2010年4月20日

2010年システム監査技術者試験小論文 概況

2010年システム監査技術者試験 午後II 小論文の総評

■総評
  1. 非常に意欲的で、システム監査技術者としての実力を問うようなテーマが出題された
  2. 問2の内部統制報告と問3の事業継続計画はもしかすると、予想が当たった方もいると思う。
  3. 全3問のなかで問2が一番難しいなと思った。

全体的に良く練られていて、相対的に難しい。小論文試験では、その意図を 解答者が読み取って、網羅的に小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★★★☆
  • 問2 ★★★★★
  • 問3 ★★★★☆

 上記の難易度を決めた理由は次の通りである。

  • 問1:システム管理基準にシステムの安全性の確認事項が掲載されている。自分勝手に論文を書くと合格できない。
  • 問2:文書の共有化とアクセス管理のトレードオフの問題。両者のバランスの取り方が難しい
  • 問3:システム管理基準の該当箇所を今回のテーマである「IT運用コストの削減」に置き換えれば 簡単に解答できる
■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題の必須条件 合格のための工夫
問1 システム管理基準が理解できているか システム開発工程に遡っての監査がかけるか
問2 アクセス管理と文書共有化の妥当な共存点をみつけられるか 電子文書の共有化の有効性と監査証跡とを合理的に結び付けられるか
問3 システム管理基準が理解できているか コスト削減の実現性とコスト削減のリスクの両論を明確に書き抜くこと
■総評と解答速報
総評
●午後Ⅱ
■2010システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座



投稿者 kato : 17:58

平成22年度(2010年)システム監査技術者試験 小論文 解答速報

2010(平成22年度) システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「ITストラテジスト小論文突破講座(ver2.0)」
2010年4月16 リリース!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは正答率60%であると予想します。

総評と解答速報
総評
●午後Ⅱ
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 17:07

2010年システム監査技術者試験 午後II 問1 解答例

平成22年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1.1 組み込みシステムの概要

  私が内部監査を実施したシステムはA社の自動倉庫システムの開発システムである。特に自走ロボットのブロック間移動制御、フォークリフトアームの動作制御システムである。このロボットは自動倉庫内を走行し、指定された貨物を指定された場所に搬送する機能を有している。必要に応じてスタッフのいない深夜にも稼動する。また、スタッフのいる昼間も稼動する。

1.2 設計に関して配慮が必要なこと

自走ロボットの組み込みシステム設計に当たっては、概要設計書が作成され、①自走ロボットの機能定義、②自走ロボットの安全制御機能定義、③①と②の性能定義が記載された。
そのうえで、①や③もさることながら②の安全制御機能が最重要課題となり、制御異常を検知した場合、最悪の場合システムを全面停止にする必要がある。

1.3 不具合が業務や社会に及ぼす影響

 自走ロボットの誤動作が業務や社会に及ぼす影響は以下のとおりである。

1.3.1 基本的機能、性能要件を満たさないケース
  1. 物流業務が遅滞して、荷主、消費者に迷惑がかかる
  2. (1)により荷主、販売主に経済的損害が発生する
  3. (2)により、自動倉庫会社の信頼が損なわれる
1.3.2 安全性を満たさないケース

 フォークリフト異常、走行異常による影響は次のとおりである。。

  1. )自走ロボットの暴走で自動倉庫の施設を破壊する
  2. (1)により、倉庫内の商品を破壊する、倉庫内作業員の身体生命に脅威を与える。
  3. (1)により、企業の設備投資計画、財務状態の悪化
  4. (2)による労働災害の発生とA社の使用低下
2.組み込みシステムのシステムテスト内容
2.1 システムテストに当たって準拠する文書
 以下の文書に準拠してシステムテストを実施する。
  1. 顧客からいただいたRFP(Request For Proposal)
  2. 顧客企業との開発打合せ記録
  3. システム要件定義書、概要設計
  4. テスト計画書、テストデータ、テスト結果報告書
2.2 監査の要点

 以下の観点で監査を実施する。

  1. システム開発計画書が顧客によって承認されているか
  2. システム開発計画にあたって、リスク分析を網羅的に実施しているか
  3. 組み込みシステム異常時の事業継続計画が計画化されているか、システム開発にその要件が組み込まれているか
  4. フォークリフトの安全性についてコンプライアンスを満たしているか。
  5. システム開発に要する資材の調達が調達基準に適合して適切に実施されているか
  6. システム開発の各段階において、担当責任者がシステムの安全性基準への適合性を検証しているか。それをユーザが承認しているか
  7. 開発にかかわる以下の要点への準拠を確認すること
    • 情報システムの性能は要件定義を満たしていること
    • 組み込みシステムの保守点検が容易にするために保守性を高めること
    • 他の自動倉庫システムとの整合性を確保すること
    • 障害対策を設計段階で講じていること
    • 誤謬対策を講じていること
    • モニタリング機能を備えていること。
2.3 システムテスト
 上記の観点でシステムテストの実施計画を述べる。
  • (1) システムテスト計画書は開発担当者とテスト担当者が承認していること
  • (2) システムテストに当たっては、システムの安全性の要求事項を網羅的にテストケース設定しておくこと
  • (3) テストデータ作成はテスト計画に基づいて行われること
  • (4) システムテストデータはユーザ、開発、運用、保守責任者すべてが承認すること
  • (5) 上記の記録をすべて保存すること
3 監査手続き

 システムテストの適切性を確かめるために、組織的な協力が不可欠である
(1)開発関係者のヒアリング
 ユーザ、依頼者である開発プロジェクトマネージャ、運用担当者、保守責任者のヒアリングを実施して、監査要件を把握する。
(2)予備調査
 ①必要とする、安全性にかかわるコンプライアンス要件の調査
 ②「要件定義書」レビューによるシステム概要やシステム構成の把握
 ③運用担当者、保守責任者アンケートによる、安全性確保の実務の把握
 ④「プロジェクト計画書」レビューによる、開発組織と工程管理の概要の把握
 ⑤「単体、結合テスト報告書」レビューによる品質、性能の状態の把握。
(3)個別計画
 被監査組織、調査する文書。監査証跡、アンケート、チェックリストおよび監査スケジュールの準備を実施して、被監査組織とスケジュール調整を実施する。
(4)監査の実施
 被監査組織を訪問し、チェックリストに基づいて、①インタビュー、②テスト立会い、③テストデータの評価、④テスト立会い者の意見、結論の記録、⑤そこで発生した不具合、その是正予防計画について監査調書としてとりまとめる。
(5)監査報告書の取りまとめ
 監査目的にあわせて①被監査組織の開発活動の妥当性、②ユーザが求める安全性への準拠基準への適合性、③潜在するリスクへの考慮事項、④事故発生時の事業継続計画への配慮事項について監査報告書にまとめる。  
監査報告書を上長に提出し、意見を聞き、修正を加える。
(6)監査結果報告会
 被監査組織、利害関係者を含めて監査結果報告会を実施する。そのなかで監査根拠を提示しつつ監査結果を説明して、助言型監査報告を行う。
 報告書の中で修正事項がある場合は相互に検討し報告書を修正する。
(7)是正、予防計画の監視

 被監査組織の不備の対処、是正予防に状況を監視する。
(8)フォローアップ監査
 (7)で安全性が確保されたかについてフォローアップ監査を実施する。
(9)計画の見直し
 A社の開発計画のすすめかたに問題があった場合、開発計画の見直しを助言する。
以上

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 16:47

平成22年度、システム監査技術者試験 午後II、問3

平成22年 システム監査技術者試験 午後Ⅱ 問3 解答例 

1.ITコスト削減とその理由
1.1 ITコスト削減の概要

 私が内部監査を実施したシステムはC社のWeb販売システムの運用コストである。C社では農作物系の加工品 をインターネットで販売している。

1.1.1 現行システム

 現在稼動しているWebシステムは2つある。1つは大手ショッピングモールであり、いまひとつはWeb専門企業に構築、運営を任せている独自ドメインWebサイトである。この独自ドメインWebサイトは運営業者サイトにおかれていて、業者の提供する機能を利用している。

1.1.2 削減取り組み内容と目的

 経営層によるWebにかかわるITコスト削減の方針は次のとおりである。

  1. 大手ショッピングサイトを、5年をめどに撤退する。その結果、システム利用料を0円にする
  2. 独自ドメインサイトの運営を自主運営として、別サーバに移転する。この結果、毎月業者に支払っているWebサイト運営費を0円とする。

 この結果、C社のネットビジネス事業の営業利益を売上げに対して7%確保する。

1.2 ITコスト削減の理由
大手ショッピングモールでは、売上課金やメルマガ課金などが負担になっており、現在では月額1,000万円近くシステム使用量の名目で支払っている。また、独自ドメインサイトでは、月額10万円程度の運用コストがかかっていて、Webショップの費用対効果を低下させている。 また、大手ショッピングモールに毎月支払う1000万円の金額が事業運転資金の資金繰りを悪化させている。この問題を放置すると、黒字倒産になる可能性もある。このほか前年度の税理士法人監査でも独自ドメインサイトの運営コストの高さが指摘事項でもあった。
2.監査項目
 監査上、重要な点は情報システムコスト削減が経営方針や戦略的目標を実現するために貢献できるかがポイントである。
2.1 コスト削減計画についての監査項目

 C社ではシンクライアントに関する情報システムリスクを次のように認識している。

  1. ITコスト削減計画がITガバナンスに基づいて行われているか
  2. ITコスト削減計画が情報化投資構想と矛盾しないこと
  3. ITコスト削減後の情報システムが組織の情報システムのあるべき姿と矛盾しないこと
  4. ITコスト削減計画が情報セキュリティ基本方針と合致すること。
  5. 上記のITコスト削減案を含めた全体計画が組織の長の承認を得ているとともに利害関係者の合意を得ていること。
  6. ITコスト削減案の後の経営資源を明確にすること
  7. ITコスト削減案の投資効果、リスクが明確になっていること
  8. ITコスト削減後の情報システムの品質が明確になっていること
  9. ITコスト削減の優先順にが明確になっていること
  10. ITコスト削減にあたっては外部資源の活用を考慮していること
  11. 情報システム化委員会でITコスト削減案を策定し、モニタリングし、検討すること
  12. 情報システム化委員会でITコスト削減案の技術採用方針を明確にすること
  13. ITコスト削減について、影響、効果、実現等の観点から選択肢を検討すること
  14. ITコスト削減について投資対効果の算出方法を明確にしておくこと
2.2ITコスト削減によるリスク監査

 以下の観点で監査を実施する。

  1. 情報資産の管理方針、体制を明確にすること
  2. 業務手続の変更が必要になる
  3. ITコスト削減にあたってはユーザ、開発、運用、保守責任者が承認するこ
  4. IT資源の調達にあたっては組織のルールにしたがって行われること
  5. ITコスト削減に当たってユーザの利便性が確保されること
  6. ITコスト削減はユーザ要求を満たすこと
  7. ITコスト削減によって障害対策機能が劣化しないこと
  8. 誤謬、不正防止、機密保護対策が設計されているこ
  9. モニタリング機能を考慮して設計しておくこ
3 監査で発見された問題点と改善案
3.1 監査で発見された問題点

(1)ユーザの求める機能の確保にコストが必要であること
 SSLやPOP Before SMTPなどのセキュリティ機能、ショッピングカート機能、認証機能、代金決済機能などASP(Application Service Provider)を利用するとコスト増に繋がる要因が発見された。

(2)ASPサイトのセキュリティ強度について
 専門家の意見を求めたところ「ショッピングカートが外部の不正なアクセス者によって数ヶ月ダウンしたことがある」「そのような場合、代替案の検討も必要ではないか」とん指摘を受けた。ASPのセキュリティ強度の 検証が難しい

(3)ユーザ部門の不安
 大手Webサイトを離脱すると顧客リストを返却しなくてはならず、顧客離れが発生するのではないかという 不安がweb運営担当者から提示された。

3.2 改善案

 以上の問題についての改善案を監査報告書の中で助言した。

(2)ASPのセキュリティ強度
 外部ASPを利用したコストモデルと現行のコストモデルの対比表を項目別に作成し、経営者や利害関係者に説明した。  比較も個別項目別比較と全体比較をサービス別に行いつつ、営業利益7%達成可能か検討した。

(1)ユーザの求める機能の確保にコスト
 第三者組織に対して内部監査はできない。このため、ASP採用は代替案を含めて3案提示して、以下の項目について検討した。①ユーザ数、②おもな利用者の利用実績、③業界の評価、④過去の大きなセキュリティ事故  この報告データを利害関係者に提示した。

(3)ユーザの不安
  集客の代替案を販売促進計画書としてとりまとめ、検索エンジン対策等の対策を含めて提示した。
以上

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 16:25

2010年3月17日

システム監査の小論文に対するご質問

システム監査の小論文に対するご質問

CD受講生の方からご質問をいただきました

 ご質問いただいた内容は以下のとおりです。


H21 午後II 問1
  • 設問ア「シンクライアント導入の目的と効果」についてどうとらえるか。
  • 設問イ「シンクライアントリスク」を網羅的に示せば良いのか。それとも「リスクと効果について比較すべきか」
  • アとイは別設問なのですから、相互の関連に神経質にならなくても良いでしょうか?
回答
  • 設問ア「シンクライアント導入の目的」は「通常のPCを放置することのリスク 低減を目的と書けば良い。「効果」はシンクライアント導入によるメリットを書けば良い
  • 設問イでは「シンクライアントリスク」を網羅的に淡々と示せば良い。 「リスクと効果について比較すべきか」は必要がない。
  • 「アとイは別設問だから、相互の関連に神経質にならなくても良いか?」 については問題文に「設問アに関連して」と書いているから関連して書くべき



投稿者 hirano : 15:36

2010年3月 3日

添削受講生からのご質問に回答しました

添削受講生からのご質問

質問内容
 小論文の設問ウでは、ほとんどのケースにおいてシステム監査手続についての記載を求めらる場合が多いように思います。
「システム監査手続」の定義として「本調査における監査証拠を入手するプロセス」と認識しています。
そういうことで、今回の提出論文にも、「監査証拠を入手するプロセス」について記載しました。
やはり、「年間計画~フォローアップ」すべてを含むように書くべきなのでしょうか。それとも、監査手続=「年間計画~フォローアップ」ということになるのでしょうか。
回答
 監査手続の概要については「情報セキュリティ監査基準」=実施基準=、=報告基準=に掲載されていますのでご覧下さい。 概要を整理すると以下のようになります。
  • 監査計画の立案「情報セキュリティ監査基準」=実施基準= 1.監査計画の立案
  • 監査証拠の入手と評価「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.1
  • 監査調書の作成と保存「情報セキュリティ監査基準」=実施基準= 2.監査の実施 2.2
  • 監査業務の体制の確保「情報セキュリティ監査基準」=実施基準= 3.監査業務の体制
  • 監査報告書の提出と開示「情報セキュリティ監査基準」=報告基準= 1.報告書の提出と開示
  • 監査報告に基づく改善指導(フォローアップ)「情報セキュリティ監査基準」=報告基準= 5.監査報告に基づく改善指導
 ただ、これだけでは足りないので。午前の問題の出題テーマや内容をヒントとして加筆することになります。具体的には 以下の内容を加えると良いと考えております。
  • 監査計画の立案年度監査計画、経営者レビュー、予備調査、個別監査計画
  • 監査証拠の入手と評価本調査(インタビュー、監査ツールの使用、アンケート、レビュー)
  • 監査調書の作成と保存
  • 監査業務の体制の確保監査報告書の作成、上位監査者の評価
  • 監査報告書の提出と開示証拠の提示、改善勧告もしくは監査結果の開示
  • 監査報告に基づく改善指導(フォローアップ)是正、予防、マネジメントレビューの監視、フォローアップ監査



投稿者 hirano : 12:19

2010年1月28日

システム監査試験、H20年午後II問2の回答スタンスについて

H20年午後II問2について

 読者から質問をいただきました。
読者からの質問内容

今回、平成20年度の午後Ⅱ問2はまさに業務と直結しているので
初回のサンプルテーマに選択しました。

悩んだのが、範囲です。IT全般統制の計画からフォローに至るまで
システム監査基準の範囲を述べるのか、設問にあるように
開発・保守の変更管理や外部委託、アクセス管理等ある程度絞った
統制に対する具体的に手続きを述べるかです。

私は当初、後者を選びましたが、先生の回答例は、前者です。

あくまで、回答例であるのですが、自分の考えとして、次のように 理解しました。
IT全般統制の監査手続きを求めている、システム監査手続きは計画からフォロー までとしているので、全体像を記述する。
その中で、システムの特徴と照らしまあせて、実践した統制評価の手続きを 記述する。と考えました。

考え方としてはいかがでしょうか?
回答
試験センターの出題趣旨
 試験センター発表の出題趣旨として、情報システムの特性を踏まえたうえでの IT全般統制について問うとしています
題意
  • 問題文のなかで「情報システムの運用特性に応じた全般統制の有効性監査が必要」としている
  • 設問イでも「情報システムの運用特徴と関連づけて」と論述範囲を定めている
  • よって、情報システムの運用特性と関連付けつつ、監査手続きを述べるべきである
回答
  • 題意に従うことは重要である
  • しかし、そのほかに重要なことがあり、それはシステム監査基準に準拠していることである
  • システム監査基準に準拠していなければ、たとえ実務的に有効な手段であっても減点対象となりうる
 そこで、ご指摘の「実践した統制評価の手続きを 記述する」は設問ウでのべる。とよろしいと思います。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 22:06

2009年5月 7日

システム監査受験参考書選択について

システム監査受験時の知識不足の対処

読者から質問をいただきました
<質問事項>

 システム監査の午後2試験への参考となる、雑誌や書籍(具体例が記載されているような)をご紹介いただきたく お願い申し上げます。 ※例)日経IT○○ など

先月の試験にて、午後2の試験を受験した際に自身のシステム監査に関する知識不足を痛感しました。その際に、テキストで得られる知識」だけでなく、 「日常的に雑誌や書籍で知識を身につける」必要があると考えました。


[ご回答]
  1. 日経誌を読んでも監査は合格できない(※下、理由参照)
  2. 重要なこと→監査とはなんたるかを知ること(特に体で)
  3. 自分が有効だったと思う対策:①ISO9000の審査員補を取得した(監査の演習がある)  ②システム監査基準、システム管理を暗記すること③開発、提案という発想を捨てること ④中小企業診断士の知識を使い、知恵、ノウハウを捨てること
  4. 監査で重要なこと:①どこに着眼するか  look up、②その根拠を文書で保管すること ③どのような方法で調査するか look for、④知識も重要ですがそれ以上に監査に関する認識が重要
  5. 有効な雑誌→よって、残念ながらありません!:雑誌購読で受かろうとすると失敗します。
  6. あえていうと、「情報システム監査実践マニュアル」日本システム監査人協会編 工業部調査会
jy>「情報システム監査実践マニュアル」 「情報システム監査実践マニュアル」日本システム監査人協会編 工業部調査
ISBN4-7693-5118-6
監査の実務、手順、チェックリスト、手法など詳細に書かれていて、よい本である。 しかし、監査の実態を理解するにはよい本であるが、この本が自分にとって直接 合格要因になったかは不明である。
補足

 自分は5回受けて落ち続けて、やっと6回目に合格することができました。

※理由は(自分の体験から)
  1. 監査試験だけ、非常に特殊で日経誌でえられる知識ではAN(ITストラテジスト、プロマネ)のように合格できない
  2. セキュリティの試験に受かった後でも監査は落ちたIT知識を身につけても全然だめ
  3. つまり監査というのは ①監査手続きを知らないとだめ ②会計的な知識がないとだめ(少なくても簿記の用語とか法人税等の知識) ③日経誌に代わる、雑誌としては税理士試験用の雑誌とかになり、現実のSEとしては購読は無理よって、日経誌に変わる雑誌はないと申し上げる次第です
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 10:15

2009年4月19日

平成21年度、2009年度 システム監査技術者試験 小論文 問1 解答速報

平成21年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 シンクライアント検討と期待効果
1.1 シンクライアント検討している現場

 私が勤務するC社は、機械部品製造販売業である。C社では自動車部品を生産する設備を 開発し、かつ生産、販売しているが業績好調であるため、近年新卒採用が増えている。
 C社の経営者は、学卒・高卒の区分で求人票を地元高校、首都圏の大学に送付し、また、 インターネットでエントリサイトを構築し求人活動する学生を募集している。おおよその 求人活動は①求人募集活動計画、②求人票送付、Web公開、③応募票をファイリングして、 総務人事部長に提出する。④社内規定に従って応募者は書類選考される。⑤応募者に合否と 次回面接やセミナーの案内を連絡する。⑥最終合格者のファイルを作成し、メディカルチェック、 内定承諾書等の文書とともにファイリングする。
 取り扱う文書も、①履歴書、②志望動機書、③推薦書、④健康診断書、⑥入社試験記録、 ⑦資格試験合格証明書、⑧卒業証明書、成績証明書、⑨交通費清算票、⑩面接記録など多岐に わたると共に媒体も電子媒体や紙媒体などがある。 

1.2 シンクライアントの期待効果について

 C社では社員データベースを持っていて社員情報を一元管理している。 サーバはセキュリティ管理基準を持ち適切に管理するサーバ企業にホスティングして、 VPN回線を通じてアクセスしている。
 また、サーバにアクセスするPCはパスワードとIDによるアクセス管理、PCルームは ファシリティ管理、入退室管理が実施されている。しかし、以下のようなリスクが危惧されている。

  1. PC自体に作業ファイルの形式で個人情報が残ることがある
  2. PC盗難やUSBメモリなどの媒体を通して情報漏えいが憂慮される

 C社では上記のような人事情報の漏洩、紛失リスクを軽減するためにシンクライアントの 導入を検討している。その期待効果は以下の通りである。

  1. PCに残存した社員情報を複写するような情報漏洩を予防したい
  2. PCの盗難があっても、社員情報漏洩が予防できるようにしたい
  3. PCで入力中の社員情報や求人情報がPCの停電や故障で喪失しないようにしたい
2 シンクライアント導入によるリスクついて
 シンクライアント導入によるリスクは情報システム的リスクと 業務的リスクの2つがあると考えられる。
2.1 情報システム的リスク

 C社ではシンクライアントに関する情報システムリスクを次のように認識している。

  1. 外部メモリに接続されるとシンクライアントでも情報は漏洩する
  2. シンクライアントではアプリケーションの実行効率が低下することがある
  3. 起動時にデータやプログラムをダウンロードするのに時間がかかる
  4. サーバ負荷、回線の負荷が発生しやすい
  5. 地図情報などのマップとのリンクを行うと計算量が多くなり処理効率が低下する
2.2 業務的リスク

 シンクライアントには次のような業務リスクが危惧されている。

  1. 操作法の変更などシンクライアントの導入に反対する社員を説得する必要がある
  2. 業務手続の変更が必要になる
  3. 一斉移行すると使用できないクライアントが発生し業務が停滞する場合がある
  4. 一時的にネットワークに接続できないPCが発生することがある
3 リスク対策と監査手続き
3.1 リスク対策

 本監査では、次のようなリスク対策の実施完了を監査する必要がある。 ①外部メモリの接続禁止などの対策が講じられているか。
②シンクライアントの集中接続、起動時のアプリケーション、ネットワークテストが完了しているか
③計算量の多い業務やファイル、プログラムの特定とその利用頻度が十分調査されているか
④担当社員に対してシンクライアント導入の目的と必要性を十分教育周知徹底されているか。
⑤シンクライアントの以降計画が立案されていて、業務繁忙時を避ける計画となっているか。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査業務の実態にかかわる資料をレビュー、 その特性を理解する。また、シンクライアント利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シンクライアントのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 22:18

平成21年度、2009年度 システム監査技術者試験 小論文 問2 解答速報

1 システム監査の目的とシステム環境
1.1 システム監査の目的

 私が勤務するA社は、機械部品製造販売業である。A社では自動車部品を生産する設備を 開発し、かつ生産、販売している。
 A社の経営者の経営戦略は以下の通りである。①今までのような大手自動車製造会社の 下請けの脱却、②大手頼みの受注ではなく、自社での独自受注ルートの確立。 。
 このため、Webを立ち上げ、Webをとおして自社の強みや製品の品質の高さ、技術力を アピールすることによってWeb受注を行うことを企画した。このため、営業部と情報システム部は 共同でレンタルサーバを借りてそのレンタルWebサーバ上にA社Webを立ち上げる体制を 確立した。
 Webサーバからの引き合い、問い合わせ、受注は当初の予定の2倍に推移し、年間5,000万円 以上の受注を得ている。A社はWebサーバを営業支援システムと位置づけ、ITガバナンスの 観点から、その有効性を見直し、さらなる受注を得ようとしている。
 従って、来年度の目標売上高は1億円。粗利益額は7,000万円を予定している。

1.2 情報システムの環境について

 A社では情報資産のコスト削減を行うためにWebサーバをレンタルサーバ会社Bに アウトソーシングしている。その概要と構成は次の通りである

  1. レンタルサーバはB社内に存在する
  2. レンタルサーバの構成はメールサーバとWebサーバ及びDNSサーバである。
  3. DNSサーバは別契約のサイトにセカンダリサーバが存在する
  4. Webサーバからの受注はB社提供のSSLによって保護されている
  5. 第三者中継予防対策としてメールサーバにはPOP Before SMTP処置が施されている。
  6. メール受信の盗聴防止対策としてAPOPが設定されている

 A社ではWebサーバの有効性を確認するためにアクセスログ監視を毎日、定時に行っている。 その概要は次の通りである。

  1. CGI機能を用いてCGI情報を収集する
  2. アクセスログは1ヶ月単位でサーバから自動削除されるのでログ情報を毎月末バックアップする
  3. 最初されたアクセスログを解析ソフトを使って分析する
  4. アクセスログにかかわる特記情報は経営者に報告されると共に社内イントラネットで 営業部員に共有される
2 ログの活用法と留意点について
2.1 ログの活用法

 A社では、アクセスログをWebシステム投資対効果のITガバナンスの指標として認識している。

 その活用法は次の通りである
  1. 月次目標受注額とWebサーバアクセス数の対比。
  2. 受注にいたった顧客のアクセス形跡のトレース。
  3. 受注にいたった顧客の検索キーワードの分析。
  4. 受注前に閲覧したWebコンテンツの補足。
  5. 見込み顧客のドメインをWhoisで予測して営業活動への活用。
2.2 ログ活用の留意点

 アクセスログには次のようなリスクが危惧されている。

  1. Webサーバの障害によるログの参照不可、ログの喪失
  2. アクセスログの世代管理。構成管理ミスによる誤謬、ログの消去
  3. 期限切れアクセスログの分析用業務サーバからの削除の失敗、消し忘れ
  4. アクセスログ分析結果の営業部員PCからの漏洩
  5. 営業部員の誤操作によるアクセスログの誤廃棄
  6. アクセスログから得られた個人情報の営業部PCからの漏洩
  7. アクセスログから得られた営業機密情報の営業部PCからの漏洩
3 ログ活用の監査手続き
3.1 ログとITガバナンス

 ITガバナンスへのアクセスログは次のようなメリットを持つ ①Webサーバの構築運用コスト、受注高とアクセスログを監視することによって IT投資の有効性を計数的に監視することができる。
②アクセスログの活用によってWebサーバの稼働状況を可視的に監視することが できる。
③IT戦略をコンテンツ化した場合、そのコンテンツの有効性を計数的に分析し、 問題がある場合は是正することができる。
④計数化、可視化しているため、IT予算組みが容易に可能である。 ⑤株主などの投資家、利害関係者からに対するIT投資有効性の係数開示が可能。

3.2 監査手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、被監査情報システムの実態にかかわる資料をレビュー、 その特性を理解する。また、アクセスログ利用のリスクも検討する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. アクセスログのリスク、有効性についての監査、本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 20:44

平成21年(2009年度)システム監査技術者試験小論文解答速報

2009(平成21年度) システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「ITストラテジスト小論文突破講座(初版)」
2008年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは正答率60%であると予想します。

■総評と解答速報
総評
●午後Ⅱ
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 19:34

2009年2月23日

システム監査技術者試験、小論文の勉強j法について

システム監査技術者試験、小論文の章番号について

読者の方から質問をいただきました

 今年、はじめてシステム監査試験を受けることにしました。
第1種情報処理に合格して以降、あまり資格勉強をしていなかったのですが、 ある日、本屋さんでシステム監査試験の問題集を見て、「今年の春に受けて一発で絶対に合格」しようと決めました。
 午後Iも基本は過去問を解いていますが、はじめは全然解けなかったのが最近は繰り返すうちに解けるようになってきました。
 午後IIの対策も初めていますが、論文を書こうとすると3時間はかかってしまいます。 これを二時間に抑えたいのですが、たくさん書く習慣をつけないとだめでしょうか?
よろしくお願いいたします。

ご回答

結論

 システム監査技術者試験では、「2,800字以上書くと落ちやすくなる」というのが講師歴13年の 私の結論です。だから、むきになって字数を不必要に書かないようにしてください。以下にその理由と 勉強法を書いておきます。

理由

     
  • システム監査技術者試験では、「監査人としての行動様式」「監査の着眼点」「監査手順」「監査技術」のみが問われるといっても過言ではないです
  • それ以外の余計なことを書くと落ちると思ってください
  • だから、暗記できる内容は監査基準や管理基準に準拠して該当部分だけを書く抜ければよいのです

勉強法

     
  • 「監査人としての行動様式」「監査の着眼点」は日ごろから、論文に書く題材にあわせて設定しておくと良いでしょう
  • 「監査手順」「監査技術」はシステム監査基準やシステム管理基準を暗記しておくことをお勧めします
 おそらく、論述の遅い方は、論述している時間よりも、迷っている時間が長いと思います。論文ですからシステムのすべてを書く必要がないので、ポイントをかいつまんで要領よくかけるかがポイントになってくると思います。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 09:32

2009年2月 2日

小論文試験における章番号の打ち方について

システム監査技術者試験、小論文の章番号について

読者の方から質問をいただきました

 小論文には「章番号を入れること」とありますが、 章番号さえ入れれば、「設問ア」のような記載は不要でしょうか。

ご回答

結論

 「不要」です。「1」「2」と章番号を書けばよろしいです

理由

     
  • ア、イ、ウと書けと問題文に書いてないから
  • 1、2、3の章番号のみで講師はAN、SD、AU、PM試験に合格しているから

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 22:48

2008年12月19日

システム監査試験、アンケートの埋め方について

システム監査技術者試験のアンケート用紙の書き方について

読者の方から質問をいただきました

「アンケート用紙の埋め方、書き方 ○小論文執筆者の立場」について

 基本的に「システム監査に関連するものであれば良いです。”の記述がありますが、『システム監査未経験の場合、どうすればよい』でしょうか。
 特に、アンケートの「3.あなたの担当業務」の選択肢で「システム監査対応(監査人への対応をイメージしています)」と「システム開発・運用」のどちらを選ぶべきかで混乱しています。
 小論文を職務の分離のもと、システム監査人の視点で答えるのであれば、やはり「システム監査対応」を選ぶべきであるかもしれないとも考えています。

ご解答

結論

 「システム監査対応」を選ぶべきである。

理由

 システム開発と運用という立場をとれば、監査人としての立場である第三者的立場が崩れるから。 監査人は被監査組織から独立的な立場をとる必要があるからです。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 23:03

2008年4月26日

新たなシステム監査技術者試験の体系的勉強法について

システム監査技術者試験の体系的勉強報

読者の方から質問をいただきました

 今回の結果を見る限り、関連法規や品質管理が弱点となっております。しかし、問題を変えられたり別の年度になると 最後の監査で多く間違えたり、コンピュータで間違えたりしております。
例えば、過去問では「著作権の帰属」の問題はあまり間違えたりしませんでしたが今回はミスした、という具合に。 請負業務と委託業務も改題されるとミスしている気がします。(過去問なら正解していたがミスするのは何か理解不足の証拠)

システム監査試験の午後対策として

午後Ⅰ対策に関して
過去問3年分くらいを3回くらい反復する。
問題の与件内容から解答例に至るまでの考え方・プロセスと 前提となる知識を身につける。
これくらいしか思いつきません。
午後Ⅱ対策に関して
まず、問題と模範解答例から章立て構成とキワードを ピックアップする。
次に論文の各章(各段落)ごとに要点を短文でまとめ上げる。 以上のことを9~12テーマぐらいやる。
システム管理基準とシステム監査基準を暗記し、監査業務を 行う上で大切なことを整理する。
これ以外に論文対策として必要なことがあればご指摘願います。

午前対策について

 よりよいご意見、誠に有難うございました。新たな教材開発に役立てさせていただきたく 思いますので、よろしくシステム監査技術者試験小論文合格講座CDを ご愛顧ください。

試験全般対策について

 システム監査技術者試験はシステム監査基準に準拠した試験となっております。 「AU試験とシステム監査基準について」 に詳細な勉強を入れておきましたので、よろしくご参照下さい。

午後Iについて

 午後Iの勉強報は以下にコンテンツを作ってありますから是非、ご参照下さい。

午後IIについて

 午後IIの勉強報は以下にコンテンツを作ってありますから是非、ご参照下さい。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 14:38

2008年4月25日

2008年度 システム監査技術者試験 小論文 問2

平成20年 システム監査技術者試験 午後Ⅱ 問2 解答例 

1 情報システムとIT業務処理統制について
1.1 B社概要と情報システムの概要

 私が勤務するB社は、二部上場の自動車部品系第一次部品加工製造業である。B社は大手輸送企業や 自動車メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
 大手輸送機器企業向けの製品を及び部品を連続生産型で開発、生産している。
 下請負先企業は30社ほどある。そのうち3社はB社子会社であり、決算期には連結決算を行う必要がある。
 情報システムは管理会計、会計、給与、生産、営業、設計、在庫、調達業務システムが分散系のホストで稼動している。

1.2 IT業務処理統制機能の不備のリスク

 B社の上記業務システムのコントロールが不備の場合のリスクは次の通りである。

  1. (1)会計システムに不備、不正があると上場廃止の危機にいたる。その結果、株主や利害関係者に 対する経営責任が果たせない
  2. (2)会計システムに不備、不正があると管理会計の基礎的データに欠陥があることになる。 この結果、正確な次年度計画策定が困難になる。
  3. (3)在庫、生産業務システムに不備があると、取引先のJust In Timeラインが 停止する可能性が高く。取引先から損害賠償を求められる可能性がある。
  4. (4)調達業務、特に関連会社、子会社との間の業務システムに不正が発生する可能性が高い。
  5. 架空取引、二重取引などの操作が容易であるため、このような不正が発生すると社会的評価が低下し
  6. 顧客からの指名停止などにより売上高減少、営業損益がマイナスになる可能性がある。
  7. (4)給与システムに不備、不正があると雇用の平等性が崩れる。また、不正な役員報酬や不正支出があると 経営層に対する組織内の信頼性が低下し、モチベーション低下を招く
  8.  以上のことから、コントロールの不備は内部の混乱を招くだけでなく株主などの利害関係者、取引先、下請け企業にまで 被害を及ぼす可能性がある。
2 IT全般統制の有効性監査の手続き
2.1 IT全般統制の有効性監査の準備

 IT全般統制の有効性監査を実施するにあたり、被監査対象の標準テンプレートを 用意し、文書化の状態をチェック検証しコントロールの差異を分析して、統制の 有効性を検証してゆく。
 また、内部統制の有効性について以下の観点から情報システムとその業務プロセス 及びインプット、アウトプットデータについて監査する必要がある。

(1)重大な欠陥
 財務報告に重要な影響を及ぼす可能性の高い財務報告に係る内部統制の不備はないか。
(2)組織の財務計算に関する書類の適切性の確保
 組織の財務計算に関する書類の適切性の確保するために必要な体制として、その組織における 財務報告が法令に基づいて適正に作成されているか。経営者の意見表明が行われているか
(3)内部統制報告書の記載事項
 組織は内部統制報告書を3通作成し、有価証券報告書とあわせて財務局長に提出しているか

3.2 有効性監査の手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。

 有効性評価監査の過程で内部統制評価が必要になる。その概要は次のとおりになる。

  1. (1)重点評価範囲:重要な勘定科目や重要なグループ企業のコントロールの適切さの検証。
  2. (2)内部統制評価:文書化の状態の監査、運用状態の適切さの検証
  3. (3)不備、欠陥の是正:評価基準の作成、不備の認識、改善、改善結果の評価状況
  4. (4)経営者による有効性の評価:補完的コントロールの存在の確認、重要な欠陥の財務諸表に与える 影響の検討
  5. (5)重大な欠陥の重要性と発生確率。
  6. (6)重大な欠陥の発見:特に職務記述書、フローチャート、コントロールマトリックスについては 注意深く監査を行う。
3 IT全般統制の不備に対する監査人の態度

 不備が発見された場合には、次の点に留意して監査を実施する必要がある。

3.1 有効性監査の留意点

 財務アサーションの観点についてIT全般統制を留意する必要がある。

  1. 財務諸表項目の実在性
  2. 財務諸表項目の網羅性
  3. 権利と義務
  4. 評価
  5. 開示
3.2 リスクの検証

 IT全般統制の有効性確認の手続き。

  1. 過大な入力、重複入力が行われていないか
  2. 入力漏れ、入力遅延はないか
  3. 重要なデータは正確に入力されたか。
  4. 入力前の適切な承認は行われたか。
  5. 入力データは商法、企業会計原則などの基準を満たしているか。
  6. 入力データは改ざんされていないか。
以上
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 04:58

2008年4月24日

2008年度システム監査技術者試験解答速報概要

2008年システム監査技術者試験 午後II 小論文の総評

■総評
  1. 非常に意欲的で、システム監査技術者としての実力を問うようなテーマが出題された
  2. 問2の内部統制報告と問3の事業継続計画はもしかすると、予想が当たった方もいると思う。
  3. 全3問のなかで問2が一番難しいなと思った。

全体的に2007年度の問題に比べて相対的に難しい。小論文試験では、その意図を 解答者が読み取って、小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。

■難易度

[難易度]★が多いほど難しい

  • 問1 ★★★★☆
  • 問2 ★★★★★
  • 問3 ★★★★☆

 上記の難易度を決めた理由は次の通りである。

  • 問1:一種のアクセスコントロール系の問題であるが、そのなかのアイデンティティマネジメントや シングルサインオンが理解できていないと論文が書けない。
  • 問2:一言で言うと、内部統制報告書の何たるかを理解していないと十分な論文はかけないから。
  • 問3:基本的には事業継続計画の論文だ。しかし、対象業務を外部委託している業務に限定されているので、 書きにくかったのではないか。
■問題別、小論文戦略

 合格できるか、否かについての基準を示そう。

問題 問題の必須条件 合格のための工夫
問1 アイデンティティマネジメントが理解できているか IDの一元管理のメリットとデメリットを掻き分けられるか
問2 内部統制報告書についての理解ができていること 内部統制報告書の有効性について説得力のある論文をかけるか
問3 ISO27001の知識体系が必要である 外部委託している業務について詳細な説明ができるか
■総評と解答速報
総評
●午後Ⅱ
■2008システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座



投稿者 kato : 05:06

2008年4月23日

2008年 システム監査技術者試験 小論文 解答速報 問3

平成20年 システム監査技術者試験 午後Ⅱ 問3 解答例 

1 組織全体の事業継続計画の概要について
1.1 組織概要と調達の実態

 私が勤務するC社は、電子部品系第一次部品加工製造業である。C社は大手通信企業や 大手電子通信機器メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
 業務には2系統ある。売上の70%は大手電子通信機器メーカから受注する連続生産品である。 残りの30%は大手通信企業向けの製品を及び部品を受注生産型で開発、生産している。
 生産形態にかかわらず、電子部品のパーツとなるICなどは協力会社及び商社から調達している。しかし、協力会社も 在庫削減を目的としていて確定的発注以外の予約押さえは困難である。
 大手商社X,Y社とはWeb-EDIを使って、受発注のやり取りを行っており、その取引額は仕入れ価格ベースで 85%である。

1.2 事業継続化計画の概要

 C社における事業継続化計画は仕入れ調達の85%を占める大手商社X,Y社との取引を中心に考え 計画することが妥当との経営者の判断により、次のような概要となっている。

  1. (1)事業継続計画手続きの確立:事業継続計画の過程で①リスクを評価し、② 障害の影響を最小化するために必要な設備を定義する。
  2. ③あわせて、損害発生に備え損失額に見合った保険加入を検討する。④ビジネス戦略 にあわせた事業継続プロセスの確立を行い、経営陣の承認をえる。
  3. (2)リスクアセスメント:リスクは発生確率と事業への影響度を考慮する。 また、重要なビジネスの洗い出しと適切な優先度を設定する。障害の影響分析 にあたっては想定される損害の規模と回復に要する時間を考慮する。
  4. (3)継続計画の策定と実施
  5. 調達先商社及びC社の通信回線や情報システムの障害、故障、災害、外部からの攻撃 を想定した事業継続計画の策定をすること。
  6. 計画実行に要するリソースの確保と要員の教育の実施、関係者への周知を実施する
  7. 作成した事業継続計画の経営層による承認、本計画で連携すべき商社との円滑な連携の確保
  8. (4)事業継続計画の有効性の確保:①関係各所の連絡手段の確保。②事業支援サービスへの切り替え手順の 確保
  9. ③業務の再開手順の確保、④事業継続計画の見直しサイクルの確保
  10. (5)テストや訓練の実施:事故発生対策チームの配置、システムの回復手順とバックアップによる 業務継続の実施、業務継続処理プロセスのリハーサル
2 確認すべき事項

 C社では商社のX、Y社からの供給が停止した場合を想定して確認すべき事項を点検した。

(1)ビジネス的確認事項
  1. 商社、XとYから供給される部品の代替部品の調達は他の調達先から調達可能か
  2. 調達が可能な場合のコスト、調達手続き、担当部署、契約書は文書化され、 担当部署に周知徹底されているか
  3. 調達が不可能な場合の対処、例えば船荷便を航空機便で切替えて納期に関する契約を 遵守する対策及び手通きその物流手段は十分検討されているか。
  4. 地震災害などで長期にわたり、輸送ルートの破壊、調達先企業の企業活動停止状態に 陥った場合の、調達先切替えの見極めの判断基準と顧客企業への対応手続きの文書化の確認
(2)情報システム停止の場合の確認事項

 商社と当社との通信経路及び商社と当社の情報システムの停止に陥った場合を想定した 点検事項。

  1. 様々な情報システム障害に対する机上演習
  2. 事故対策チームの組織化の状態、訓練の状態
  3. 事故処理手続きの存在の確認。
  4. システム回復手順の存在と有効性の検証の確認。
  5. バックアップシステムの存在と業務継続の可能性の確認。
  6. 情報システム及びネットワークサービスの障害発生時の計画に基づく処理の確認。
  7. 事業継続計画に基づく処理プロセスの全体リハーサル
  8. 事業継続計画レビューの存在、事業継続計画プロセスの追加の検討、変更事項の検討の有無
3 事業継続計画にかかわる要点と手続き
3.1 事業継続計画監査にかかわる要点

(1)事業継続計画の範囲の網羅
 事業継続計画の有効性を確保するために、事業継続計画にかかわる組織の範囲と 情報システムの範囲、業務の範囲を明確に定めておく必要がある。
(2)商社の協力
 調達先大手商社との事業継続計画に関連する契約、事業継続計画発動時の手続きの合意、 訓練への参加などの覚書の確保
(3)顧客の合意
 事業継続計画に関連するリスク発生時の対応について、顧客の合意の存在を確認
(4)事業戦略の見直しと事業継続計画
 事業戦略の見直しに伴い事業継続計画が見直されているかの確認。

3.2 調達先と当社の事業継続計画にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 05:04

2008年4月22日

2008年 システム監査技術者試験 小論文解答速報 問1

平成20年 システム監査技術者試験 午後Ⅱ 問1 解答例 

1 アイデンティティマネジメントの実態と課題
1.1 アイデンティティマネジメントの実態

 私が勤務するA社は、食品製造販売業である。部署には研究開発部門、生産管理部門、 工場、倉庫、営業の5部門からなる。現在、海外企業と連携して新素材の研究に取組ん でいる。
 特に、新素材の研究をしている研究開発部門のセキュリティには高機密性が求めら れる。研究開発部門では、海外とのやりとりに電子メール、研究開発サーバへのアクセス、 研究プロジェクトの管理としてグループウェアなどを利用している。
 これらの情報資産へのアクセスコントロールとして、情報資産ごとに異なる IDとパスワードで認証を行いセキュリティ管理を実施している。

1.2 アイデンティティマネジメントの課題

 A社におけるアイデンティティマネジメントの課題は次のとおりである。

  1. 社内の研究開発スタッフの雇用形態も博士資格を持った契約社員、正社員、外部専門家など多岐に 分かり、IDとパスワードの管理が煩雑である。
  2. 海外からの情報資産に対するアクセス管理が煩雑である。
  3. 情報資産ごとにIDとパスワード管理するため、アクセス状況監視やパスワード定期的変更管理 が事実上困難となっている。
  4. 資産と管理方法が多岐に渡るため監査証跡の定期的確保が困難となっている。
  5. 情報資産管理が複雑化しているため、研究開発部門のセキュリティレベルが低下している。
  6. あわせて情報資産の使いやすさも低下している。
  7. ユーザーという実在する人間のアイデンティティを認証(Authentication)する ことが困難。
  8. 本人性を認証するため、サービス同士の相互信頼や、セキュアな転送経路が必要。
  9. 既にいない利用者のアカウントが残る「放置アカウント」の発生。
  10. 以上による、研究開発データの盗聴、改ざんのリスク。
2 アイデンティティ管理ツールの導入について

 A社では、内部統制の強化を目的として、1回の認証ですべての情報資産弐アクセスする権限を 与えるシングルサインオンシステムの導入を検討している。

(1)その目的は次の通り
  1. 当初の目的は、研究開発部門内で乱立する、多数のIDとパスワードを集約すること。
  2. 単一のIDとパスワードで複数の情報資産へのアクセスを可能とすること。
  3. 情報資産へのアクセスを容易にすること。
  4. 情報資産へのアクセス監視等アクセスコントロールを容易にすること。
  5. 本人性を認証するため、Identityをもとにアクセス制御などの認可できること。
(2)シングルサインオンシステムの課題

 シングルサインオンシステムでは上記のメリットがある反面、以下のようなリスクが危惧されている。

  1. 市販パッケージの既存認証基盤によるシングルサインオン構築は、ライセンス費が高額となることがある。
  2. 定期的なバージョンアップに伴い、保守費以外の支出を伴うケースが多い。
  3. ベンダのビジネス動向(販売撤退、買収等)により計画外費用が発生しやすい。
  4. トラブル発生時、パッケージソフト毎に対応窓口が異なる。
  5. A社情報システム部がシングルサインオンシステムに関するスキルを持っていない。
3 運用状況監査にかかわる要点と手続き
3.1 運用状況監査にかかわる要点

(1)セキュリティコントロール機能の強化
アイデンティティマネジメントによって、①ユーザ認証、②ユーザ認可、③ユーザ、情報資産管理、 ④監査証跡確保機能の強化
(2)セキュリティレベルの向上
 認証メカニズムを強化。X.509 デジタル証明書、 OTP (使い捨てパスワード) デバイスとしても知られている時間ベースの ハードウェアトークン、バイオメトリック認証を使用したセカンダリ確認などに より安全な非パスワード ベースのメカニズムおよびテクノロジが利用されているか
(3)利便性の向上
 アイデンティティマネジメントによってユーザの利便性は向上しているか
(4)コスト削減効果
 アイデンティティマネジメントによってITトータルコスト、管理コストは低減しているか。 また、運用だけでなくアプリケーションのセキュリティ機能開発コストが低減しているか。

3.2 運用状況監査にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、シングルサインオンシステムにかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. シングルサインオンシステムについて、監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 08:28

2008年4月21日

2008年春、システム監査技術者試験 小論文解答速報

2008(平成20年度 システム監査技術者試験午後Ⅱ解答速報

※留意事項
 この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


新版CD「システムアナリスト小論文突破講座(第5版)」は
2008年5月 中旬 リリース開始!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
「提案型システムコンサルタント養成講座」セット販売もあり!

新版CD「プロジェクトマネージャ試験合格講座」は
2008年4月14 リリース開始! もうご購入できます!

■合格のためのガイドラインと正答率

合格と足切りのガイドラインは以下の通りであると予想します。

表1.平成18年度AN試験の合格のガイドライン
試験 足切りの得点率 足切り割合 備考
午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
50門中34問以上取れないと、恐らく合格出来ないでしょう。
午後I 70%程度 ②=①×40%程度 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。
午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

※これは試験センター発表の正式情報ではありません。弊社の推測値です。

■IRTと足きり
午前の足きりライン

 午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

午後Iの足きりライン

 午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

■総評と解答速報
総評
●午後Ⅱ
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 21:08

2008年4月 7日

システム監査技術者試験=どこを暗記すればいいのか=

システム監査の基本的用語について

CD購入者の方からご質問いただきました
Q1 どの程度の暗記が必要なのか

CDを読むと”システム監査試験の小論文は暗記が重要”とありましたので、素直に暗記しようと考えております。
ところが、どこを暗記していいのかわかりません。どの程度の暗記が必要なのでしょうか。
「サンプル論文を読ませていただきましたが、システム管理基準のあちこちを引用されたり、 ISMSなどのいろいろなものを引用されています。すべて覚えるのは不可能ですよね。

ご回答

「Q1 どの程度の暗記が必要なのか」について
基本的にヤマは張りたくないのですが、すべてを覚えたくない方も多いと思います。
なので、ヒントを書いておきます。ただし、ヤマが外れた場合の責任は持ちません
自分の経験に基づいて語ります。 そのうえで試験対策は次のように考えます。

  • CDに、小論文試験テーマを整理した欄があるので、まずそこをご覧下さい。
  • 試験に良く出る場所を覚えて、出ない場所を外す。これが試験の鉄則です。
  • よく出る分野は、ITガバナンスIT投資とIT戦略の有効性監査証跡の確保
  • つまり、システム開発系は出題されにくい。
  • ITガバナンス、IT化計画系は出題されやすいから徹底して暗記。
  • 過去に出題されたテーマで、システム監査基準やシステム管理基準にない内容を 他のスタンダードから引用、眼を通す。

 よって自分が受験したときは、システム管理基準のなかのITガバナンスを集中的に暗記しておき、システム開発は暗記から外し、運用や報告書作成などのところは眼をとおしておきました。

Q2 システム監査基準を重視すべきか、システム管理基準を重視すべきなのか

また、事務的にシステム監査基準に即して監査項目を列挙する。
ここは、「監査基準」ではなく、「管理基準」でいいですか?

ご回答

「Q2 システム監査基準を重視すべきか、システム管理基準を重視すべきなのか」について
結論から言うと、システム管理基準を重視と考えます。
しかし、これについても前述と同様です。すなわち。

  • 試験テーマによく出題される部分を集中的に暗記する。
  • 新・旧のスタンダードでテーマがかぶる部分があったら、新基準を参照。
  • それで不足ならISO27000等を参照。
要はどこを暗記するかによって勝敗がわかれる。

 システム監査試験は知らなければかけない論文です。だから、どこを暗記するかが合否の鍵を握る。
そのために試験傾向の把握が重要です。CDに良く出る分野が書かれていますので、 その部分を暗記すれば当たる確率が高いでしょう。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 10:00

2008年4月 2日

システム監査の網羅性の確保について

システム監査の基本的用語について

掲示板読者の方からご質問いただきました

 電子メールのモニタリングをするにあたり、セキュリティ対策の監査について論述しようとしました。 ここでも悩ましいのは、セキュリティ対策の網羅性です。情報セキュリティ管理基準は莫大すぎて、覚え切れません。
「セキュリティ対策として、①物理的セキュリティ、②人的セキュリティの両方について監査を行った。」
これでは内容が薄いですよね。セキュリティ監査を得意分野として持っておこうと思いますが、 得策ではないのでしょうかね?
 ITProには、以下の記事がありました。ここでは「旧システム管理基準」の「いるか」を覚えたとあり、 これなら覚えられそうです。この中で、データ管理と運用管理などに絞れば全部覚えられそうです。 ですが、旧基準なので、これでいいのでしょか?
 なんか脈絡のない質問になっていましましたが、アドバイスをいただけると幸いです。

ご回答

 システム監査において、網羅性は重要な問題です。システム監査人にとって、 看過した要因でセキュリティインシデントが発生した場合、責任問題にも発展しかねないからです。
 しかし、すべての監査することは困難なので、実務上、論文上落としどころが必要です。
 その場合のスタンスを示したいと思います。

システム監査における網羅性のスタンス
  • システム監査人としても、被監査組織から説明を求められた場合、網羅性の根拠を示したい
  • そのためには、スタンダードな手法を採用することが無難
  • 小論文の場合、採点する側も模範解答が必要で、その模範解答はスタンダードなものになるはず
網羅性にかかわり参照すべきスタンダード

 そこで、スタンダードとして考えられる項目を列挙します。

  • 旧システム監査基準
  • システム管理基準
  • ISO27000:ISMS 情報セキュリティマネジメントシステム
  • JIS Q15001:個人情報保護マネジメントシステム要求事項

 以下、モニタリングにかかわるスタンダードを洗い出してゆきたいと思います。この範囲で まとめてもらえれば合格できると思います。

旧システム監査基準
  • ハ 運用業務 1 運用管理 (9):オペレーション実施記録は運用ルールに基づいて一定期間保存しているか。
  • 同 3 データ管理(2):データのアクセスコントロールモニタリングは有効に機能しているか
  • 同 4 出力管理 (6):出力情報の利用状況を記録し、定期的に分析しているか
  • 同 5 ソフトウェア管理(2):ソフトウェアへのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 6 ハードウェア管理 (6):ハードウェアの利用状況を記録し、定期的に分析しているか
  • 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
  • 同 9 建物・関連設備管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
システム管理基準
  • III 開発業務 2 システム設計(14):モニタリング機能を考慮して設計すること
  • IV 運用業務 2 運用管理(15):情報システムの稼動に関するモニタリング体制を確立すること
  • データ管理、出力管理:及びソフトウェア、ハードウェア、ネットワーク、建物・関連設備は旧システム監査基準と同じ
  • VI 共通業務4.2 業務遂行(3):要員の交代は誤謬防止、不正防止、及び機密保護等から検討すること
  • 同 4.4 健康管理 (2):メンタルヘルスケアを行うこと
  • 同 7 ネットワーク管理 (2):ネットワークのアクセスコントロール及びモニタリングは有効に機能しているか
  • 同 7 ネットワーク管理 (3):ネットワークの利用状況を記録し、定期的に分析しているか
  • 同 9 建物・関連施設管理 (2):建物及び室への入退の管理は不正防止及び機密保護の対策を 講じているか
ISO27000:ISMS 情報セキュリティマネジメントシステム

 「6.1.2 要員審査及びその個別方針」について

  • 従業員採用時の信用度のチェック実施
  • 情報処理施設や設備にアクセスする業務への配置に当たっての信用度の再確認の実施
  • 重要なポストにいる人物の信用度チェックの定期的な実施
  • 派遣、請負の信用チェック
  • 取り扱いに慎重を要するシステムにアクセスするスタッフに関するセキュリティ管理能力評価
  • 業務に影響を与えることにつながるような部下の個人事情の把握

 「7.1.2 物理的入退室管理」「7.1.4 セキュリティが保たれた領域での作業」「7.1.5 (データの)受渡し場所の隔離」について

  • すべてのスタッフに対する明確なIDの付与
  • スタッフ全員による不審な者の立ち入りについての監視
  • ビジターに対する管理領域内での行動記録、監視
  • スタッフ不在時における施錠と、不在時に侵入がないことの確認
  • 立ち入り制限の認可や作業の監視等による、サポートサービス要員等の第三者の立ち入り制限
  • 写真、ビデオ、オーディオ等の記録装置の持込禁止等の監視
  • 受渡しエリアへの外部からのアクセス制限
  • 受渡しエリアの外部から内部への通り抜け環境の排除
  • 受渡しエリアから保護領域までの安全確認の実施

 「9.7 システムアクセス及びシステム使用状況の監視」「9.7.1 事象の記録」「9.7.2 システムの使用状況の監視」 についてですが、膨大なのでポイントを明示します。

  • システムの不正な使用や不適切な運用のチェックや問題が発生したイベントは記録して保管する
  • システムアクセスの試みに成功したもの、拒否したものの記録
  • 情報処理施設及び設備の使用監視要領の確立
  • 監視手順に基づいた情報処理施設及び設備の使用についての監視
  • 監視記録のチェック
  • ログ情報の保護の確認
  • 監視要領のなかでの監視レベルの明確化
JIS Q15001
  • 4.4.3.3 従業員の監督:個人情報の安全管理が図られるように従業者に対して必要かつ適切な監督をしなければならない
  • 4.4.3.4 委託先の監督:委託する個人情報の安全管理が図られるように委託先に対して必要かつ適切な監督をしなければならない
  • 4.7 点検 4.7.1 運用の確認:事業者は個人情報保護のマネジメントシステムが適切に 運用されていることを事業者の各部門及び階層において定期的に確認しなければならない
経済産業省 個人情報保護法についてのガイドライン

 上記の内容は具体的でないので、もう少し調べてみると詳細(抜粋)なものがありました。

  • 組織的安全管理措置:権限と責任を定め、手順書を整備し、実施状況を確認する
  • 人的安全管理措置:雇用契約、非開示契約の締結と教育訓練の実施
  • 物理的安全管理措置:入退室管理の実施
  • 技術的安全管理措置:アクセスの識別と認証、アクセス制御、アクセス権限管理、アクセスの記録 、不正プログラム対策状況、情報システム動作、情報システムの監視

 安全管理の一環としてビデオやオンラインのモニタリングする場合、次の点を留意すること。

  • モニタリングの目的の明示、取得する個人情報の利用目的の特定
  • モニタリング実施責任者と権限の規定
  • モニタリング実施の場合 、社内規定の徹底
  • モニタリングが適切に行われているか監督、確認実施
まとめ

 モニタリングについて重要な要点を洗い出しましたが、膨大です。 だから、これらをすべて記載しようとすると無理があります。そこで、以下の工夫をしてください。

  • 設問アの段階で、どの資源をどの程度保護すべきかを明確にすること
  • 設問アの段階で、監査目的を明確にすべき
  • 設問アの段階で、監査の観点を明確化すべき

 設問アの段階で、監査要点を絞り込んでおかないと膨大な量の設問イ以降の執筆につながるということです。 だから「重要なのは設問ア」であり、ここで「監査対象」「監査目的」を明確化 することが合格の秘訣です。例を示します。

  • 監査目的は金融証券取引法に基づく内部統制の確認
  • 監査対象は会計、清算プロセス
  • 監査の観点は、プロセスの妥当性、データの信頼性、機密性の確保
  • 被監査組織は営業、会計、給与、購買部門
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 16:38

2008年3月 7日

システム監査技術者小論文=スタンダードの引用について=

システム監査技術者試験 小論文添削と質問

システム監査技術者試験の小論文添削受講生さんからの質問です
質問1=IT監査手法について=

CD-ROMの論文作成例(H19問1)によると「2.2監査手続き」でフォーマルな手続 きが論述されています。ここがよくわからないのですが、「設問アに関連して どのようなIT監査技法を用いるべきか」という問いに対して、標準的な監査手 続きを答えるべきなのでしょうか?

質問1への回答

 設問アへの関連性については以下のように考えます

  • 情報システムの実態に即していること
  • 企業の実態に即していること
具体的には次のような感じになります
  • オープン系分散システムではぺネトレーションテストで外部アクセスからの脆弱性の検証
  • サーバに対する、アクセスログの採取
  • アクセス権限に関連するアクセスパスの確認

 このほかにもITを使った監査技法、妥当と思われる手法であれば実態に即して書けば 何でも良いと思います。

質問2=他のスタンダードの参照について=

私はH19問1「3 IT監査の留意点」を論述するにあたり、セキュリティ管理基 準10.3章を参照しました。
例えばCD-ROMの論文作成例(H19問3)に「規約作りにあたってはISO17799を参考 にしておくとよいでしょう」とあるように、設問イウについては、一般的に設 問に対応する規約が存在し、それに思い当たるかどうかが勝敗を分けるのでは ないかと仮定したのですが、正しい考え方でしょうか?

質問2への回答

システム監査基準に、論文に使える規範や規約が載っていない場合、他のスタンダード (この場合は、システム管理基準、セキュリティ管理基準、ISO27000等)を参考して引用 するといいでしょう。
 おっしゃるとおり、他のスタンダードを覚えていなければ当然、そのようなものは思い浮かぶ はずもないですから。代表的基準は覚えておくにこしたことはないでしょう。

質問3=小論文構想について=

 そう考える一方で、添削にて「このような感覚でまとめてください」とご指摘 いただいた流れを読むと、一読すると当たり前に思えるけど試験会場で思いつ いて文章にまでまとめるのは困難、言い換えると、センスが問われているとい うか応用問題だな、という考えも持っています。
もしそうだとしたら、「このような感覚でまとめてください」との指摘事項は 加藤先生の経験をベースにしたオリジナルですか?

質問3への回答

 はい、私は独学の人なのですべてオリジナルです。
 割と、雑学的な知識を豊富に持っているタイプで、それを体系的に表現したり、 それを引き出して、1つのテーマで文章やストーリを作るのが得意です。
 法律などもそうですが、労働基準法を補完して労働派遣法や育児休業法がある訳で、 それぞれが補完関係にあるものです。
 同様にセキュリティ関連、監査関連のスタンダードも相互補完の関係にありますので 日ごろから意識して精読しておくことが肝要です。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 23:19

2008年2月15日

システム監査技術者試験・小論文の完成度について

システム監査技術者試験の小論文の完成度について

読者の方からご質問いただきました

午後1に関するご指導「完璧を目指すのでなく足きり通過を目指せ」がございますが、午後2についても 「完璧主義じゃなくて良い」は通用するでしょうか?
 アドバイスいただきたくお願いいたします。

ご回答

 小論文の完成度という議論は難しい質問ですが、とりあえず考えられることを述べてゆこうかなと 思っております。

システム監査基準、システム管理基準暗記の完成度

 システム監査技術者試験は、他の試験と異なりシステム監査基準、システム管理基準(以下、システム 監査基準等)をしっかり覚えていないと小論文が書けません。
 その完成度について意見を述べます。

  • 税理士試験などでは一言、一句暗記が必要ですが、システム監査基準の一言一句までの暗記は不要
  • しかし、システム監査基準等の内容を損なわない程度の暗記は必要と思われる
小論文の完成度

 論述試験では、100点の答案作成は不可能であること理解したうえで論述を行う必要があるでしょう。
そのうえでの留意事項は次のとおりです。

  • 点数的には70点を狙い、実際の得点は60点を目指す
  • そのために、出題者の題意をしっかり読みぬく必要がある。題意さえ読みぬいていれば、 完璧な答案でなくても合格できる
  • 採点者が「この人はシステム監査人としての素養がある」と思えれば合格である

 60点を取るための留意点は次のとおりです。

小論文の留意点
  • 題意の読みぬきで、洞察力や注意深さが考査されている
  • システム監査基準等の記述によって、最低限の素養が学習済みであることを考査される
  • 題意に添った論述表現で監査報告書作成能力が要求される
  • 論旨の一貫性の確保で、論理的思考能力が考査される
まとめ

 要は完璧は必要ないですが、採点者の考査のポイントを抑える必要があるということです。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 08:05

2008年2月13日

監査未経験者の設問ア論述について

監査論文の設問アについて

読者の方からご質問いただきました

私は監査に関係する仕事に一度も携わったことがありません。設問アについては、どのように展開したらよいのでしょうか

ご回答

 設問アの書き方は、それぞれの論文の題意によってまったく異なると思いますが、あえて一般論で申し上げないと 回答ができないので「おおよその論述方針」ということで述べさせていただきます。

設問アの入れて置くべき記述内容
  • 情報システムの概略
  • 情報システムに関わる経営方針
  • 情報システムを取り巻く経営環境、リスク
  • 情報セキュリティの体制(組織)とその状態
  • その他、設問アで要求されているそれぞれの内容

 設問アを書く上でとても重要なことは「あなたやあなたのシステムを知らない採点者に、 あなたのことを知らしめる」ことなのです。したがって、概略から入り、段階的に詳細化 してゆく論述方針が適切と思われます。

監査経験のない方に

 設問アで論述する内容は上記のとおりで、監査経験とは無関係です。安心して取り組んでください

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 09:49

2008年2月 1日

システム監査技術者試験 午後Iの題意の見抜き方と解答について

平成9年午後I問5の解答について、ご質問いただきました。

CD会員の方から、平成9年午後I問5の解答法について、ご質問いただきました。
ご自分の参考書の模範解答と、ご自分の回答に差があるのだそうです。

システム監査技術者試験 平成9年午後I問5概要

題意が「情報の有効活用について」です。状況は次のとおりです。

  1. 営業支援システムを構築したが、利用しない部門がある。
  2. 営業部長から見て、経営戦略の理解が不足しているようだ。
  3. 情報の検索機能、顧客宛名ラベル出力機能は優れているが、顧客情報の分析 機能には問題がありそうだ。
  4. 販売責任者からみて、教育が徹底されていない。報奨制度がない。
  5. システム担当者からみて、教育が不十分でヘルプデスクがパンクしそう。

 このようななかで設問2で聞かれている内容は次の内容です。
 【設問2】システム監査人は情報共有化という観点から運用上で解決 すべきと考えた。情報共有を促進するための改善策を2つ挙げ50字以内で述べよ。
要点は次の通りです。

  1. 情報共有化の観点で改善策を述べる。
  2. 運用上の観点で改善策を述べる。

質問へのご回答

著者加藤の解答例

 以上のことを踏まえて解答すると次の通りとなります。

  1. 顧客情報登録に関するアップロードの状況を部門的に精査して、報奨制度を構築し人事評価とする。
  2. 現行教育システムを再構築し、経営戦略と操作手法の徹底強化を行う。現場の声を反映する。
質問者の解答例の評価
 ご質問をいただいた方の解答例を評価します。
  1. 営業データのアップロードを自動化させる→IT面での提案だから、ポイントが低そう。
  2. 顧客の求めるデータをフィードバックさせる→「顧客の求めるデータ」が難なのか不明。

 状況から考えて、初期教育だけでは不十分であり、継続的に教育を実施しないといけないし、 全社的に取り組んでゆく姿勢を示さなければならないと思いました。

 ご質問、有難うございます。ご質問を頂いた方とこの記事を読んでいる皆さんの合格を祈念いたしております!

 
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 11:22

2008年1月31日

システム監査試験、小論文、設問ウのまとめ方

システム監査、小論文試験 平成16年問3について

読者の方のご質問

 ある読者の方からご質問をいただきました。
 平成16年問3の設問ウの解答例に質問がございます。
解答例では、旧システム監査基準に従い、信頼性、安全性、効率性の観点からIT投資計画の適切性を論述されています。 しかし、現在のシステム監査基準、管理基準ではこれらに当たる項目がありません。
その代わり、システム管理基準の1.情報戦略 3.情報化投資にてシステム監査項目が網羅されていると考えています。
 よって、私は、システム管理基準にならい、IT投資計画の適切性を監査する要点として、以下のような論述を考えました。問題がありますでしょうか? よろしくお願いいたします。

  1. 経営戦略との整合性が取れているか確認する必要がある。具体的には、A社の中長期経営計画のレビューや経営者とのインタビューから、A社の経営が法人市場から消費者市場にシフトしているか確認する必要がある
  2. 情報化投資計画の決定に際して、影響、効果、期間、実現性の観点から複数の選択肢を検討しているか確認する必要がある。具体的には、導入するWebサーバの選定が想定ユーザ数や取り扱い商品数に対して適切に選定されているかを、社内のハードウエア・ソフトウエア選定基準に照らし合わせて監査する必要がある。
  3. 情報化システムの投資効果の算出方法を明確にしているか確認する必要がある。具体的には、DCF法などオーソライズされた投資評価指標と比較して妥当かどうか検証する必要がある。
システム監査試験 午後II 平成16年問3概要

 この問題の主題は「IT投資計画の監査について」です。また、次の内容への 配慮も必要です。

  1. 主題がIT投資計画の監査について
  2. 配慮事項が、システム化以前の業務手続との整合性の確保
  3. 業務電子化による①帳票の難可視性の問題や②誤謬の問題などのリスク低減
  4. 関連法規遵守(コンプライアンス)
  5. そのうえで、総合的IT投資計画が策定されているかを監査する

だから、IT投資計画の妥当性を述べることは当然ですけれども、それ以外にも ビジネスモデルとしての法規、業務的リスク低減が重点的に述べられているが 求められます。

質問へのご回答

CD等で公表している私の解答例の妥当性について

 実は、この問題は私がシステム監査試験に合格したとき選択した問題です。従って、 この解答例で合格しているということは合格解答として妥当だということです。
 手前味噌になるといけないので、いま少し、補足説明をします。

  1. この年は問1で保証型監査の問題が出るなど、新監査基準初年度の試験と考えるべき。
  2. その試験でも、旧監査基準の内容でも基本的で重要な内容は合格論文となりうる。
  3. システム監査試験では、システム監査基準、管理基準に無い内容も出題される。
  4. 上記の場合、他の公的基準を引用して代替とすることがある。

 基本的に私の受講生さんには「システム監査基準を暗記してください」 とお願いしているのは次のような理由です。

  1. システム監査技術者試験で現行監査基準の知識が必須だから
  2. しかし、すべてを暗記することが正しいのではない
  3. 要は、システム監査試験では、どのような趣旨をシステム監査人に要求しているのかが重要
  4. だから、新システム監査基準以外のことを書いてはだめということではない

 他のオーソライズされている基準をあなたが適切と判断したのであるならば他の基準を引用しても合格できることが著者の例でもわかります。

ご質問内容への回答
 質問をいただいた方へ、ご回答申し上げます。
設問ウの「監査の適切性」についてご質問内容

 再掲載です。

  1. 経営戦略との整合性が取れているか確認する必要がある。具体的には、A社の中長期経営計画のレビューや経営者とのインタビューから、A社の経営が法人市場から消費者市場にシフトしているか確認する必要がある。
  2. 情報化投資計画の決定に際して、影響、効果、期間、実現性の観点から複数の選択肢を検討しているか確認する必要がある。具体的には、導入するWebサーバの選定が想定ユーザ数や取り扱い商品数に対して適切に選定されているかを、社内のハードウエア・ソフトウエア選定基準に照らし合わせて監査する必要がある。
  3. 情報化システムの投資効果の算出方法を明確にしているか確認する必要がある。具体的には、DCF法などオーソライズされた投資評価指標と比較して妥当かどうか検証する必要がある。
ご指摘事項に対する意見

 著者、加藤忠宏の意見です。

  • 経営戦略との整合性が取れているか確認する必要がある→設問ウの前文で、設問アとイで述べた内容と書いている。設問イの主要な要求内容は ビジネスリスクと法制度面での監査が要求されているから、これを主題とすると的外れの論文になる可能性がある。
  • 情報化投資計画の影響、効果、期間、実現性の観点から複数の選択肢を検討が必要→
    同上
  • DCF法などオーソライズされた投資評価指標と比較して妥当かどうか検証する必要がある。→ DCF法は経営学の学会等で既にオーソライズ されている手法であるため改めて確認する必要はないでしょう。
  •  つまり、「IT投資」のみに眼を奪われると、小論文試験は合格できない。 その裏にあるサブテーマ「IT投資の業務的、法的リスク」を看破して、 その考察のない論文は合格答案とはいえないでしょう。
     またDCF法を疑い始めると、システム監査基準よりも古典的で検証が十分なされている 学説を否定することになるので、小論文が成立しないと思います。

    まとめ

     折角ご質問いただきましたので、要点を整理すると次の通りです。

    1. システム監査基準にない内容が出題されたら、それ以外の内容を書いても良い。
    2. 主題だけに眼を奪われずに前段の前提条件や設問文を精読すること。
    3. そこには重要なサブテーマが潜んでいる。

     ご質問、有難うございます。ご質問を頂いた方とこの記事を読んでいる皆さんの合格を祈念いたしております! 

    システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント




    投稿者 kato : 10:44

    2007年12月25日

    システム監査技術者試験で時間切れとなってしまう方に

    システム監査、小論文試験と実務経験について II

     ある読者の方からご質問をいただきました。
    Kと申します。HPや書籍を拝見させていただきまして 受講を決意しました。今回は、H20年のシステム監査受験までの学習計画を立 てるにあたり相談させていただきたくメールさせていただきます。
    私は地方自治体向けパッケージソフトの導入と保守を行って いる部署に所属しております。この業界に入り約7年です。 PG、SEを5年行いその後SEの取りまとめを行っており ます。
     システム監査をH19年に初受験したのですが残念ながら不 合格という結果に終わっております。しかも、午前で足きりです。スコアがあと5ポイント足りま せんでした。午後1/2は、文字数的には満たしておりましたが、時間が足 りず内容には不満足な内容となりました。
    受験してみて自分の力を分析してみると、
    1. 時間内に回答する力がない
    2. システム監査にたいする知識が浅い、少ない
    H20年に向けまずは、午後1の過去問を時間を計測し解くこと を行おうと思うのですが、その他どのように学習を進めればよい か指導いただければと よろしくお願いいたします

    質問への回答

    午後I対策
     システム監査試験の午後Iですが、意図的に読解力の乏しい読者を足きりする目的で 90分の短時間で3問も回答させると考えます。そこで、その対策として次のような方法を考えています。
    1. システム監査試験・午後Iは「業務の流れに問題があるもの」、「監査の仕方に問題があるもの」 「セキュリティマネジメントに問題があるもの」「アクセスコントロールに問題があるもの」など数パターンに 分かれることを知っておくべきです。
    2. それぞれごとに指摘すべき課題がパターン化されていることを知るべきです
    3. 例えば、盗聴化対策で暗号化すると、ウィルスを識別できなくなるなどのケースです
    4. また業務改革で、決済システムを導入すると承認プロセスがショートカットされていて、 管理者がコントロールが欠落するケースもあります。
     監査の問題はそんなに大きな変化はないので、設問パターンごとの解答パターンを 用意して置いたらいかがでしょうか。さらに、
    1. また、問題文を読むと多数のセキュリティ上の欠陥があり、どれを書いたらいいかわからなくなることがあります
    2. このような場合は、問題文を読む前に設問文を読み込んでおくことをお勧めします
    3. 設問の題意を十分把握しておくこと、記述すべき内容の取捨選択に役立ちます

    午後I、午後IIの最重点は題意の把握にある

     午後Iでは、設問文の題意を把握できていないと的確に記述できないし、午後IIでは頓珍漢な 論文を書いてしまうことにあります。ここで重要なことが「コントロールの具体的内容の把握」です。 例えば、
    1. 内部統制ときたら、相互監視上の課題、上司による監視の欠落などを指摘する
    2. アクセスコントールときたら、パスワードやIDの変更、退職者のID削除などを指摘する
    3. ファシリティコントロールときたら、入退室管理、遮蔽、迷路のような構造など物理構造を指摘する
    4. 電子化の欠点ときたら、電子文書の可視化などを指摘する
    といった具合です
     よくある失敗パターンでは、セキュリティ上の課題というと。個人情報保護法情報漏えいおよびハッキングウィルスしか 思いつかない方がいて、全体的に俯瞰が不足しているといえそうです。

    時間が足りないのは時間を浪費しているから

     往々にして、時間の足りない方に欠落していることは次のようなケースではないでしょうか。
    1. 考えているのではなく、迷っている→題意の把握が不十分
    2. なにを指摘してよいか不明→システム監査基準、管理基準の暗記
    3. どのようの書いたらいいか不明→自分の担当した情報システムの認識が不足、監査手続きに関する知識の不足
    4. 午後IIの小論文の書き方が分かっていない→恐れ入りますが、システム監査小論文対策CDをご購入ください(^^;

    時間が足りない方の対策

     しつこいですが、何度でも書きます。
    1. システム監査の手順を暗記しておくこと
    2. システム監査で使用する文書や証拠書類の名称を整理して置くこと
    監査は経験で格ものではなく、知識で書くものですから、監査基準やISO27000(旧ISO17799)をしっかりと 読み込んでおくべきでしょう。 重要なことはシステム監査試験が情報処理技術試験のなかで唯一暗記の必要な試験 だということをあらためて認識していただく必要があります。
     皆さんの合格を祈念いたしております! 
    システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



    投稿者 kato : 23:03

    2007年12月21日

    未経験者のシステム監査技術者試験小論文対策

    システム監査、小論文試験と実務経験について

     ある読者の方からご質問をいただきました。
    Mと申します。本日は先生に質問がございまして、メールというかたちで連絡を取らせていただきました。 この度「システム監査技術者」の受験を考えるにあたり、ネットで情報を収集していたら先生のサイトを発見して藁にもすがる思いで連絡させていただいた次第です。
    お忙しいなか恐縮ではございますが、以下のご質問に助言等をいただけると大変ありがたく存じます。
     私は社内でのシステム部門等での実務経験がまったくありませんが、そういう者が受験することは無謀でしょうか。 現在、ある会社に勤務しており、この業界のどんぶり勘定的体質から、早期に脱出し、システム的に強化を図ることが 必要と感じたことも受験への動機のひとつであります。
     午後Ⅱ問題は受験者の業務経験に基づいた解答が求められていますが、未経験者がバーチャル(想像)で解答しても中身がしっかり書けていれば合格できるものなのでしょうか。 また先生の周りに実際そういう方がいらっしゃいましたか?

    謝辞

     まず、ご質問をいただきましたことと、かつての受講生さんの再会を感謝したいと思います。
    また、本業のコンサルティングが盛業で3ヶ月ほど1日の休みもなくお返事を遅れましたことお詫び申し上げます。

    質問への回答

     システム監査試験での監査経験の必要性ですが不要と考えます。
    1. システム監査試験は「システム管理基準」、「システム監査基準」に準拠します。
    2. また、監査手順もほぼ提携でルーチン業務ですから、暗記が可能です。
    3. したがって監査経験は不要です。

    監査経験のない方の合格の有無の現状

     受験者のすべてを理解しているわけではないですが、受験指導の経験から監査経験のない方の合格事例を いくつか述べてゆきましょう。
    1. IT系専門学校教務主任の合格:システム導入の経験はないものの、独学で合格されていました。 選択していた問題は「監査人の教育」だったと思います。
    2. IT系企業のSE:この方は、スキルアップに熱心な方で、監査試験合格者の情報を多数集めて合格 されていました
    3. IT系企業のスーパーSEO:この方は監査というものの考え方、システムの安全性、信頼性、有効性などを 深く考えて男ら得る方でした
    4. 金融系システム管理者:この方は中小企業診断士の合格後、キャリアを補足する意味 で受験を決意されました。彼の助言者は診断士講座の講師の方です。
    5.  要は、合格される方は、単にシステム開発をしているSEではなく、 常に問題意識を深く持っている方、キャリア等について真剣に考えている方である ことがわかります。

      監査経験のない方が合格するためには

       Mさんが午前試験、午後I(記述式)試験の合格水準であると仮定して、監査経験のない方が システム監査試験に合格するためには次の手法が有効であると思われます。
      1. まず監査事例に相当する情報システムのセキュリティ上の問題点を整理しておくこと
      2. 情報システムの概要と潜在的課題を整理して400字で論述できるように整理しておくこと
      3. 「システム管理基準」、「システム監査基準」を暗記しておくこと
      4. システム監査の手順を暗記しておくこと
      5. システム監査で使用する文書や証拠書類の名称を整理して置くこと
      重要なことはシステム監査試験が情報処理技術試験のなかで唯一暗記の必要な試験 だということです。
       皆さんの合格を祈念いたしております! 
      システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



      投稿者 kato : 15:40

      2007年4月20日

      平成19年 システム監査技術者試験 総評

      2007(平成19年度 システム監査技術者試験午後Ⅱ解答速報

      ※留意事項
       この解答速報は、システム監査小論文試験等の 「合格のためのガイドラインを予測するもの」 です。完全性を保障するものではなく、また、 利用される皆さんの合格を保証するものではありません。その点を十分、 ご留意いただいたうえでご利用ください。


      新版CD「システムアナリスト小論文突破講座(第5版)」は
      2007年5月 中旬 リリース開始!
      ライバルは既に持っている!
      基本的仕様:CD
      オプションで午後I,午後IIの添削がつきます。
      「提案型システムコンサルタント養成講座」セット販売もあり!

      新版CD「プロジェクトマネージャ試験合格講座」は
      2007年6月初旬 リリース予定!
      Coming soon!

      ■合格のためのガイドラインと正答率

      合格と足切りのガイドラインは以下の通りであると予想します。

      表1.平成18年度AN試験の合格のガイドライン
      試験 足切りの得点率 足切り割合 備考
      午前 68%程度 ①=受験者×50%程度 IRT方式の採点。経営科学、標準化と法規などが出来ないと苦しい。
      50門中34問以上取れないと、恐らく合格出来ないでしょう。
      午後I 70%程度 ②=①×40%程度 全体的に業務改革ものが多く出題された。なかでも問2のKJ法が象徴的だ。
      午後II 60%程度 ③=②×40%程度 午後Iの生き残りだけが採点されます。正答率が55%程度まで合格の可能性があるかもしれません。

      ※これは試験センター発表の正式情報ではありません。弊社の推測値です

      ■IRTと足きり
      午前の足きりライン

       午前の通過は、スコア値600点です。全体の受験者の約50%が足きりになります。

      午後Iの足きりライン

       午後Iの通過は、スコア値600点です。午後Iに採点が回った受験者の約60%が足きりになります。 従って、午後IIの小論文を採点してもらえる受験生は全体の約20%です。

      ■総評と解答速報
      総評
      ●午後Ⅱ



      投稿者 kato : 07:30

      2007年4月19日

      平成19年 システム監査技術者試験 解答速報 午後Ⅱ

      平成19年 システム監査技術者試験 午後Ⅱ 問3 解答例

      情報システムの調達
      B社の概要と経営課題

       B社はコンピュータサプライ機器の販売を行う企業である。 従業員数が150名で、そのうち半数以上の80名が 営業職である。しかし、経営者から社達にて①営業マン1人あたりの売り上げが目標3,000万円に 達していない、②個人によって生産性に大きなばらつきがありそうだ、③営業マンの人件費、教育コスト、交通費 が販売費の圧迫要因になっている、④訪問回数の割りに成約につながらないなどの問題提起が明記された。

      モニタリングの目的

       モニタリングによる内部統制の実施目的は次のとおりである。

      1. 営業マンの規律を厳格にして営業効率をあげる、営業目的の周知徹底を図る
      2. 営業マンの不正や効率の悪い営業行動を発見し、指導に役立てる
      3. 成約率を高め、企業利益の向上につなげる
      4. 成果に基づく評価、昇進、昇給の公平性を高める
      モニタリングの手段

       B社では、営業マンの内部統制にあたり次のようなIT的な手段を講じている。

      (1)不正の防止
      1. 営業チームの執務室への入退室管理の徹底、記録の保持にICカードの利用、記録のサーベイランス
      2. 顧客名簿へのアクセスコントロールとしてIDとパスワードの打鍵、認証
      3. 見積書の精査、契約書の作成にあたり複数人での検証体制のグループウェア・ワークフローの整備
      4. 社外に発信したメールの複写と定期的レビュー
      (2)社外の行動の監視
      1. 携帯電話を位置情報発信源としたGPSシステムの導入
      2. モバイルコンピュータからのアクセス管理として、ワンタイムパスワードの利用とアクセスログの採取
      (3)社内の行動の監視
      1. 電子メール監視ソフトウェアの導入による電子メールの監視
      2. プロキシサーバのアクセスログ監視による閲覧Webのレビュー
      モニタリングに当たり整備すべきこと
      体制

      (1)セキュリティ委員会での検討
      モニタリングに当たっては、トップのリーダシップだけでなく社内の合意も必要であるため、セキュリティ 委員会にはかり合意の形成をおこうなう必要がある。
      (2)専門家の意見の採取
       モニタリングがプライバシの侵害にならないように、。またモニタリングに基づいた評価、賞罰が 労働基準法に抵触しないように弁護士等の専門家のケーススタディー的検証が必要となる。
      (3)モニタリングの目的の明確化
       モニタリングの目的を明確として、就業規則の変更や社内考課などの規則の変更のための参考資料とする。
      (4)モニタリングの費用対効果の検証
       モニタリングに投資した費用が過大化しないように、リスクアセスメントを実施して、リスク予防の 費用対効果をセキュリティ委員会で検証する必要がある。
      (5)セキュリティ管理者の任命
       モニタリングのコントロールの実効性を担保するために、セキュリティ管理者をCIO担当役員と定め、コントロールに関連する 責任と権限を付与する。
      (6)周知徹底と教育
       制度変更にあたり、セキュリティ担当CIO主導による社内説明会の実施と、部課別 説明会の実施を計画実行する。また、IT機器の操作等にかかわる教育を計画実行する。教育担当者の育成。
      (7)モニタリング結果の継続的改善へのフィードバック
       モニタリング結果をセキュリティ委員会で検証し、その後のコントロールの改善を実施。

      社内規則の整備等
      1. 就業規則の解雇、賞罰、社員倫理規定の変更を実施する。モニタリングによる不正等が発見された場合等の処遇を 明記する
      2. 人事考課規定のなかにモニタリングの結果の賞罰の条項を盛り込む
      3. 社内のセキュリティマニュアル、手続き書、規約、権限分掌規定の変更
      4. セキュリティ機器の携行の義務付け、それに違反した場合の賞罰の評価を管理職に周知徹底。
      5. システム監査にかかわる規定を見直し、モニタリング結果およびモニタリグの実施状況の監査実施を規定する
      監査手続きと要点
      監査手続きの要点

       モニタリングの監査にあたってはコントロールの適切性、有効性の確認が要点となる。そのポイントを整理すると 次のとおりになる

      1. 監査結果が、モニタリングのコントロールにかかわるセキュリティの継続的につながるような監査助言を与えなければならない
      2. 監査助言の妥当性を担保すらるために十分な監査証跡を確保しなければならない
      3. 監査証跡が電子データの場合、可視的なものとして確保していなければならない
      4. 監査はモニタリングにかかわる規定等の文書の存在、コントロールの存在の確認をする必要がある
      5. 監査はモニタリングがコンプライアンス的にみて妥当な手段で行われていることを確認する必要がある
      監査手続き

       購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる

      1. 年間監査計画にもとづいて監査を実施する
      2. 監査にあたり経営者や品質管理責任者をインタビューする
      3. 監査に先立ち予備調査を実施する
      4. 予備調査にもとづき監査手続書、個別計画書を作成する
      5. 監査の本調査を実施する
      6. 監査証跡をもとにして監査報告書を作成する
      7. 監査報告書に被監査組織の捺印をもらう
      8. 不適合事項が発見された場合、フォローアップ監査を実施する



      投稿者 kato : 17:08

      2007年4月17日

      平成19年 システム監査技術者試験解答速報 午後Ⅱ 

      平成19年 システム監査技術者試験 午後Ⅱ 問2 解答例

      情報システムの調達
      A社の概要

       A社はインターネットで企業の受発注の斡旋を行う企業である。 A社が運営するBtoB向けWebサイト(以下BtoBサイト)には6000社の 企業が登録し、年間2000億円の受発注が行われている。
       A社は情報系大学院を卒業した社長と複数のエンジニアが創業し、 急激に成長した企業である。従業員数は50名に満たず、そのうち 技術職のメンバは15人しかいない。残りは営業職が大半である。

      情報システムの調達と目的

       A社は社内LANとインターネット系のシステム(DNS,Webサーバ, メールサーバ等)の2系列のシステムからなる。社内の業務系LANは 自社の機密情報などの関係もあることから自社のエンジンニアで 運用しているが、外部のインターネット系システムは社外から調達 している。その目的は以下のとおりである。

      1. Web系技術は進歩が早く新技術を的確に捉えて採用するため〔たとえばWeb2.0等〕
      2. ルーチン的に情報システムを運用する業務は外部に任せ、新ビジネスの開拓や顧客の獲得に専念するため
      3. インターネット系技術者の雇用、教育にかかるコストを削減するため
      情報システムの調達方法

       A社ではISO9000に基づいた業務システムをもっており、その購買 プロセスに準拠して購買が行われている。すなわち、(1)購買プロセスを 管理する手続き、規約、権限委譲が行われ文書化している。 (2)購買先を登録、評価、格付けする仕組みがある。(3)購買先の提供 サービスを検証する仕組みがある。(4)購買先のサービス内容とその見直し、 契約内容の変更プロセスがある。

      情報システムの調達リスクとコントロール
      情報システムプロセスの調達リスク

      (1)調達にかかわるITガバナンスが未達成
       ITは経営的目的、経営計画が目指す目標を達成できないといけない。しかし、 「購買先の格付け」「選定プロセス」が十分に機能していないと、当初計画していたサービス品質や サービス水準が達成できず、経営計画どおりの成果を達成できない。 例えばサーバ混雑時のスペック維持、Web2.0への移行への円滑度、SQLデータの移行容易性、 障害時の回復時間などのサービス水準が低いと、Webサーバ利用者の顧客満足が達成できなくなる。
      (2)継続的改善へのフィードバックの機能不全
       サービス品質の改善には、①購買計画値の数値化、②購買実施報告書での評価、 ③品質委員会による①と②の対比による購買品質の評価が十分行われないといけない。  これが機能不全に陥ると、継続的な購買品質の維持、改善が難しくなり、 高度化する顧客ニーズを吸収しきれなくなりクレームが多発する可能性がある。
      (3)重複的調達によるコスト超過の発生
       購買が複数のセクションごとに実施されると、①重複の購買が実施される、 ②集中購買によるコスト削減効果が期待できない、③購買の評価プロセスと 評価基準が異なるため経営者が意図しない購買品質となる可能性がある。この結果、購買の妥当性と コスト超過が発生する可能性がある。

      調達のコントロール

       購買リスクを回避するために次のようなコントロールが必要になる。

      1. 購買プロセスにかかわる文書(①購買マニュアル、②手続き書、③規約)が明確にされているか
      2. 購買担当者には十分と権限と責任が委譲されているか
      3. 購買計画は情報化計画書に基づいて起案されているか
      4. 購買されているか
      5. 購買先は適正な基準で評価・格付け・登録されているか
      6. 購買の実施計画の報告書は作成されているか
      7. 品質評価委員会は購買計画はされているか
      8. 品質評価委員会の結果は購買計画の改善に継続的に利用されているか
      監査手続きと要点
      監査手続きの要点

       購買プロセスの監査にあたっては調達の適切性、効率性確認が要点となる。そのポイントを整理すると 次のとおりになる。

      1. 購買自信の妥当性を経営計画書、情報計画書、情報システムの実態(リソースや運用計画の実態)とを比較検証 する必要がある
      2. 調達効率を高めるためには、購買先選定プロセスが重要となる。そのため、購買先の財務内容、経営状態、 第三者評価、過去の購買実績評価などを参考すべきである
      3. 購買先のプロセス成熟度(CMM)を参考にする必要がある。
      監査手続き

       購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる。

      1. 年間監査計画にもとづいて監査を実施する
      2. 監査にあたり経営者や品質管理責任者をインタビューする
      3. 監査に先立ち予備調査を実施する
      4. 予備調査にもとづき監査手続き書、個別計画書を作成する
      5. 監査の本調査を実施する
      6. 監査証跡をもとにして監査報告書を作成する
      7. 監査報告書に被監査組織の捺印をもらう
      8. 不適合事項が発見された場合、フォローアップ監査を実施する



      投稿者 admin : 10:06

      2007年4月16日

      平成19年 システム監査技術者試験解答速報 午後Ⅱ 

      平成19年 システム監査技術者試験 午後II 問1 解答例

      監査対象の概要と監査目的
      監査対象の概要
       A社はインターネットで日用品を販売している雑貨関連の企業である。 インターネットにおける通信販売の業務概要は、Webサーバを持ち商品 約1,000品目を公開する。購入希望者はWebサーバを閲覧して商品購入する。 購入希望者の情報は顧客データベースに登録される。また受注希望はSSLで 暗号化されて受注担当者に到達する。受注担当者は受注内容を確認して 商品を発送する。
       A社における売上においてこの通信販売業務は売上の45%を占めるように なっており、もはや基幹業務としての位置づけとなり、経営者は経営計画で 来年度の全売上に対して50%以上の売上獲得を目標とすることを計画していた。
      監査目的
       A社経営者は、インターネットにおける通信販売の業務の急くキュリティ 機能について、次のような考えを持っている
      1. Webサーバによる通信販売の有効性は保たれているか
      2. Webサーバ、メールサーバ等の安全性は保たれているか
      3. 個人情報保護体制の確保は適切に行われているか
       そこで、以上のことを確認するために、第三者の専門的機関にシステム監査 を依頼した。依頼目的は次のとおりである。
      1. Webサーバによる通信販売の有効性をヒット数と購買率及び客動線管理 の観点で監査する
      2. Webサーバ、メールサーバ等の安全性をセキュリティの予防、処置、 是正体制の存在、運用、継続的改善の観点で監査する
      3. 個人情報保護体制の確保について、今回は特にアクセスコントロールの 観点で監査する
       ここで重要なことは、セキュリティ機能も大変重要であるがシステム監査の結果が A社の通信販売ビジネスに効果的であることが求められる。
      IT監査技法と監査手続き
      IT監査技法
       監査の個別計画書によると、監査に利用するIT監査技法は次のとおりである。
      1. Webサーバによる通信販売の有効性を監査するために、Webサーバのアクセスログ 提供サービスを利用する。
      2. Webサーバ、メールサーバ等の安全性のセキュリティを監査するために 外部に公表しているサーバ群及びファイアウォールのアクセスログを 利用する。また、外部からの攻撃に対する強度を測定するためにぺネトレーション テストを実施する。
      3. 顧客データベースのアクセスコントロールの観点で監査するために、DBMSの セキュリティ機能の点検を行うためDBMSのユーティリティ機能を利用する
       この監査を円滑に実施するために次のような手段を講じた。
      1. Webサーバ上のコンテンツにCGI(Common Gatewa Interface)をスクリプトとして 挿入しておき、アクセスログがビジュアルに表示されるようにしておいた。
      2. Webサーバ、メールサーバ等のぺネトレーションを円滑に実施するために、 パスワードに対して辞書攻撃やDOS攻撃をテスト的に行うためのテストツールを 用意した。
      3. 顧客データベースのDBMSのユーティリティ機能を利用して得られた結果を 集計する監査ソフトウェアを導入した。
      監査手続き
       以下の手順で監査を実施する。
      (1)年間監査計画に基づき個別監査計画を行うとともに経営者を訪問し、 監査の意図や目的の理解を行う。
      (2)予備調査:被監査組織の情報システム、組織概要を監査するために、 組織図、経営計画書、情報システム概要図、業務マニュアル、セキュリティ マニュアルを入手して、査読する。
      (3)監査手続き書の作成:(2)に基づいて監査手続き書を作成する。 監査漏れのないようにチェックリスト等を用意する。
      (4)監査(本調査):現場に赴き、組織関係者にインタビューを行うと ともに計画されている文書や伝票の存在、コントロールの存在を確認して 証拠を採取して監査調書を作成する。
      (5)報告:監査調書に基づき監査報告書を作成し、上司の承認を得るとともに 顧客の捺印と合意を得て被監査組織の上長に提出する。
      (6)フォローアップ監査:監査結果に基づき点検事項を整理して不適合事項が 是正されているかを1ヵ月後に点検する。
      IT監査の留意点
      留意点の概要
       以下の点で留意が必要である。
      1. 顧客に対して、IT監査ツールを利用する旨の計画書の作成と合意
      2. ITツールの利用について監査組織のなかで、監査ツールの特性や被監査システムに与える 影響度を理解し、事前に教育及び訓練、監査組織内での事前テストを実施しておく必要がある。
      3. 事前テストの結果を整理、評価して、IT監査ツールの問題点を理解しておく必要がある。
      4. 監査手続き書のなかでIT監査ツールの取り扱い注意事項、取り扱い規約、 取り扱いマニュアルを整備しておく必要がある
       監査手続き書のなかに特に以下の内容を銘記しておく必要がある。
      1. 顧客から与えられたパスワード、ID等の取り扱いと有効期限の確認
      2. IT監査ツールの利用目的の確認と利用記録の整備、上司の許可、承認の 確認
      3. IT利用ツールの利用権限者への利用資格の付与と利用後の資格解除の 手続き及び記録の採取



      投稿者 kato : 07:02

      2007年2月18日

      システム監査試験小論文設問ア後半部の書き方

      システム監査技術者試験小論文 設問ア後半部

       ある読者の方からご質問をいただきました。設問アの後半部への準備をどうしたらよいのかという 内容です。
      設問アの前半部は事前に準備することはできるのですが、設問アの後半部はその場に適合して 書かなければならないの準備が難しいのでしょう。

      設問ア後半部で問われる内容

       H18年試験の内容などをもとに考えると設問アの内容は次のように大別されそうです。
      1. 監査の目的、監査の概要
      2. 業務特性、業務的リスクの特徴
      3. リスクの影響
      4. 情報システムに期待される効果
      設問ア後半部への対応策
       上記のような出題がされた場合、おおよそ次のような対応がよいと思われます。
      1. 監査目的は①潜在的リスクへの対応、②顕在的リスクへの対応を考える
      2. 監査概要はシステム監査基準やシステム管理基準等に準拠して書けばよい
      3. リスクへの影響は①社内外への被害、②二次被害、③経済的被害、④信用等の定性的被害、⑤社会的影響を重大な順で 400字以内で考察するとよいでしょう
      4. 情報システムに期待される効果は情報戦略に立ち返り、情報システムの構築目的を書けば良い
       以上のことを考えると、やっかいなのが業務特性、業務的リスクの特徴リスクの影響である。そこでリスクについて整理して考えてみる。
      リスク要因の整理
      1. 文書管理上のリスク:視認性、紛失、複写、盗聴、誤謬
      2. 法的リスク:コンプライアンス違反、法的改廃、規制
      3. 業務的リスク:誤謬、業務の無駄、ムラ・無理、作業忘れ、版(ファイル等)の間違い
      4. 情報システム的リスク:障害、災害、不正アクセス、ウィルス等
      5. 情業務特性:風評被害、業界慣習、業界的財務特性など
      システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



      投稿者 kato : 21:47

      2006年12月 4日

      情報処理技術者試験、技能習熟度判定へ

      情報処理技術者試験改正へ

       情報処理技術者試験が来年度見直されて新制度が提唱されています。暫くはその情報を 流してゆきたいと思っています。

      改正の骨子

       同試験の改正の骨子は以下の通りです。

      • 合格か不合格かの判定から技能レベル判定試験へ
      • 技能と給与待遇の整備を企業へ推進
      • 情報処理技術者のモチベーション向上に期待
      • この結果、IT技術者の質・量の改善を図る
      新試験制度の人事体制への影響とキャリアについて
      高い評価の情報処理技術者、転職、就職にも有利

       2006年10月末の情報では情報処理技術者の有効求人倍率はパートを除いて3.9倍だそうです。 これがシステム開発の遅れにつながったり、システム障害への要因となっているケースもあるということで 人手不足は深刻な要因です。

      ※出所:日本経済新聞新聞2006年11月2日 「資格別に習熟度判定」

      システム監査技術者試験、小論文指導は(有)アイリンクコンサルタントへ




      投稿者 kato : 08:42

      2006年11月 3日

      キャリア形成の順序と会計的知識について

      比較的年齢の若い方のキャリア形成について

       20代の大学を出たばかりのSEOの方からキャリアアップについてのご質問をうけました。概要は次のような内容です。

      ご質問の内容

      1. システム監査を目標資格として受験しようと思っている。
      2. しかし、システムアナリストにも目移りがする(魅力的だ)
      3. どうやら、両方の科目には会計科目の習得が必要そうだ
      4. どの程度会計を深く勉強したらよいだろうか
      5. ちなみに友人は日商簿記の1級を取得した

      結論

      1. システム監査を受験する場合、IT的素養と会計的素養が必要
      2. IT的素養の確保のために、基本情報処理技術者等の資格はあって邪魔にならない
      3. システム監査合格のためには可能であれば、日商簿記2級程度の会計的知識がほしい
      4. 要は、会社会計の知識が必要ということで、日商簿記1級は必ずしも必要ではない

      システム監査を受験するか、システムアナリストを受験するか お悩みの方はこちらをごらんください

      。人の性格の向き不向きがありますから、よく試験の内容を確認されることです。
      自分のキャリア形成の順序について

      参考までに自分のキャリア形成の過程を示します。

      時期

      資格名称

      備考

      昭和58年3月~10月

      日商簿記3級、2級

      スクーリングすれば半年で習得可能です

      昭和59年8月

      税理士財務諸表論

      簿記を始めて1年で取得できました。

      昭和60年8月~10月

      税理士簿記論・二種情報

      旧基本情報に関する資格です。

      昭和63年

      一種情報処理

      税理士試験を断念、清算しました。

      平成元年

      中小企業診断士一次試験

      3ヶ月の勉強で合格しました。会計の知識・一種合格の科目免除がいきました。

      平成2年

      中小企業診断士二次試験

      勉強を開始して1.5年で合格です

      平成6年

      システムアナリスト試験

      情報診断士の力量で、ほとんど勉強しないで初回合格です

      平成8年

      上級シスアド

      システムアナリストの力量で、ほとんど勉強しないで初回合格です

      平成13年

      情報セキュリティ

      ISO17799を勉強していたため、なんとか初回合格です

      平成15年

      プロジェクトマネージャ

      実務ではなんとか対応していたのですが、PMBOKを勉強しなおしたのが正解でした

      平成16年

      システム監査

      システム監査基準を暗記して合格しました。苦労しました

      自分はなぜ独学で試験に合格できたか
      1. 会計に関する深い知識を持ち、それを他の試験に応答したから
      2. ITに関する基本理論をソフト、ハードともしっかりと学習したから
      3. 学んだ知識を大学院等に通って、ブラッシュアップしたから
      4. 関連する資格を順に取得してゆき、試験の仕組みをよく理解したから

       国家試験の場合、試験を作った段階から合格させたい人材像がすでにあるので、それに沿って 受験勉強してゆくことが合格の近道です。

      システム監査小論文試験専門の教育は アイリンクコンサルタントです。

      若い皆さんのご検討をお祈りします



      投稿者 kato : 10:58

      2006年8月29日

      公認システム監査人制度について

      公認システム監査人制度について

      ヒロセさん

       元講座受講生でシステム監査技術者試験合格者ある「ヒロセ」さんから質問状をいただきました。 皆さんにも通用する内容なので、公開質問とさせていただきたいと思います。

       '公認システム監査人制度’についてですが、私はシステム監査の実務経験はありませんが、 ISMSの事務局に在籍し、システム監査とは裏腹な仕事についております。 せっかく取得した資格なので、実践的な知識を身に付けたいと、 ネットを調べているうちに、上記認定制度のあることを知りました。 他にも似たような団体があり、どれがいいのか迷っております。維持するための費用等も含めアドバイスを いただければ幸いです

      公認システム監査人制度
      公認システム監査人制度の背景

      システム監査を所管している経済産業省の中にある 産業構造審議会情報産業部会情報化人材対策小委員会 が平成11年6月の中間報告で次のような答申を出したのです。

      この観点から、従来より実施している情報処理技術者試験(システム監査技術者試験)に合格した上で、 一定の有効な実務経験を積んだことを確認することにより、 システム監査人として認定する制度の創設を検討する。

      1. システム監査人がユーザの信頼を得るためには、単なる知識等に習熟するのみならず、実践的監査経験を積むことが重要
      2. システム監査技術者試験に合格した上で、一定の有効な実務経験を積んだことを確認することにより
      3. システム監査人として認定する制度の創設を検討する

      要点としては、システム監査技術者試験合格者は、素養があること は認めるけれど、監査の実務経験が少ないだろう。よって、一定の 教育を受講した人を「公認システム監査人」として認めましょう という訳です。

      認定資格・申請条件について

       特定非営利活動法人日本システム監査人協会が発表する 公認システム監査人(Certified Systems Auditor:CSA)」および 「システム監査人補(Associate Systems Auditor:ASA)」を認定する ための条件は次のとおりです。


      申請のための前提条件
      1. 経済産業省が実施するシステム監査技術者(旧情報処理システム監査技術者)試験に合格していること
      2. 特別認定制度に基づく特別認定講習の修了により、上記試験の合格者と同様に取り扱う者

      システム監査合格者であるヒロセさんは申請の要件を既に満たしています。 それ以外にも特認講習を受けることのできる方は次の資格をお持ちの方です。


      特認講習を受けることのできる人
      1. 情報処理技術者試験AN,PM,AE,SD,SS
      2. 技術士(情報工学部門・旧情報処理部門を含む)
      3. 中小企業診断士(平成13年からの新制度の診断士全部、および旧制度の情報部門合格者
      4. ITコーディネータ
      5. CISA
      6. 公認会計士(補を除く)

      その他の条件と認定手数料

      公認システム監査人の申請者は、申請前直近6年間のシステム 監査実務経験(実務経験みなし期間)が2年以上あること。


      認定手数料
      1. 公認システム監査人が21,000円
      2. システム監査人補が10,500円とする。

       認定手数料は、いずれも消費税込みです。
      募集は年二回(春、秋)。募集は春期2~3月、秋期8~9月。審査、面接を経て認定となります。
      公認システム監査人制度認定取得の損得

      公認システム監査人制度認定取得の損得は次のとおりです。


      公認システム監査人制度認定取得の利点
      1. 「公認システム監査人」は、継続的に学習することを義務付けられているので研修受講によるブラッシュアップ
      2. 資格取得による自信と顧客の信頼アップ
      3. 午後Iで出題されている問題解決技術
      公認システム監査人制度認定取得の欠点
      1. 認定手数料がかかる
      2. ブラッシュアップのセミナ費用がかかる
      3. 情報処理技術者試験よりも認知度が低い

       要は、既にシステム監査の資格を持っているヒロセさんの場合、 新たにコストをかけて類似する資格を取得する費用対効果が望めるかが 要点です。

      ヒロセさんへの助言

      以上のことを踏まえてヒロセさんの今後の実務能力強化を目指して助言を 行わせていただきます。もっと、具体的に言わせていただきますと、より良い システム監査人としての人生を歩まれるための要点は次のとおりです。

      1. 会計にかかわる資格が欲しい:具体的には日商簿記2級以上
      2.   
      3. 経営に関する資格が欲しい:中小企業診断士一次試験
      4. ITセキュリティに関する資格が欲しい:情報セキュリティ
      5. 経営法務関連する知識が欲しい:中小企業診断士一次試験
      6. その他の知識:個人情報保護法(JIS X15001)
      7. 監査実務:ISO9001審査員補

      システム監査とは直接は関係ありませんが、自分が監査実務を知ったのは ISO9000です。ISO9000審査員の行動様式を見て、監査人としての手続き、 報告書の書き方、監査指摘の仕方、フォローアップの仕方を学びました。

      公認情報システム監査人は比較的安価なセミナーのようです。従って、認定を 受けて継続的にブラッシュアップをするのも有効です。合わせて、上記のような 監査人として知っているべき周辺知識を学ばれることも監査人としての芸域を獲得するために 重要な要素と思われます。



      『資格から考える「システム監査人材」の育成と活用 』
      http://www.atmarkit.co.jp/fbiz/cstaff/complete/audit/01.html
      有限会社ビジネス情報コンサルティング 小野 修一 2004/7/15

      『公認システム監査人の認定講習』
      http://www.asapjapan.com/sub4.html

      プロジェクトマネージャ試験・小論文支援は、
      (c)(有)アイ・リンク・コンサルタント 加藤忠宏



      投稿者 kitta : 10:39

      2006年6月20日

      会計データの電磁記録に関連するリスクについて

      文書の電子化リスクについて

      読者の方からご質問をいただきました

      H18年システム監査、午後II試験問題選択は問2の”文書類の電子化とシステム監査”でした。 全体的には無難に論述出来たのですが、設問イの”文書化において想定したリスクについての法的要件と ビジネス要件の違いについて”が明確でなかったように思えます。
       さて質問ですが、上記の法的要件における文書の電子化のリスクについて、 具体的にはどのような内容を記載すれば、良いのでしょうか。設問ウを視野にいれるとシステム管理基準の部分からとってくると推測はされるのですが。  ご多忙のところ恐縮ですがご回答のほどよろしくお願い致します。

      お答えします
      まずは問題文、前段を読んでみる
       

      問題文を読むと、次のリスクに留意すべきということがわかります。

            
      1. 電子文書の完全性が損なわれるリスク
      2.   
      3. 電子文書の機密性が損なわれるリスク
      4.   
      5. 電子文書の見読性が損なわれるリスク
       

      電子データを会計データと仮定して法的要件(株式会社の監査等に関する商法の特例に関する法律)に当てはめてみましょう。

            
      1. 第1条の1 重要財産委員会の議事録が電磁記録で作られている場合、遅滞なく取締役会に報告しなければならない
      2.   
      3. 会計データは商法でも定める閲覧権限者以外から適切に防御されなければならない
      4.   
      5. 第7条 会計監査を実施する場合、会計士は経営者に対して電磁的記録の閲覧を求めることができる
       

      このように電磁的会計データの法的要件を捉えてゆくとよいでしょう。

      法的リスクの例

       電磁的会計データの法的リスクを次のように論述するとよいでしょう。

            
      1. 電磁データが誤謬などにより完全性が損なわれ、利害関係者の判断を誤らせること
      2.   
      3. 会計データの電磁記録が、アクセス権限のないものでもアクセスが可能であること
      4.   
      5. 電磁記録が喪失し、会計監査、マネジメントレビューが実施できない

       お役に立てましたでしょうか。


      参考:会計法規集 中央経済社編

      (c)有限会社アイ・リンク・コンサルタント




      投稿者 kato : 23:22

      2006年6月 1日

      日本版SOX法についての基礎講座

      日本版SOX法についての基礎講座

       最近、会計ソフトのコマーシャルでも話題となっている日本版SOX法について整理しておきたいと思います。
      SOX法の起源、概要
      SOX法とは

       SOX(Sarbanes Oxley Act)法は企業改革法と訳されて、米国で上場企業に適用されるディスクローズ、内部統制に関連する法律です。
      SOX法に違反する経営者には刑事的罰則があたえられるなど強行性も高く、外国企業でも米国証券取引所に上場している企業にも適用されるなど 海外進出している企業には脅威となっている。また日本版SOX法の施行も検討されていて今後の動向が注目されている。

      SOX法導入の背景

         米国ではエンロン破綻などの上場企業の会計的不正が2000年相次いだ。また、日本でもライブドア事件などの会計にまつわる事件が発生している。 だから、企業の内部統制力を強化する必要性に迫られた。

      SOX法導入時期(推定)

         日米のSOX法導入時期は以下のとおりである。

      • 米国 2002年7月末成立 
      • 日本 2008年3月末成立予定
      日本企業のSOX法対応の留意点

         日本企業のSOX法対応の留意点は以下のとおりである。

      • 米国進出企業:2006年7月15日までに米国SOX法への対応
      • 日本国内:2008年3月末成立予定の日本版SOX法への対応
      米国版SOX法の構成

       米国版SOX法は全11章69条の構成となっている。

      1. 公開会社会計監視委員会(Public Company Accounting Oversight Board:PCAOB)
      2. 監査人の独立
      3. 会社の責任
      4. 財務ディスクロージャの強化
      5. 証券アナリストの利益相反
      6. 証券取引委員会の財源と権限
      7. 調査及び報告
      8. 2002年企業不正及び刑事的不正行為説明責任(Corporate and Criminal Fraud Accountability Act of 2002)
      9. ホワイトカラー犯罪に対する強化
      10. 法人税申告書
      11. 企業不正及び説明責任

       米国版SOX法は概要として、①監査人の独立性(日本の場合、会計監査が妥協の産物となっている事例がある)、②会社の責任 (投資家や利害関係者に対する責任)、③財務ディスクローズ(財務諸表の真実性)の強化、④ホワイトカラー 犯罪のへの罰則規定、⑤内部告発者の保護などが盛り込まれている。

      財務ディスクローズと経営者の責任

       SOX法では、経営者に対して①年次報告書の真実性、完全性、適切性に関する証明書提出を求めている。②企業の財務報告の内部統制の有効性について の評価を要求している、③独立した監査人による財務報告の内部統制の監査を求めている。
       これに違反すると5年~20年の禁固刑という刑事罰が設定されている。

      内部統制のフレームワーク
      COSOフレームワークとは

       米国版SOX法では、内部統制を強化するためにCOSO(COSO:the Committee of Sponsoring Organization of the Treadway Commission:米国のトレッドウェイ委員会組織委員会) が1992年に提唱したフレームワークがデファクトスタンダードとなっている。 

      COSOフレームワークの狙い

         COSOフレームワークの狙いは次のとおりです。

      • 業務の有効性と効率性の確保
      • 財務報告の信頼性の確保
      • コンプライアンス
      COSOの活動

       上記の目的を達成するために、次のような活動を行います。

      • モニタリング(監視)
      • 情報の伝達
      • 統制活動(コントロール)
      • リスク評価
      • 統制環境の整備

       実務的にも、プロジェクトの一時停止や差し戻し及び打ち切りは良くある話である。

      内部統制環境の整備のためのIT基盤整備計画

       COSOの示すような内部統制環境やコントロールを実現するためのIT的要求項目として、ITインフラに対して 次のような基盤整備計画が必要となります。

      • アーキテクチャールールの確立
      • アーキテクチャモデルの整備
      • インフラの標準の整備
      • システム管理ルールの確立
      • アーキテクチャ管理プロセスの確立

       これらのIT基盤整備計画に従い、システム設計や開発、運用を実施する必要があります。このために、 ITには次のような自動化対策を組み込んでおくとよいでしょう。

      1. ユーザIDなどのアカウントの自動管理機能
      2. ITコンプライアンス自動検知機能
      3. ログ監視機能
      4. 上記内容について、監査証跡の確保機能
      情報処理技術者試験への影響

       システムアナリスト、システム監査、プロジェクトマネージャ試験において、午前で出題される可能性があります。この他、考えられる 内容について列挙します

      1. システムアナリスト:IT基盤整備計画、中長期計画などの小論文テーマとしての出題
      2. システム監査:SOX法対応のITコンプライアンス自動検知機能、ログ監視機能、監査証跡の確保機能についてのコントロール強化に関する小論文出題
      参考文献

       以下の論文を参考にしました。

      • 「日本版SOX法遵守に向けたシステム全体の体系を考える」高橋可祝,日経コンピュータ2006.03.20 P204~207
      • 「サーベンス・オクスリー法」KPMG Japan,ビジネスキーワード
      • 「迫り来る日本版SOX法、IT統制の準備はOK!」坪内郁栄、@IT情報マネジメント

      ※(c)(有)アイ・リンク・コンサルタント 加藤忠宏




      投稿者 suzuki : 09:34

      2006年4月24日

      2006(平成18)年度システム監査試験 午後Ⅰ問4解答速報

      午後Ⅰ 問4

      設問1

      (1)災害対応要員の選定に担当業務や経験年数が考慮されていない。
      (2)復旧作業時の連絡手段は公衆電話回線利用のため災害時に混雑して利用できない。


      設問2

      (1)災害対応要員が全員集合できない、コンピュータセンタからデータが来ないことを前提にテストしていない点。
      (2)災害対応要員が手順書に沿って,公衆回線を使いながら切替えが可能かどうかテストしていない点。


      設問3

      (1)災害対応計画とイントラネットの公表内容の一致を確認し、関係者が差し替えた内容を理解しているかをヒアリングで確認する。

      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kitta : 11:40

      2006(平成18)年度システム監査試験 午後Ⅰ問3解答速報

      午後Ⅰ 問3

      設問1

      システム開発部においてユーザへの影響度が小さいと判断された場合、UATは省略される。


      設問2

      (1)③を放置した場合のリスク
       本番移行後、運用部のオペレーションが困難になる。障害発生時に仕様書が無いので対応が困難になる。
      (2)④を放置した場合のリスク
       システム開発部の開発担当者によって予告無く不正に改ざんされる可能性があり、その検出が困難である。


      設問3

      本番環境に対するアクセスログを精査し、本番環境に対するアカウントとパスワードを変更する。


      設問4

      修正中のプログラムが緊急変更された場合、一端隔離し、緊急変更を含めた対応が施されるまで本番移行しない。

      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kitta : 11:34

      2006(平成18)年度システム監査試験 午後Ⅰ問2解答速報

      午後Ⅰ 問2

      設問1

      (1)IDSのログ保管を従来の6ヶ月から1年に変更により、ログ保管に要する容量やコストが必要になる。
      (2)ファイアウォールやIDSのログをM社別に識別しなければならず管理コスト、報告コストがかかる。


      設問2

      (1)顧客に開示する内容は顧客の業務や契約と直接関係のある内容に限定する。
      (2)監査結果の開示に際して利用制限の契約を結び、複製・改ざんも制限する。


      設問3

      ISMSは国際標準の要求事項に対する文書化とその実行結果の審査である。従ってM社のような個別企業のSLAに対する内部の適合性を示すものではない。

      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kitta : 11:33

      2006(平成18)年度システム監査試験 午後Ⅰ問1解答速報

      午後Ⅰ 問1

      設問1

      (1)パッケージ販売先ユーザアンケートの収集に当たり利用目的を明示していない。
      (2)機器販売事業部と顧客サービス部では他部門と個人情報を無断で共有化している。


      設問2

      (1)機器販売事業部で収集した登録はがきを来訪者が通る廊下に放置しているため個人情報が漏洩する可能性がある。
      (2)ソフトウェア事業部で顧客貸与の個人情報のアクセスコントロールが無いため誰でも閲覧できる。


      設問3(変更:2006年5月9日) 

      (1)監査指摘事項
       ソフトウェア事業部が顧客から預かった個人データが個人情報として特定されていない。
      (2)考えられる問題点
       共有サーバで共有されているため目的外の閲覧利用が可能になり漏洩リスクがある。
      (3)改善策
       個人データを管理台帳に登録し、パスワード等でアクセスコントロールを実施し、使用後消去する。


      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kitta : 11:18

      2006年4月17日

      2006年(平成18年度)システム監査試験 午後Ⅱ問1解答速報

      問1 監査手続書の作成について 【解答例】

      1 システム監査の目的と概要と監査人の立場
      1.1 システム監査の目的と概要

      B社は学生用通信添削を実施する教育団体である。B社の大学受験教材は高い偏差値を受験する学生にとって バイブル的存在でありブランドも確立されている。

      1.1.1 監査の目的

      B社では顧客データベースに、会員である学生の出身高校、偏差値の推移、科目別添削情報、模試情報を 保有している。そして、その学生の合格大学、不合格大学とその偏差値、出題傾向と突合せ、独自の指導方針とその見直しを行い 高い合格率を生む教材の開発に努めている。  しかし、最近のセキュリティ事故の多発を受けて、B社ブランドと顧客のプライバシー保護すること、そして B社の事業の安定持続を目的としてB社経営者C氏は次のような通達を出した。

      1. 既存のセキュリティ方針や規定の有効性の検証が必要
      2. セキュリティ規定やマニュアルの実践状況の点検が必要
      3. 情報漏えい事故発生時の対応状況の点検が必要
      4. 顧客データベースの完全性、可用性、機密性の点検が必要
      5. コンプライアンス的検証が必要
      6. セキュリティ管理者指導下によるセキュリティマネジメントシステムの継続的改善の仕組み確立が必要

       その結果、B社の顧客データベースシステムのセキュリティマネジメントの監査が行われることになった。

      1.1.2 監査の概要
       

      監査の概要は次のとおりである。

      1. 経営者のヒアリング(監査ニーズの採取)
      2. 予備調査(被監査組織の実態の理解)
      3. 個別監査計画書、監査手続書の作成
      4. 本監査の実施
      5. 監査調書の作成
      6. 監査報告書の作成と組織の長であるC氏への報告・助言
      7. 3週間後のフォローアップ
      1.2 私の役割と立場

       私はB社とは第三者的立場にある、ITコンサルティング企業のシステム監査人である。私はB社とシステム監査に かかわる業務委託契約を受けて、B社の顧客データベースシステムを中心として同社のセキュリティマネジメント システムのシステム監査を実施して、助言する立場にある。


      2 監査手続書作成について
      2.1 レビューしたドキュメント

       監査手続書作成に当たってレビューしたドキュメントは次のとおりである

      1. 経営者のセキュリティ方針(社達)
      2. 機密管理規定、マニュアル、手続書
      3. 組織図、権限分掌規定
      4. システム構成図(ハード、ソフト)、ネットワーク構成図
      5. 建物の見取り図、配置図
      6. 文書管理規定、契約書雛形
      7. 協力会社組織、依頼手続き
      8. 関連法規、条例、規制等
      2.2 設定した監査項目と監査技法
      2.2.1 設定した監査項目
      1. セキュリティ方針達成のために必要な規定が可視化されているか、存在しているか
      2. 文書化されたコントロールが実現しているか
      3. セキュリティ関連の文書は適切に管理されているか
      4. コントロールが組織内に周知徹底されているか、教育されているか
      5. 組織内にコントロールの適切さを検証し継続的改善する仕組みが存在しているか
      6. 情報システムに対する完全性、可用性、機密性が保持されているか
      7. 情報システムに運営に当たって関係法規に準拠しているか。違反はないか
      8. 情報資源の管理にあたり協力会社は脅威になっていないか
      9. ファシリティ管理は適切か

       この監査項目ごとに詳細なチェック項目を作成し、チェックリストを作成した。

      2.2.2 監査技法の工夫

       上記のチェック項目について以下の監査技法に基づく監査を実施した。その上で、 ①組織の緊急性の高い項目(脆弱性や脅威)から監査する、②組織のセキュリティマネジメントシステムの 成熟度を理解しながら監査を行う、③データベースシステムのアクセスコントロールに重点をおいて監査する。

      1. 文書レビュー:コントロールの可視化、コントロールの存在定義確認
      2. 文書の照合:マニュアルと監査証跡との対比、マニュアルの保管維持状態の点検
      3. インタビュー:チェックリストと権限分掌規定に基づき関係各所のインタビューの実施
      4. 作業記録の収集、採取とレビュー:職務の分離、内部統制の妥当性の確認
      5. アクセスログの採取:DB,ネットワークに関するアクセスログの採取とレビュー
      6. 脆弱性検証ツールを使った仮想アタック:ネットワークの脆弱性の検証

       このうち特に、①顧客データベースの開発者と運用者および管理者が同一人物であるか、 ②セキュリティ、脆弱性への対応が最新技術に対応しているかが重要なポイントになる。

      3 効果と課題
      3.1 効果

       監査助言の結果次のような効果があった。

      1. 情報システム、特に顧客データベース運用にかかわる脆弱性が発見された
      2. 従業員教育と周知徹底に改善事項があることが発見された
      3. 協力会社のコントロールに課題があることがわかった
      4. B社が協力会社X社と調整し、X社のシステム監査権限を得た

       以上の事柄を踏まえて、経営者による見直し、あるいは現場から対処のための計画が打ち出され、 潜在的脅威について組織的にかつ計画的に対策を講じることができた。

      3.2 課題

         今回の課題は、「協力会社の監査権限」であった。B社は協力会社に対して、データベースの マスタ入力作業、成績入寮作業を委託している。このX社において、①原票の取り扱いが適切か、 ②電子情報の中間成果物の管理、作業後廃棄が適切かなどのB社主導システム監査を行うことが望ましい しかし、B社とX社との関係が請負関係なので、X社に業務裁量権があり監査の実現が難しかった。

      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kato : 23:54

      2006年4月16日

      2006年(平成18年)システム監査試験 午後II問3解答速報

      問3 情報漏えい事故計画の監査について【解答例】

      1 重大影響を及ぼす情報とその影響
      1.1 重大影響を及ぼす情報

      A社高齢者福祉用品のレンタル・販売を行う組織のフランチャイザーである。A社の参加には、 A者と契約しているフランチャイジーが全国に100社ほどあり、A社はそのフランチャイジーを統括し、レンタルに必要な 物品を適宜供給する役割を担っている。A者が取り扱っている情報で情報漏えいすると問題になる情報には次のようなものがある。

      1. 顧客獲得にかかわる営業マニュアル
      2. 顧客へのサービス業務マニュアル
      3. 従業員教育マニュアル
      4. フランチャイザー(顧客リスト)
      5. フランチャイズ契約書
      6. フランチャイジーの保有する顧客リスト
      7. 経営戦略計画書

       なお、フランチャイジーの保有する顧客リストはA社の所有ではないが、情報漏えいすると、A社ブランドに傷 がつくため、事実上A社情報として認識を行う。

      1.2 情報漏えいの影響
      1.2.1 事業機会の損失

       営業マニュアルや業務マニュアルなどのマニュアル及び手続きなどが漏洩すると、ライバル企業にA社の営業実態などを知られ、 類似サービスを展開され、A社の独自性、差別性が損なわれビジネスの競争優位性が失われる。

      1.2.2 信用の失墜

       フランチャイジーが保有する個人情報の漏洩が発生すると、例えそれがA社保有のそれでなくても、A社の社会的・同義的責任が問われ信用失墜し A社業績及び社会的評価に影響を及ぼすと共に、A社ブランドに傷がつくことになる。

      1.2.3 新事業計画の頓挫

       経営計画書などの重要文書が漏洩することによって、A社で開発中の新事業領域を他の企業に先着されたり、 参入障壁を設定されたり、事業妨害がある可能性がある。


      2 初期対応について
      2.1 初動の目的

       情報漏えい時における初動の目的は、おおよそ次の通りである。

      1. 情報漏えい時には迅速対応すること
      2. 原因究明を早期に行うこと
      3. 漏洩にかかわる被害の把握と被害範囲を迅速行うこと
      4. 二次災害を予防すること
      5. 被害者あるいは被害部署への情報開示を適切に行い信用回復すること
      2.2 事故対応計画に盛り込むべき初動対応項目

       情報漏えい発生時の事故対応計画書に盛り込むべき内容は次のとおりである。

      2.2.1 事故対応計画における組織体制
      1. 事故発生時の連絡窓口の確保
      2. 事故発生時の対策チームの配置
      3. 事故処理関係者の事故処理手順の確認
      4. 事故処理体制
      5. 関係連絡先の所在地や電話番号の記録、保存、整備
      2.2.2 事故対応計画における手続き
      1. 事故発生時の連絡窓口担当者の業務手続、証拠の保全
      2. 対策チームによる原因究明・対処手続き
      3. 漏洩した情報の回収責任部署の明示とその手続き
      4. 顧客のクレーム対応部署とその手続き
      5. 関係部署への連絡責任の明示と連絡手続き
      6. 情報漏洩の原因となったハード、ソフトの識別と隔離
      2.2.3 組織的周知と教育
      1. 事故発生時の対処責任者の任命
      2. 事故発生時の関連要員のリハーサルとその手法
      3. 組織全体のセキュリティ(初動)教育と訓練
      4. 関連部署の事故処理手続きの確認
      5. 手続きの際の教育計画について
      2.2.4 コンプライアンス(法的準拠)
      1. 関連する法規とその変更要綱の明確化
      2. アウトソーシングしている場合、事故発生時における契約に基づく処理の確保
      3. 訴訟に及ぶような重大な事故の発生時の法律専門家への窓口確保
      4. 個人情報保護法などの法規に準拠した手続きの存在の確立

      3 監査手続き
      3.1 要綱

       監査にあたっては、情報漏えい時における初動の目的をレビューしたうえで、 安全性、信頼性、有効性の観点から事故対応計画書の実効性を評価する。特に次の項目について 監査を実施する。

      1. 初動計画の中で、不正利用の証拠保全を確実に行っているか
      2. 初動計画の活動が二次被害の発生を未然に防止するとともに、是正、予防の基点となっているか
      3. 訴訟に備えた記録の収集と保管、維持が行われているか
      4. テストや訓練等の記録のレビューによる事故対応計画の有効性の確認が行われているか
      3.2 監査手順

         年度監査計画書に基づいて個別の監査計画を立案する。被監査部署に連絡を行いスケジューリングを 行ったうえで、予備調査を実施する。予備調査に基づき監査手続書を作成する。監査調書に基づいて 本監査を行う。本監査ではドキュメントの整備状況レビュー、計画運用状態のレビュー、監査証跡の確保を行う。 そのうえで監査調書を作成しその後、監査報告書を作成する。監査報告書の草稿を元に被監査部門と調整を行い、 被監査部門のサインを得て組織の長に提出する。

      以上

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kato : 22:13

      2006(平成18)年システム監査技術者試験
      午後Ⅱ小論文解答速報 総評

      2006年システム監査技術者試験 午後Ⅱ総評

      ■総評
      1. 例年になく実務的で平易なテーマが出題された
      2. e-文書法関連の問題が出題されるなど法規と関連性の高い問題も出題された
      3. 情報漏えいに関連する出題があった

      察するに、個人情報保護法などの関心の高まりから、最も親しみやすい問3を選択した受験者が多いのではないか。しかし、問題の平易さからゆくと、問1を選択した受験者が合格しやすいのではないか。


      ■小論文を書く上での留意事項

      それぞれの小論文を書く上で次の点に注意が必要である。

      • 問1:システム監査の手続きと監査技法を理解し、実務的な課題への対応策を示せなければならない
      • 問2:文書管理の規約、手続き、権限委譲に関する理解が必要である
      • 問3:情報漏えい事故によって発生する事態や影響について言及する必要がある

      ■難易度

      [難易度]★が多いほど難しい

      • 問1 ★★☆☆☆
      • 問2 ★★★★★
      • 問3 ★★★★☆

      [結論] 上記の難易度を決めた理由は次の通りである。

      • 問1 システム監査手続きが理解できていれば、半分合格したのも同然である
      • 問2 法的要件、ビジネス的要件に適合した監査を論ずることは大変難しい
      • 問3 個人情報漏洩だけに固執するとバランスの悪い論文になる。

      ■問題別、小論文戦略

       合格できるか、否かについての基準を示そう。

      問題 問題を必須条件 合格のための工夫
      問1 システム監査基準、手続きに関してしっかり暗記しているか 監査目的をしっかり定義できること。監査技法や項目を具体的に論述できること
      問2 電子化した文書名を明示できること、書面と比較したときのメリットデメリットをコスト、検索効率などの生産性の観点で論評できるか 証券取引法、e-文書法などの法的側面を考察した上で、リスクを明確に述べることができるか。経営戦略に基づくビジネス要件に適合した電子文書のリスクを示せるか。
      問3 個人情報漏洩に偏らずに論述できること。事故対応は、初動、原因究明、是正、予防対策を言及する必要がある 事業継続管理、クレーム対応などの手続きを事故対応計画に盛り込む必要がある。監査手続きは形式的な内容でよい

      ■2006年 システム監査解答速報目次に戻る



      投稿者 kato : 20:47

      2006年4月 2日

      システム監査試験、直前対策は基本に返れ!

      経営と内部統制

       意外にこんな問題が出題される可能性が強いと考えています。平凡ですが無視できない問題です。
      朝日新聞記事から「監視責任者情報盗む」

       朝日新聞を読んでいたら次のようなことが書かれていました。NTTデータの派遣社員、田中守容疑者が 派遣先の仙台銀行の顧客17人分のローンカードの暗証番号を盗み、偽造カードを作成し3100万円をATMから 引き出したそうです。田中容疑者はNTTデータのコンピュータセンターに勤務していた監視責任者であり、 出力プログラムを改ざんして暗証番号を含むローンカードデータを印字しカード偽造を行ったようです。
      上司には「プログラム改善作業中」と嘘の報告をした上で、入退室記録を指紋で行っていたようですが、 そのデータも改ざんしていました。
       NTTデータは地方銀行の勘定系システムでシェアが高く、銀行システムのアウトソーシング先として有名で その結果として業績を伸ばしてきた経緯があります。今回の事故でNTTデータに対する信頼が低下することが 予想されます。

      問題点の整理

       この事件の問題点を整理すると次のとおりとなります。

      1. コンピュータのセキュリティシステムは機能していた(ITの不備ではない)
      2. 上司は十分キャリアのある人材の派遣を受けて、監視業務を担当させていた
      3. 上司は偽りの報告を信用して業務を任せていた
      4. 田中容疑者は会社や上司の信頼を裏切って犯罪行為を行った
      5. しかし、結果として会社も信用を失い、組織的に上司も責任を問われることになろう
      6. しかし、組織業務はもともと人を信用しなければ成り立たないものである

       ポイントは①ITではなく人の問題であること、②組織は人を信用しなければ仕事は進められないこと、 ③にもかかわらず、一端、事件が起こると組織も上司も責任が問われること。


      コントロールの何が欠けていたのか

       恐らく、上司の不運を認めつつ、次のようなセキュリティコントロールが不足していたため、 今回の事件が発生したものと思われます。

      コントロールの不備
      1. カード作成が権限者であっても1人で作成できるルール、仕組みだったことが問題
      2. 田中容疑者の報告を鵜呑みにしていて、定期的点検を怠ったのではないか
      3. オペレータとプログラム改定者が同一人物だったのが問題

       人材不足の中小企業ではよくあることですが、大企業でオペレータとプログラマが同一人物という点に 疑問をもちました。

      内部統制コントロールのあるべき姿

       上記の教訓を踏まえて、本件のあるべき姿を申し述べます

      1. カードデータの作成、更新作業は複数の人間で実施すべき(内部統制 internal control)
      2. システムの定期的点検(本番データの改ざんの点検)
      3. オペレータとプログラム改定者が同一人物であってはならない(職務の分離)
      重要なことは

       整理していて気がついたことは、当たり前のコントロールができていなかったということです。 繰り返して言います。以下の点は旧制度の試験前からいわれていた重要なコントロールです

      • 内部統制(あるいは、内部けん制)
      • 定期的点検
      • 職務の分離

       直前対策、奇をてらうより基本に返れ!です。

      ※参考:朝日新聞2006年3月29日号NTTデータ「監視責任者情報盗む」

      ※(c)(有)アイ・リンク・コンサルタント 加藤忠宏




      投稿者 kato : 16:53

      2006年3月31日

      システム監査小論文執筆の心構えについて

      直前対策の進め方・受験準備の心構え

      AU試験も近くなってきました。そろそろ本気モードにならないとまずい気がするので、読者の皆様をご支援する目的で直前対策講座を実施します。
      システム監査基準の暗記の仕方
       システム監査試験では、システム監査基準の暗記が必須となります。そこで監査基準の暗記方法についてお教えします。
      1. システム監査基準とシステム管理基準はコピーしてスーツのポケットに入れておく
      2. 出勤時、客待ち時間、昼休み等の時間を利用して繰り返し暗記する
      3. 同基準のうち、システムの開発とシステムの保守・運用はあまり出題されないので除く
      システム監査・小論文執筆の心構えについて
       システム監査試験の小論文を執筆する上で重要な心構えをまとめておきます。
      1. 問題の選択にあたっては、システム監査基準に比較的準拠しやすいテーマの問題を選ぶ
      2. 個人情報保護法など話題の時事ねたにこだわらずに論文を書く
      3. 偏狭な経験や体験談は書かない
      4. 実務的におかしいと思っても、問題文の指定に則って書く
       1の理由は「監査基準が暗記できていれば、判を押したように書けるから(頭を使わないですむ)」、 2の理由は「試験出題者はおそらく皆が予測するテーマをはずしてくるから」「また、矮小なテーマに固執するのは危険」という理由。 3の理由は「システム監査試験は経験を問わない試験、物事の考え方を問う試験だから」である。 4については次の項で説明する。
      実務的におかしいと思っても、問題文の指定に則って書く
       ある方から次のようなご質問を受けました。
      質問の概要
       平成15年問1 保証型監査の問題で、監査証跡について触れるのはおかしい。保証型監査の書式に監査証跡を付けると書いていないから。
      問題文をよく読もう
       確かに、システム監査基準をみても、システム管理基準を見ても保証型監査で監査証跡を付けろとは書いていないから、一見すると 正しいように思います。でも、問題文をよく読んでほしい。上記の質問が正しくない理由を列挙します。
      1. 設問ウで「監査報告書を利用して内部監査を実施する場合」とある。
      2. ここから察するに保証型監査の結果を鵜呑みにして信用するのではないことがわかる
      3. 保証型監査の結果をうけて、それが正しいか検証する作業が入るということ
      4. 当然ながら、内部監査は保証型監査の結果が正しいか検証するので監査証跡が必要
      5. そうしないとなぜ、そのような結論に至ったかを証明できない
       また、上記の方の質問は次の点で課題があると思います。
      1. 保証型監査のガイドラインに固執して柔軟に論文の意図を考えていない
      2. ガイドラインはあくまでガイドライン。監査証跡を添付して悪いとは書いていない
      3. 論文の意図は保証型監査の後のこと(報告書を活用した事後監査)を主題としていることに気がついていない
      4. 決定的なことは、試験と実務とは違うことを理解していない
      5. 実務では仮に添付書類がなくても良いかもしれないけれども、試験では監査の能力があるか、あるいは、応用的問題への解決策が提示できるかなどが考査されることを理解していない
       要は、①自分がシステム監査人としての資質および知識があるか試されていることを自覚すること、 ②試験で監査基準にない内容も要求される場合があるので、適宜「自分の考え」で考察しなければならないことを知っているべきでしょう。
      (c)有限会社アイ・リンク・コンサルタント 加藤忠宏



      投稿者 kato : 14:47

      2006年3月24日

      まだまだ間に合うシステム監査直前対策

      今からでも間に合う、システム監査技術者試験

       システム監査技術者試験が3週間後に迫ってきました。しかし、SEの方は年度末で  勉強もままならない方もいらっしゃると思います。そこで直前対策コンテンツを作りましたのでご活用ください。

      基本的な考え方
      1. 最悪時間が無い人は直前3週間で合否が決まる
      2. 午後Iは時間との戦い、午後IIはシステム監査基準への準拠できるかが勝負
      3. だから、午前試験が得意な人は午後Iか午後IIの苦手な方を特訓する
      4. 繰り返しますがシステム監査基準の暗記は必須です
      残り三週間の時間の使い方
       直前対策のタイムスケジュールは以下のとおりです。
      日付 勉強内容 助言事項
      3/26~4/1 午前&システム監査基準の暗記 午前の過去問題を3年分といておいてください、そのなかから50%程度同じ問題が出題されます。また、システム監査基準の暗記もまだの方は始めてください。
      4/2~4/8 午後II小論文対策 過去問題を3問程度、論文として作成する訓練をしてください。時間が無ければ、小論文の問題文を読んで出題意図を把握した上で、こんな論文を書くと 頭の中で構想を寝るだけでも全然効果が違います。
      4/9~4/15 午後I記述式対策 スピードに乗って過去問題が正確に解けるか訓練しておいてください。4月15日の最終日は、試験用具のチェックと、午後Iの問題演習、システム監査 基準の暗記に時間を使ってください
      試験当日の留意事項
       試験当日の留意事項の考え方は以下のとおりです。
      試験区分 助言事項 理  由
      午前試験 午前マークシート試験50問のうち後半部20問程度、「経営」「標準化」「システム監査」の部分は配点が大きいことが 予想されるので、失点は命取りです。 IRT試験では、すべての問題に均等に配点が来るとは限らないからです。もっとも 監査人として重要な知識の部分に大きい配点がきます
      午後I記述式試験 とにかく90分すべての解答用紙を埋めることが肝心です。また、自分の過去の経験に捉われると題意の把握を見失うので 問題文に徹底的に寄り添う形で、素直な心で偏見無く問題に取り組む事が必要です。 この記述式試験は午後IIへの通過者を決める試験なので監査人として、読解力・即答力などを問うているからです。
      小論文試験 東証事故、個人情報保護法に山を張ると危険です。 当然、受験者が山を張ってくると試験委員も予測しています。したがって、まったくすかしてくるか、 逆に「東証事故もあったよね」と見せてきて別のことを聞いてくるようなケースも過去にありました。

      小論文で固執していけないのは個人情報保護法、東証事故です。このテーマに捉われると 問題の本質を見失います。恐らくそれがレベルの高いAランク、Bランクの受験者の最終的合否を決めることでしょう。
      解答速報は4月17日に開始します
       これからもシステム監査講座CDを宜しくお願いします。



      投稿者 kato : 09:41

      2006年3月12日

      2006年3月11日 速読法の是非

      システム監査 速読法についての回答

       読者の方からご質問をいただきました。
      読者の方からのご質問内容

      先生は沢山の資格をお持ちですが、速読法を習われたことはありますか。
      司法試験択一等では知識はあっても、大半の受験生は時間が足りなく 涙を呑むとのことです。
      早く読める能力は試験勉強の効率にも直結し、速読力が合否を 決するといっても過言ではないと思います。
      先生は速読訓練をされたことがありますか、又速読を学ばれたことはありますか、 巷の速読教室はどれほど資格試験に有効と考えますか。

      ご質問いただきまことに有難うございます
       良い質問ですから、公開回答いたします。恐らく同じようなお悩みの方が いらっしゃるのではないでしょうか。
      速読法の学習履歴について

       結論からいうとまったくありません。私のことだけをまず書くと 論文や記述になぜ強いか(ほとんど勉強したことが無い)ということについて 語ると次のような状況です。

      • もともと理科系でしたが現代国語は文系よりも強く、古典漢文も読んでいた
      • 子供の頃から全国誌(新聞の社説等)を読んでいた
      • 高校時代などの読書感想文では、前書きとあとがきなどを読んで感想文を書いていた
      • 中小企業診断士合格直後は1日に5誌新聞を読んでいた
      • いまでも出張には単行本を持ち歩きしている
      • たまった日経誌を束で持ち歩き、読み捨てている

       要は、特別な勉強は必要なく、普段から文章を読んでいれば読むのも早くなるし 正確になるのではないでしょうか。


      速読法の学習は有効かについて

       私の知っている人に、中小企業診断士の二次試験がながく合格できずに苦労した人がいます。 その方は、一流私大を卒業された文系の人でかつ他の国家資格も保有されているビジネスエリート です。中小企業診断士二次試験は80分で1つの企業の診断事例について記述式で解答するタイプの試験です。
       ちょうど情報処理技術者試験の午後Iに良く似ているのです。午後Iの問題は通常30分で処理しなければ ならないですが診断士は80分かけることができるので楽勝のように思われますが、人によってはそれすらも 苦しいということでしょう。

       このような方々をそとから観察していて、いくつかの特徴があるように思われます。失礼ながら そのような方々の特徴を書いてゆきたいと思います。

      • たぶん、遊びを知らない。(まじめすぎる)
      • 勉強はできるが・・・
      • ルーチンワークや法律のように固定された仕事はできるが・・・
      • まともな話や常識的な話はできるが・・・

       察するに、このような方は人の話や事例あるいは状況にあわせて、その場で的確に 対応することが苦手なのではないでしょうか。恐らく、国語力の問題も少しはあると 思いますが、たぶん、着想力や偏見無く相手の主張を受け入れる柔軟性に欠けるのでは ないかと思います。

      午後Iの対処について

       加藤のやり方に批判もあると思いますが、午後Iでスピードアップして速読し、 的確に解答するための心構えを書いておきましょう。

      • 偏見無く、事例を読む
      • 午後I問題を恐れない
      • 設問から先に読み、問題文のどこに該当する記述があるか探す
      • 接続詞「しかし」「また」などの言葉に注意する。
      • 記述式を解答する際に、良い文章を書こうとしないで、そのまま抜き書きを心がける
      重要なことは

       重要なことは、相手の主張に耳を傾ける。相手がどのように答えてほしいかを 直感で理解できるようにするということです。読もうと思ってはいけません。

      • 試験委員は答えてほしい答えを持っている
      • 午後Iはそれを掘り起こすのだと思えばよい
      • そのヒント探しのゲームだと思えばよい
      • 読まずに、感じる心を大切にする

       心を落ち着けて問題文を読んでください。

      ※(c)(有)アイ・リンク・コンサルタント 加藤忠宏




      投稿者 kato : 12:31

      2006年3月 5日

      システム監査試験 小論文の問題読み取り法

      システム監査 午後II小論文の読み取りについての回答

      読者の方からご質問をいただきました。

      読者の方からのご質問内容

      加藤先生
      先日は監査基準の暗記についてご回答いただきありがとうございました。大変参考になりました。
      さて、小論文の設問で使われている言葉(用語)について質問があります。 たとえば「監査の留意点」「監査のポイント」「考慮すべき点」などは たいして変わらないように思えるのですが、出題者は意図的にそれぞれの言葉を使い分けているのしょうか。 もしそうであれば、それを知らないと適切な論述ができないということになります。 設問でよく使われている用語の解釈についてお教えください。

      また、実務経験のない私が留意点やポイントなどを書く場合、監査基準や管理基準をもとに
      書くしかないのですが、なにかコツのようなもの、たとえば小論文合格講座にあるように、
      監査項目を列挙するときは「~しているか」や、リスク対策は「~する必要がある」調にするなど、
      何か書き方があるのでしょうか。

      お忙しい中恐れ入りますがご指導いただきたく、よろしくお願いします。

      ご質問いただきまことに有難うございます

      良い質問ですから、公開回答いたします。

      出題者の言葉の使い分けについて

       出題者の言葉の使い分けについては以下のように考えます。

      • 設問の「監査の留意点」等のみにとらわれてはいけない
      • 問題文前段の文章とセットにして考えるべきである

      平成16年問1の場合を例にあげましょう。

      [問題文前段] 利害関係者が監査報告書を適切に利用できるように、監査報告書の 開示内容を考慮しなければならない

      [設問ウ]内部監査人が、監査を実施する場合の留意点を具体的に述べよ。

      このような場合、監査実施の留意点とは次のようなものだと理解 しています

      • 監査の効率性から、内部監査人が次にどこを監査すべきなのかが良くわかるような監査結果を出すこと
      • その監査結果をベースに次の監査をやるのであるから、監査結果の信憑性が問われること
      • 監査結果の信憑性の保証をどのようにするかということ
      • 著者なら監査報告書に財務諸表の注釈のような項目を設け、読み手の誤解を避けるようなコメントや 証拠を添付する

       また、言葉の差異をあえて語ると次のようになると思います(あくまで参考に)。乱暴に かつ感覚的に述べると、以下のようなものだと思います。

      • 監査の留意点:監査を実施するうえでの配慮が必要な事柄
      • 監査のポイント:監査を実施するうえでどの点に着眼するか(look up)、 どのような内容や箇所を点検・監査するのか
      • 考慮すべき事柄:経営戦略への配慮、株主への配慮、監査への協力、 証拠の採取など監査に関連する環境
      実務経験のない人が留意点やポイントなどを書く場合

      良い意味での想像力が必要です。ここでいう想像力は次のような要点があります。

      • 基本的内容は抑える:監査計画書の作成、セキュリティマニュアルのレビュー、 経営者やセキュリティマネージャへのインタビューなど絶対やるべき内容から優先して書く
      • 被監査企業の特質を強調する:例として、ISO9000監査用の文書と実務マニュアルの2つの 品質システムを持つなど
      • 論点を絞り込む:SCMなどの話題が拡散しやすい全体システムへの論及を避けて、 Webの受注・発送・顧客管理などの局所的な業務システムへ論述を引き込む(書きやすい)
      • 監査への協力してもらう工夫:被監査組織に負担を掛けないようなアンケート等の 調査方法を書く
      • どこを注視しているかを明確に:採点者を楽にするために、どの文書を、どの 目的でレビューしたのかを書く

       基本的に監査経験が豊富な人は殆どいないから、安心して受験してください。

      ※(c)(有)アイ・リンク・コンサルタント 加藤忠宏




      投稿者 kato : 11:42

      2006年3月 3日

      AU試験合格講座会員の皆様へ
       2006年度試験模試リリース致しました。

      2006年度試験模試リリース致しました

      お世話になっております。
      (有)アイ・リンク・コンサルタントスタッフです。

      本日、CD会員の皆様専用のHP上にて、今年度システム監査技術者試験の模試(予想問題)のリリースを開始致しました。

      【今年度の模試問題】
      問1 ×××におけるITガバナンスのシステム監査について
      問2 情報システムを取り巻く×××を考慮したシステム監査について
      問3 保証型情報システム監査を実施する際の×××の確保について

      ※添削コースの方は、この模試を提出論文の問題としてお使いいただいても結構です。
      ※模試のリリースにつきましては、会員の皆様には別途メールでもお知らせしております。

      ご活用いただけましたら幸いです。




      投稿者 kitta : 19:05

      2006年2月17日

      AU試験合格講座 更新情報

      (有)アイ・リンク・コンサルタントスタッフです。
      AU試験合格講座ページの更新情報をお知らせ致します。




      是非ご活用ください。




      投稿者 kitta : 14:34

      2006年2月13日

      AU試験とシステム監査基準について

      AU試験とシステム監査基準について

      システム監査基準はバイブル

      システム監査技術者試験(AU試験)を受験するものにとって、 システム監査基準(以下監査基準)はバイブルである。監査基準を読んだ ことのないものはAU試験を受験しても九分九厘合格の見込みは無い。 このコンテンツではシステム管理基準はシステム監査基準に含めて考えている。

      生徒さんのご質問

      現在監査基準や管理基準の暗記に取り組んでいますが、 なかなかはかどらず少々あせってきました。 AU掲示板で2005年2月1日に加藤先生が管理基準の暗記について コメントされている「全部覚えようとせずに、最初と最後が重要です」 に興味があります。
      「最初と最後が重要」というのはどういうことでしょうか?ご教授ください。よろしくお願いします。

      暗記は試験の出題傾向にしたがって行う

       システム監査基準や情報セキュリティ基準等は膨大です。すべてを暗記するのでは 効率が悪いので出題傾向をみて、出題されやすい分野を覚えて、そうでない 分野ははしょるのが得策であろう。

      システム監査基準以外に暗記の必要なところ

       まず先に加藤がシステム監査基準で暗記した部分を述べると、①ISO17799の機密性、可用性、 完全性の定義の部分、②事業継続管理計画の部分。この部分は午後I,午後II試験に出題されて いるので覚えました。特にH15年試験午後Iでは有効でした。

      システム監査基準等で出題されにくいところ

       システム監査基準等のなかで「システム開発」に関わる部分は出題されにくいとおもいます。 以下にその理由を述べます。

      • 1.以前は「システム開発の監査」が出題されたけれど今はあまり出題されない
      • 2.キャリア体系図のなかでシステム監査が「開発系」「利用者系」ではなく、「独立」となっている

       そこで、システム開発以外のところを自分は集中的に覚えていったのです。


      システム監査基準で重要なところ

       システム監査基準やシステム管理基準で重要な点は次の通りです。

      • 1.システム管理基準前文の箇条書き部分
      • 2.システム管理基準 I 情報戦略
      • 3.システム管理基準 II 企画業務
      • 4.システム管理基準 V 保守業務
      • 5.システム管理基準 V 共通業務
      • 1.システム監査基準 前文の箇条書き部分
      • 2.システム監査基準 I システム監査の目的
      • 3.システム管理基準 II 一般基準
      • 4.システム管理基準 IV 実施基準
      • 5.システム管理基準 V 報告基準

       最低限でも、上記の部分は覚えておくことが望ましいとおもいます 。


      (c)(有)アイ・リンク・コンサルタント 加藤忠宏




      投稿者 kitta : 16:26

      2006年1月29日

      システム監査の品質保証について

      「システム監査の品質を確保し高めるための取り組み」について

      こっくんさんの質問の要旨

      設問ウの「システム監査の品質を確保し高めるための取り組み」で、 システム監査基準を列記しようと考えています。

      そこで質問です。
      システム監査基準(またはシステム管理基準)を記述する場合、 原文に忠実に書いたほうがベターですか。
      それともイのあたりに基づいて、相当アレンジしたほうがいいですか。 ”程度”を教えてください。

      結論

       「システム監査基準」「情報セキュリティ監査基準=報告書ガイドライン=」 を中心にすえつつ、不足している部分を他のスタンダードな規格で補うと良いでしょう。 まずは中心とすべき内容を列挙しておきましょう。

      旧システム監査基準のなかでの重要点
       

      システム監査基準のなかで重要な点を列挙します。使える部分は使いましょう

            
      • 1.II 用語の定義(2)システム監査人:次の知識及び能力を有し、システム監査に従事する もの①情報システムの基本知識、②システム監査の知識、③システム監査実施能力、④システム監査の実施 にあたっての関連知識
      •   
      • 2.V 一般基準 1体制:組織体はシステム監査が適切に実施できる体制 を整備すること

      これらは、監査の品質確保のために監査人に要求するべき資質や体制を論述するときに便利です。

      システム管理基準
       

      システム管理基準にも重要な項目が掲載されて入ります。これをシステム監査の品質確保に 応用すると良いでしょう。

            
      • 4.3 教育訓練
      •   
      • (1)教育訓練に関する計画やカリキュラムは人的資源管理の方針に基づいて作成、見直すこと
      •   
      • (2)教育訓練に関する計画やカリキュラムは技術の向上、業務知識の習得、情報システムの情報セキュリティ 確保から検討すること
      •   
      • (3)教育訓練は、計画やカリキュラムに基づいて定期的かつ効果的に行うこと
      •   
      • (4)要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと

      これらは、本来、被監査組織に適用すべきものですけれど、監査組織を監査する という観点で利用できます

      品質保証の国際規格

       ISO9000、品質保証の国際規格を引用すると次のようなことが書いてあります。

            
      • 4 品質マネジメントシステム 4.1 一般要求事項
      •   
      • 組織は、品質マネジメントシステムを確立し、文書化し、実施し、かつ、維持すること。その品質 マネジメントシステムの有効性を継続的に改善すること。
      •   
      • a)品質マネジメントシステム(Quality Management System)に必要な手続きを明確にすること。b)手順の順序と相互関係を明確にすること。
      •   
      • c)これら手順の運用、監視を支援するためのリソースや情報の利用を確実にすること、d)これらのプロセス を監視、測定、分析すること、e)継続的改善の仕組みを確保すること。

       QMSでは他にも重要なことを多くのべていますから、QMSの規格を一度、目を通すことをお勧めします。

       また、問題文の最後に「また、システム監査の品質確保の状況について、経営者や第三者 に明確に説明できるようにしておくことも大切である」とあるので、体系的な品質保証体制を 構築しておくことが必要でしょう。

       回答になっていますでしょうか。

      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 17:06

      2006年1月25日

      システム監査の小論文試験対策の準備

      システム監査基準の暗記が必要です

      読者の方からのご質問

        経済産業省が公表している新システム監査基準と新システム管理基準をダウンロードし、暗記をはじめたところです。
      基準を暗記する上で使うべき資料ですが、経済産業省が公表した新システム監査基準/新システム管理基準を暗記すればよいのでしょうか。
      暗記すべき基準の網羅性についてこれだけでよいのか不安に思っています。

      回答

      システム監査試験の小論文は、まず、システム監査基準の暗記と理解が必要です。 その理由は以下の通りです。

      • 1.監査は監査基準にしたがって実施されるから
      • 2.小論文試験の採点は監査基準の理解が考査されるから

        まず上記の考えは間違いではないとおもいますので自信を持って   取り組んでください。このほか、以下のものをお読みいただくことが重要です。

      システム監査基準で暗記すべき項目
          
      • 1.情報セキュリティ監査基準
      •   
      • 2.情報セキュリティ監査基準 実施基準ガイドライン
      •   
      • 3.情報セキュリティ監査基準 報告書基準ガイドライン
      では、健闘をお祈りします



      投稿者 kato : 12:53

      2006年1月24日

      保証型監査の報告書記載事項について

      利害関係者への開示を目的とした監査についての質問

      こっくんさんの質問の要旨

      平成16-1の「取引先など利害関係者・・・」について質問があります。
      加藤先生の論文作成例では、2.2.1基本記載項目で、「指摘事項」がなく、
      「改善勧告」としているのはなぜですか。
      『保障(保証だとおもいます ママ;加藤)型監査』という性格上、「改善勧告」はなじまず、
      逆に「指摘事項」を記述するほうが適切な気がするのですが。
      また利害関係者が安心して監査報告書を使用するためには
      監査報告書の作成者、作成日は盛り込むべき事項としては必要だと思うのですが、
      システム管理基準どおりとするのがいいのでしょうか?

      新システム監査基準等の記述

       議論を行う前に「システム監査基準」「情報セキュリティ監査基準=報告書ガイドライン=」 が述べている内容について吟味してゆこうと思います。

      システム監査基準
       

      システム監査基準のV.報告基準 3.監査報告書の記述事項では次のように述べて います。

            
      • 1.監査報告書のなかには、保証意見、助言意見を述べる
      •   
      • 2.指摘事項、改善勧告などを述べる
      情報セキュリティ監査基準=報告書ガイドライン=
       

      情報セキュリティ監査基準=報告書ガイドライン=については次のように述べて います。

            
      • 助言意見の表明:助言意見は欠陥の表明に留まらず、改善点提言する
      •   
      • 助言意見の留意事項:助言意見は継続的改善のために行われる。
      •   
      • 助言意見の留意事項:助言意見は保証意見との誤解を与えてはいけない

      つまり、以上のことから、助言意見と対比して考えるべきものは保証意見なのです。また、助言意見は指摘事項とセット と考えるべきでしょう

      保証型監査作成上の留意点

       保証型監査では、保証意見を述べるのですが、それには以下のものがあります。

            
      • 1.肯定意見
      •   
      • 2.限定的肯定意見
      •   
      • 3.否定意見

      保証型監査において、「肯定的意見の表明が困難であると判断される場合、助言型監査に切り替えることが できる」とあります。つまり、保証型監査で助言意見(改善勧告)を述べてはいけないということには なりません。

      結論

       加藤は以下のように考えます。

            
      • 1.保証型監査にも助言意見(改善勧告)があっても良い
      •   
      • 2.助言意見を書くときには、保証を与えたと誤解されるような書き方はいけない
      •   
      • 3.助言意見と指摘事項は対になっているもので、対比されるものではない
      •   
      • 4.報告書の作成日は通常、監査報告書に盛り込みます

       監査で、問題点を指摘し他のち改善勧告を与えるか、肯定意見を出して保証のお墨付きを 与えるかという流れで考えてよいとおもわれます。報告書作成日については、実務的にはご指摘のとおり、 記載することが妥当とおもわれます。ただし、小論文で書くかどうかは微妙で(恐らく書かないでも 合格できる)とおもわれます。

       回答になっていますでしょうか。

      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 00:51

      2006年1月22日

      予備調査と本調査との違いについての考察

      予備調査と本調査の差異について

      何処藁子さんの質問の要旨

      この予備調査と本調査の点検(整備と運用)の具体的な方法の境目がよくわかりません。
      ドキュメントレビューの場合、例えば機密性の監査での入退出管理のコントロールの妥当性は入退出の記録簿があり、記録されていることでコントロールの整備状況が確認できます。 では、運用状況の確認(本調査)ではやはり、入退出記録簿に都度記録されていることを点検するのでしょうか?
      あるいは現地調査での立会いで入退出があるまで待つのでしょうか?
      それとも予備調査の段階では記録簿の存在の確認までで、内容は本調査に譲り、見ないようにするのでしょうか? また、記録簿に記述されている内容はどこまでで信用できるのでしょうか?
      以上よろしくお願いいたします。

      予備調査と本調査との違い
      予備調査と本調査との目的の違い
       

      予備調査と本調査との違いを簡潔に表現すると次のとおりです。

            
      • 1.予備調査は被監査組織の概要を理解することを目的として行われる
      •   
      • 2.本調査はコントロールの実態の存在を確認することが重視される
      予備調査では何をするか

       監査人は予備調査では次のような行動をとります。

            
      • 1.予備調査ではセキュリティドキュメントを取り寄せレビューする
      •   
      • 2.予備調査では、組織図や組織規定などを入手しておおまかなコントロールの概要を理解しようとする
      •   
      • 3.情報システム構成図や部屋割り、ネットワーク構成図などのを入手する

       予備調査のポイントは、組織や情報システムの脆弱性やセキュリティシステムの 存在、セキュリティ管理項目の漏れを書類上からチェックしてゆくのです。

      監査の重点~どこまで踏み込むか~

       年間監査計画は組織の実態に即して行われます。例えば、まったくまっさらな組織。 つまり監査初回の組織では、セキュリティシステムの実態が存在しているのかがチェックされます。このように どの部分に重点的に監査すべきなのかは組織や、監査を受けた回数によって異なります。

            
      • 1.システム監査を踏み込む範囲、深さは異なる
      •   
      • 2.監査ごとに重視するチェック要点が異なる(目的が異なるから)
      •   
      • 3.本調査では、セキュリティドキュメントの示すコントロールの実態の存在がチェックされる
      機密性の監査での入退出管理のコントロールの妥当性
      予備調査

       加藤が監査をする場合、次のドキュメントを被監査組織に要求します。

            
      • 1.セキュリティマネジメントドキュメントをすべてレビュー
      •   
      • 2.その他、情報システム構成図、部屋割り、施錠状況等規約のレビュー
      •   
      • 3.1、2で発生するアウトプットドキュメントや証拠のドキュメント名のチェック

       重要なことは①入退室管理の脆弱性が組織に与える影響、②監査するドキュメントだけ でなく、どの人物にインタビューすると適切な監査ができるか、③書類上、定義されたセキュリティ コントロールに漏れがないかです。この点に注意します。

      本調査

       本調査では、監査効率を考えて次のような考えで行動します。

            
      • 1.事前準備としてチェックリストを用意する
      •   
      • 2.チェックリストに事前に監査するドキュメントと監査対象となる人物を抑えておく
      •   
      • 3.監査は、まず、ドキュメントどおりのコントロールの存在を確認する
      •   
      • 4.具体的には入退室管理マニュアルがすぐに出てくるか、それが周知されているか担当者へインタビューする
      •   
      • 5.現場に連れて行ってもらい、そのとおりのコントロール実体であるか調査する
      •   
      • 6.コントロールのアウトプットが存在するか、捺印等の存在があるか、 いわゆるめくら判でないかを確認する

       回答になっていますでしょうか。

      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 23:27

      2005年12月29日

      2005年12月29日 AU試験午後Iと午後IIとの対応について

      AU午後I対策 その2.0 =午後Iと午後IIの戦術=

      Mr.自信ゼロさんからの質問を感じたこと。
      この解説の前提条件

       この回答は、 自信ゼロさんの掲示板意見からヒントを受けて作られています。

      この記述の要旨
       

      この記述の要旨は次のとおりです。

            
      • 1.午後Iと午後IIのシステム監査基準への準拠度合い→ どの程度、準拠できれば合格するのか
      •   
      • 2.午後Iと午後IIの戦い方の基本→ どこを見て記述、論述の態度を決めているのか
      午後Iと午後IIの試験特性
      午後Iの試験特性

       午後I試験はどちらかというと、次のような試験上の意味合いを持って います。

            
      • 1.小論文を読むための枚数を減らして合格者の3倍程度に受験者を絞り込みたい
      •   
      • 2.システム監査の手続きの概要や基本的行動様式を理解しているかを考査したい
      •   
      • 3.事例に沿って、適切な監査を行う能力があるか考査したい
      午後IIの試験特性

       午後II試験はどちらかというと、次のような試験上の意味合いを持って います。

            
      • 1.システム監査の手続きの概要やシステム監査基準をしっかり理解しているかを考査したい
      •   
      • 2.システム監査を行ううえでの深い考えや問題意識、造詣をもっているか考査したい
      •   
      • 3.論述のテーマに沿って、適切な監査を行う能力があるか考査したい

       以上のことをまとめると次のようになります。

            
      • 午後Iは単なる足きりの道具、本番は午後II
      •   
      • 午後Iは、おぼろげな監査基準の理解でも合格できるが、午後IIはしっかり監査基準を 理解していないと合格は難しい
      •   
      • 午後Iは事例に寄り添うように解く、午後IIはテーマを理解し、監査基準に沿いつつ、自分の 考えを書く
      午後Iと午後IIの共通点と相違点
      相互の共通点

       午後I試験と午後II試験との共通点は次のとおりです。

            
      • 1.小論文にせよ、記述にせよ、テーマに沿って解答しないと合格できない
      •   
      • 2.そのためには、まず問題文の1行目の表題をチェックする
      •   
      • 3.H15年午後I問1は主題が「データセンタの運用のシステム監査」であるから、運用の監査以外のことを書くと 不合格になる。

       極端な話、主題が「データセンタの運用のシステム監査」なら、「企画」「開発」等の監査の話は 設問で聞かれない 限り解答してはいけない。

      相互の相違点=監査基準にどこまで準拠するのか=

       監査基準は重要ですが、あまり固執すると合格できないことがあります。

            
      • 1.午後IIでは、自分がしっかり監査基準をしっていることをアピールしたい
      •   
      • 2.監査意見を述べる根拠の監査証跡は、午後Iでは事例のなかに答えがあり、午後IIは 自分で論述する
      •   
      • 3.午後Iでは監査基準の知識の考査ウェイトは低い
      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 18:15

      2005年12月27日

      2005年12月27日 AU午後I対策その1.1

      AU午後I対策 その1.1 =システム管理手順と監査手続き=

      Mr.自信ゼロさんから、質問をお受けしました。
      この解説の前提条件

       この回答は、 自信ゼロさんへの回答の1回目の続編です。

      自信ゼロさんの次なる主張と質問内容の概要
       

      自信ゼロさんの質問の概要は次のとおりです。

            
      • 1.監査手続きとしてコントロールのレビューとして→ 帳票や伝票をレビューすればよいことが理解できた
      •   
      • 2.レビュー対象とレビュー漏れの見つけ方が不明→ この思考過程はシステム管理手順のどこに書かれているのか

       要は、午後Iの問題に対する直接的な質問ではなく、監査手続きのよりどころや根拠を 質問されていると私は理解しました。

      質問への回答
      システム管理基準には求める答えはない

       システム管理基準はどちらかというと、「システム監査のための チェックリスト」と考えると良い。だから、システム管理基準には、 監査手続きのヒントは少ない。すなわち、項目の集合であり、手続きの流れではない

      監査手続きのヒントはどこにあるのか

       監査手続きのヒントは情報セキュリティ監査基準に大雑把ですが 掲載されています。「情報セキュリティ監査基準」の実施基準です。 その該当部分を抜き出してみましょう。

      【情報セキュリティ監査基準】実施基準
            
      • 2.監査の実施
      •   
      • 2.1 監査証拠の入手と評価
      •   
      •  監査人は、監査計画に基づいて、適切かつ慎重に監査手続きを実施、 保証または助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、 評価しなければならない。

       しかし、これだけでは監査手続きの概要は理解できても詳細な理解は困難である。

      監査手続きのマナーはどうやって理解したか

       実は著者は、監査手続きの理解をISO9000の審査員補の資格取得の過程で習得した。 ISO9000は品質保証の手続きの監査であるが、監査を実施するという点ではシステム監査と 手続きは変わらない。以下にシステム監査手続きの規範を示す

      【システム監査手続きの規範】
            
      • (1)システム監査人は組織の行動規範を押さえにかかる: 具体的には情報セキュリティポリシや危機管理規定、手続きなどの規範をレビューする
      •   
      • (2)(1)のレビューした内容に基づいて監査すべき項目のチェックリストを作る: 具体的には、①被監査組織、②被監査対象(ソフト、ハード、人員など)、③入出力帳票
      •   
      • (3)(2)で対象を絞り込んだら、(1)の規範に基づいて適切に手続きが進行されているか 証拠を押さえにかかる。:具体的には申請書などの捺印が押されているのかをレビューする。

       すなわち監査とは、組織的にマニュアルどおりに行動しているのかを検証すること である。そのために、次の観点で監査を行う。

      【監査の重要な観点】
            
      • (1)組織の規範が存在するか
      •   
      • (2)規範どおしに矛盾がないか
      •   
      • (3)規範どおりに行動した証拠(帳票、伝票)が存在するか

       また、監査人の行動は、事前に立案した監査計画に束縛されることは いうまでもない。

      【本日の講義のまとめ】
            
      • (1)監査人は監査計画に基づいて行動する
      •   
      • (2)組織は規範に基づいて行動する
      •   
      • (3)監査人は監査計画に準拠して、組織と規範に矛盾がないかレビューする
      •   
      • (4)組織の行動の適切さは監査証跡によって裏付けられる
      •   
      • (5)監査人の行動の適切さは監査計画と照らし合わせて評価される
      •   
      • 結論:午後Iの問題を読むときは、監査計画書と組織規範に関する記述に注目せよ
      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 20:40

      2005年12月24日

      AU 午後I 講義その1

      AU午後I対策 その1.0 =設問から出題意図を理解する=

      まずは設問をみてみよう

       平成15年午後I問1設問1の設問を読むと次のような内容が書かれている。
       設問1 統制目標(1)の監査結果について、次の問いに答えよ。
       (1)監査手続きの実施内容から導いた結論には不適切な点がある。それを45字以内で述べよ。
       (2)統制目標(1)を立証する上で不足している監査手続きを45字以内で述べよ。

      解答に歩み寄る手順
      設問への正しい反応
       

      設問を読んだ後、何を考えるかが重要である。著者であれば、次のように考える。

            
      • 1.まず、統制目標(1)を読んでみる→サーバ室の入退室管理がテーマ
      •   
      • 2.統制目標(1)について、監査手続きの妥当性を吟味する
      監査手続きの妥当性の吟味はどのように行うのか

       設問1の(1)をみると、なにやら監査手続きに不備があるらしい。それはどのように 発見したらよいのだろうか。次のことを参考にして考えてみると良い。

      【監査手続きの不備の見つけ方】
            
      • 1."入退室管理"の管理手続きのある部分を読む
      •   
      • 2.その部分で実施されているコントロールがすべて監査されているかをチェック

       さて、"入退室管理"の管理手続きのある部分を読むのは良いとして、 そこで実施されているコントロールはどのようにチェックしたらよいだろうか。

      コントロールは帳票、伝票をレビューする

       もっとも、抑えやすいのが、監査証跡となる 帳票や伝票だ。これらをしっかり監査人が抑えているかを見ていって、抑えていない部分が 監査手続きに不備があるといえる。平成15年の問題を見てみよう

      【入退室管理のコントロール】 ○が監査で確認事項
            
      • (1)作業者は「作業申請書」を作成しセンタ長へ申請する ○
      •   
      • (2)センタ長は「作業申請書」の内容を確認して押印して返却する ○
      •   
      • (3)作業者は作業終了後、作業内容を「作業申請書」に記載してセンタ長に報告、センタ長は押印する

       以上の結果だけを見ると、「監査手続きに不備がある」とは言えない ように思われる。そこで、もう少し読み進めてみる。

      【センタ長が行う入退室ログのチェック】 ○が監査で確認事項
            
      • (1)センタ長は総務課から「ログリスト」を受け取り、不振な入退室がないか チェックする ×
      •   
      • (2)以下略、チェックすべき内容

       ここからわかるように、「ログリスト」と「作業申請書」との照合が監査手続きとして不足していること がわかる。ここで重要なことは、以下のとおりである。

      【本日の講義のまとめ】
            
      • (1)監査証跡を中心に問題文を追うと良い
      •   
      • (2)監査証跡の妥当性を確保するために、監査証跡どおしの突号を行う必要がある
      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 23:55

      2005年12月 5日

      12月5日 情報システムに関連する信頼性について

       先日、2005年11月1日に東証の証券売買システムがダウンした。この際に、「 東証の情報システムについての信頼性が損なわれるのではないか」という意見が識者の なかから出された。しかし、それ以外にも東証の情報システムについて問題が提起されている のだという。

      東証の情報システムの問題点とその影響
      東証の情報システムの問題点

       東証の情報システムについて、新たに問題提起されている点がレスポンス性能の 低さである。日本経済新聞社によると、売買注文を出してから、その「受付通知」が 返信されてくるまでに平均10秒程度かかるというのだ。たとえば米国ナスダックやロンドン 証券市場はこのレスポンスタイムに1~20/100秒程度であるという。
       このように、東証の情報システムの性能は他の証券市場のシステムに比べて 大きく見劣りをする。この点に海外のディーラーは大きな不満をもっているという。

      売買取引に影響を与える情報システム性能

       売買取引のレスポンスは他の取引に大きな影響を与える。なぜならディラー達は、 朝一番での売買取引の「受付通知」を確認した後に、次の手段を講じるからである。 その情報の遅延はビジネスチャンスを逃すことにつながるからである。
       このようなディラーの東証システムに対する不信感は、東証に対する注文の抑止につながる。 無論、東証も11月の障害対策としてシステム増強を計画しているらしいが、現在の性能の 120%程度らしく性能問題を放置すると東証の地盤沈下は避けられないかもしれない。

      情報システムのあるべき姿
      ISO17799にみる情報セキュリティ

       情報セキュリティの国際規格ISO17799では、情報セキュリティの 基準として機密性完全性可用性 を示している。それらの基本的な用件は次のとおりである。




      投稿者 suzuki : 16:54

      2005年12月 2日

      2005年12月2日 不正やデータ改ざんについて

       近年、耐震偽造事件にも見られるように、企業がデータを自社の有利になるように 不正に利用したり改ざんするようなケースが多々見受けられている。新聞を見て得られた 情報を元に考えてみたいと思う。

      外食チェーン店の粉飾決算
      粉飾決算の顛末と手口

       外食チェーン店の宮では、外部会計監査人の指摘によって粉飾決算が発覚した。これは、 業績不振が明らかになると円滑な資金調達が困難になると考えた経理担当専務の独断に よるものとしている。この結果、同社は専務の解任、鈴木会長兼社長が引責辞任した。その手口は次の通り。

      • 子会社との建設取引の仮装
      • 割引優待券の利用
      • 広告宣伝費の取引業者への付け回し
      • 有形固定資産の架空計上

      以上の結果を是正することによって、15億円の損失が計上される見込みだという

      粉飾決算についての考察

      システム監査試験午後Iにもあるように、データ操作権限のあるものが、その権限を使い データを改ざんするケースがこれにあたる。その目的として、自己の人事考課での評価向上 や給与支給額の不正受給を狙ったものが主として出題される。しかし、このケースでは、 経営層にあるものが会社の企業評価向上を狙って株主や利害関係者を欺いたケースである。 また、最近批判の多かった監査法人が機能した例であるといえる。

      ※出所:朝日新聞2005年12月1日 「外食チェーン「宮」粉飾決算」

      建物構造計算ソフトデータの改ざん
      改ざんの手口

       現在、耐震偽造事件が問題になっている。著者の定宿である、松本エースインホテルなども 被害者で営業自粛に追い込まれている。今回、この問題に端を発して、民間検査機関のERIが、 国土交通省が認定する構造計算ソフトに 「データ改ざんに関する脆弱性」があることを指摘 している。改ざんの手口は次のようなものである。

      • 市販の文書編集ソフトを利用する
      • そうすると計算途中のデータ改ざんが可能になる
      • 不正のデータを入力しても「適合」の結果がでる
      • 正規のプログラムを使ったことを示す認定番号も出力される

      このような手法をとられると、通常の審査では不正を見ぬくことは難しいという。

      データ改ざんについての考察

      システム監査試験午後Iにもあるように、アプリケーションソフトの脆弱性、もしくは ソフトで作成されたデータの改ざんによって、本来改ざんされてはならない公的なデータ が改ざんされてしまうことが示されている。
      特に、市販のソフトによって改ざんができてしまうことに問題がある。これでは技術力がない 人間にも容易に不正が可能になる。特に耐震データなどは社会インフラに近く、一旦、不正 が発覚した場合の被害や社会的影響は計り知れない。ソフト開発企業は「プログラム自体の 操作改変は困難」といっているようだが、アプリケーションソフトの社会性を考えると 看過できない問題といえる。

      ※出所:朝日新聞2005年12月1日 「建物構造計算国認定ソフト 日本ERI、欠点を指摘」




      投稿者 kitta : 09:37

      2005年11月13日

      2005年11月13日 中小企業診断士とシステム監査受験

      中小企業診断士とシステム監査との両立について

      基本的に似たような資質が要求される

       システム監査と中小企業診断士とでは類似するような資質を要求されます。 具体的に類似する点とそうでない点を比較してみましょう。

      科目 システム監査 中小企業診断士
      会計学
      経営学
      販売管理・労務管理・経済学 ×
      経営情報システム
      経営法務
      監査論 ×
      助言理論・中小企業対策 ×

      出題内容の深さ、広さという議論は別にして、監査論や経済学 以外は良く似ているといえます。

      試験の本質
      システム監査試験の本質

      システム監査試験に一番近い試験は公認会計士試験です。だから、公認会計士 の人は、システム監査に受かりやすい。税理士試験を受けていた著者的にいうと、 財務諸表論+ソフトウェア技術者の資質で合格できそうな試験 といえそうです。

      中小企業診断士試験の本質

      中小企業診断士は、よく言うと経営コンサルタントの国家試験 悪く言うと、経済産業省・中小企業庁のお手伝いさんという試験です。 だから、コンサルタントの試験の癖に、「中小企業対策」という 補助金等に関連する法律が科目として含まれるのです。

      両者、両立の長所と短所
      両者、両立の長所

       中小企業診断士は、他の税理士などの国家試験などのように、猛烈なガリ勉を必要 とする試験ではない。また、システム監査も同様です。よって、ある程度の能力がある人であれば 両立は可能といえそうです。

      しかし結果は甘くない

       とはいえ、現実はそんなに甘くなく、同時に受けて両方受かる人は稀です。 大概の場合、診断士の方が受験勉強量が必要なので、そちらに比重を傾けるせいか 診断士が合格して、監査を落ちるケースが多く見受けられます。

      診断士に合格して、なぜ、監査に落ちるのか

       難しいはずの診断士に合格して、監査に落ちる理由を述べます。

      • 1.診断士は提案する、監査は否定するなど試験の性格が真っ向から異なる
      • 2.診断士は二次試験がべらぼうに難しく、合格の判定基準が良くわからないため、そちらの勉強に 時間を削がれる
      • 3.診断士二次試験は短答式(記述式)試験、監査は小論文がある
      • 4.このため、短答式になれると論文が書けなくなることがある

       著者が受けていた頃と違い、診断士試験は二次試験の受験に二回失敗すると 一次試験からやり直しに成るので、一次試験合格者は監査を受ける余裕を失う というのが現実のようです。

      (c)(有)アイ・リンク・コンサルタント 加藤忠宏



      投稿者 kato : 22:45

      2005年10月16日

      2005年10月16日 システム監査合格者等に住宅ローン金利に優遇措置

      AU,PM合格者に住宅ローン金利優遇措置

      GEコンシューマー・ファイナンス発表内容

       GEコンシューマー・ファイナンスは、システム監査、プロジェクトマネージャ等IT関係の有資格者 に対して住宅ローンの金利を優遇するサービスの提供を開始することを発表した。

      著者が直接電話等で確認した内容
      住宅ローンのホームページ
       

      以下のWebを確認した。GECF社について日経流通新聞05年10月12日号では、「8種のIT系 資格保有者について金利を0.2%優遇」となっている。

       GEコンシューマー・ファイナンス
      一部詳細は未定のようである

       しかし、新聞発表にあるように、8種類の資格のうち以下の二種類は明記されているが残り 6種類は発表されていない。電話(2005年10月16日 午前11時)で確認したところ、残りは実際の住宅ローンの申し出があり次第 実際に審査するとのことだ。

      【GECF社住宅ローンの優遇措置のある資格】
            
      • 1.システム監査
      •   
      • 2.プロジェクトマネージャ

       システムアナリストについても直接質問したが、明確な担当者の回答は得られなかった。 ただ著者が「上記の2資格と同格と考えられるものは同様の待遇を得られる可能性はありますね」 と聞いたところ、「その可能性はある」とのことだった。

      まずは良く確認してください

       いずれにしても IT系有資格者が社会的に優遇されることは大変意義がある。しかし、以下の 点に気をつけてほしい

      【自分でしっかりと確認してほしい】
            
      • 1.当然ながら、住宅ローンを受ける際は自分でしっかりと確認してほしい
      •   
      • 2.住宅ローンの審査がとおるかとおらないかについては、本サイトは責任を負わない
      •   
      • 3.住宅ローンの返済についても本サイトは責任を負わない
      •   
      • 4.弊社とGECF社とはまったくの無関係である

       要は「情報処理技術者試験は優遇される可能性がある」 ということ、そのような時代が来たということを述べておきたい。そのような社会的変革の一端が 今回の記事の意味だろう。

       これからは大会社といえども自分の力に頼って生きて行かざるを得なくなった。 自分の個人価値を高める手段として資格取得は有効である。弊社でも資格取得の モチベーションアップのひとつのヒントにしたいなと考えている。

      参考:日経MJ 2005年10月12日
      (c)有限会社アイ・リンク・コンサルタント



      投稿者 kato : 11:11