« 2010年1月 | メイン | 2010年4月 »

2010年3月17日

システム監査の小論文に対するご質問

システム監査の小論文に対するご質問

CD受講生の方からご質問をいただきました

 ご質問いただいた内容は以下のとおりです。


H21 午後II 問1
  • 設問ア「シンクライアント導入の目的と効果」についてどうとらえるか。
  • 設問イ「シンクライアントリスク」を網羅的に示せば良いのか。それとも「リスクと効果について比較すべきか」
  • アとイは別設問なのですから、相互の関連に神経質にならなくても良いでしょうか?
回答
  • 設問ア「シンクライアント導入の目的」は「通常のPCを放置することのリスク 低減を目的と書けば良い。「効果」はシンクライアント導入によるメリットを書けば良い
  • 設問イでは「シンクライアントリスク」を網羅的に淡々と示せば良い。 「リスクと効果について比較すべきか」は必要がない。
  • 「アとイは別設問だから、相互の関連に神経質にならなくても良いか?」 については問題文に「設問アに関連して」と書いているから関連して書くべき

投稿者 hirano : 15:36

2010年3月 3日

添削受講生からのご質問に回答しました

添削受講生からのご質問

質問内容
 小論文の設問ウでは、ほとんどのケースにおいてシステム監査手続についての記載を求めらる場合が多いように思います。
「システム監査手続」の定義として「本調査における監査証拠を入手するプロセス」と認識しています。
そういうことで、今回の提出論文にも、「監査証拠を入手するプロセス」について記載しました。
やはり、「年間計画~フォローアップ」すべてを含むように書くべきなのでしょうか。それとも、監査手続=「年間計画~フォローアップ」ということになるのでしょうか。
回答
 監査手続の概要については「情報セキュリティ監査基準」=実施基準=、=報告基準=に掲載されていますのでご覧下さい。 概要を整理すると以下のようになります。
  • 監査計画の立案「情報セキュリティ監査基準」=実施基準= 1.監査計画の立案
  • 監査証拠の入手と評価「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.1
  • 監査調書の作成と保存「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.2
  • 監査業務の体制の確保「情報セキュリティ監査基準」=実施基準= 3.監査業務の体制
  • 監査報告書の提出と開示「情報セキュリティ監査基準」=報告基準= 1.報告書の提出と開示
  • 監査報告に基づく改善指導(フォローアップ)「情報セキュリティ監査基準」=報告基準= 5.監査報告に基づく改善指導
 ただ、これだけでは足りないので。午前の問題の出題テーマや内容をヒントとして加筆することになります。具体的には 以下の内容を加えると良いと考えております。
  • 監査計画の立案年度監査計画、経営者レビュー、予備調査、個別監査計画
  • 監査証拠の入手と評価本調査(インタビュー、監査ツールの使用、アンケート、レビュー)
  • 監査調書の作成と保存
  • 監査業務の体制の確保監査報告書の作成、上位監査者の評価
  • 監査報告書の提出と開示証拠の提示、改善勧告もしくは監査結果の開示
  • 監査報告に基づく改善指導(フォローアップ)是正、予防、マネジメントレビューの監視、フォローアップ監査

投稿者 hirano : 12:19