« 2010年01月 | メイン | 2010年04月 »
2010年03月17日
システム監査の小論文に対するご質問
システム監査の小論文に対するご質問
CD受講生の方からご質問をいただきました
ご質問いただいた内容は以下のとおりです。
H21 午後II 問1
- 設問ア「シンクライアント導入の目的と効果」についてどうとらえるか。
- 設問イ「シンクライアントリスク」を網羅的に示せば良いのか。それとも「リスクと効果について比較すべきか」
- アとイは別設問なのですから、相互の関連に神経質にならなくても良いでしょうか?
回答
- 設問ア「シンクライアント導入の目的」は「通常のPCを放置することのリスク 低減を目的と書けば良い。「効果」はシンクライアント導入によるメリットを書けば良い
- 設問イでは「シンクライアントリスク」を網羅的に淡々と示せば良い。 「リスクと効果について比較すべきか」は必要がない。
- 「アとイは別設問だから、相互の関連に神経質にならなくても良いか?」 については問題文に「設問アに関連して」と書いているから関連して書くべき
2010年03月03日
添削受講生からのご質問に回答しました
添削受講生からのご質問
質問内容
小論文の設問ウでは、ほとんどのケースにおいてシステム監査手続についての記載を求めらる場合が多いように思います。「システム監査手続」の定義として「本調査における監査証拠を入手するプロセス」と認識しています。
そういうことで、今回の提出論文にも、「監査証拠を入手するプロセス」について記載しました。
やはり、「年間計画~フォローアップ」すべてを含むように書くべきなのでしょうか。それとも、監査手続=「年間計画~フォローアップ」ということになるのでしょうか。
回答
監査手続の概要については「情報セキュリティ監査基準」=実施基準=、=報告基準=に掲載されていますのでご覧下さい。 概要を整理すると以下のようになります。- 監査計画の立案「情報セキュリティ監査基準」=実施基準= 1.監査計画の立案
- 監査証拠の入手と評価「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.1
- 監査調書の作成と保存「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.2
- 監査業務の体制の確保「情報セキュリティ監査基準」=実施基準= 3.監査業務の体制
- 監査報告書の提出と開示「情報セキュリティ監査基準」=報告基準= 1.報告書の提出と開示
- 監査報告に基づく改善指導(フォローアップ)「情報セキュリティ監査基準」=報告基準= 5.監査報告に基づく改善指導
- 監査計画の立案年度監査計画、経営者レビュー、予備調査、個別監査計画
- 監査証拠の入手と評価本調査(インタビュー、監査ツールの使用、アンケート、レビュー)
- 監査調書の作成と保存
- 監査業務の体制の確保監査報告書の作成、上位監査者の評価
- 監査報告書の提出と開示証拠の提示、改善勧告もしくは監査結果の開示
- 監査報告に基づく改善指導(フォローアップ)是正、予防、マネジメントレビューの監視、フォローアップ監査