでも「情報システムの運用特徴と関連づけて」と論述範囲を定めている
- よって、情報システムの運用特性と関連付けつつ、監査手続きを述べるべきである
回答
- 題意に従うことは重要である
- しかし、そのほかに重要なことがあり、それはシステム監査基準に準拠していることである
- システム監査基準に準拠していなければ、たとえ実務的に有効な手段であっても減点対象となりうる