システム監査 H30午後1自分用メモ

r06_pac_0602

URL システム監査委


・出典:平成30年度 春期 システム監査技術者試験 過去問題・解答例
(一部改変)
設問 解答例・解答の要点 備考



問1:システムの投資対効果の検証制度を対象とした監査



表1


表2

●設問1
[本調査の概要〕(1)
(【予備調査の概要〕(4)②を達成できるような制度になっているかどうかを確認した。そのために、ゲートシステムのステージ1の登録内容について確認した。)

※(4)②
以上のことから、ステージゲート導入の目的は、次のとおりである。
1:システム開発プロジェクトの途中、及びがシステムのリリース後に、投資対効果を検証できるようにすること
2:投資対効果についての貫任部署を明確にすること
3:プロジェクトの途中でも、ビジネス環境の変化に柔軟に対応できるようにする

について、監査部がステージ1の登録内容について確認した具体的な内容を、40字以内で述べよ。


〇解答
システムを利用し業務を遂行する主管部署がシステムオーナとなっているかどうか

●設問2
【本調査の概要〕(2)について、(i)、(ii)に答えよ。
※(2)
費用見積りのプロセスが適切かどうかについて、ステージ2の登録内容を確認した。
確認したプロジェクトの一つであるインターネット受付システムの再様築プロジェクトでは、
機器導入賽用、システム開発費・運用費が見積もられていた。
監査部は、費用項目が不足している可能性があるのではないかと考え、
費用項目の不足が発生しないようにするためのコントロールが存在するかどうかを確認するための監査手続を実施した。

i)
監査部が不足している可能性があると考えた費用項目を、15字以内で述べよ。


〇解答
ユーザ部門の教育費用

ii)
監査部が実施した監査手続を、45字以内で述べよ。


〇解答
ゲートシステムの登録内容を閲覧し,費用項目の網羅性及び入力必須設定を確認した。

●設問3
[本調査の概要〕(3)について、監査部が確認した具体的な内容を30宇以内で述べよ。
※(3)
ゲート3については、これまでに審査の対象となったプロジェクトのうちの1件が、
“差戻し“の判定を受け、システムオーナから判定理由を求められ、R部長が理由を諭明したことがあった。
また、複数のプロジェクトが“条件付承認“の判定を受け、
システムオーナから、“承認“の判定を受けたプロジェクトとの道いが分からない、という意見もあった。
監査部は、このようなケースが増えると、プロジェクトの進行が阻害されるのではないかと考えた。
そこで、各ゲートでの簡査の観点について確認した。


〇解答
投資委員会によるゲートでの審査に明確な判断基準があること

●設問4
[本調査の様要〕(4)について、監査部が確認した具体的な内容を40字以内で逃べよ。
※(4)
ステージ5については、制度の運用開始から1年では、ゲート5での審査を受けたプロジェクトが少なく、まだ監査部が審査の状況を確認する時期に至っていない。
したがって、ゲート5での各プロジェクトの審査時期について確認することにした。


〇解答
プロジェクトの特性に応じて投資対効果を測定する時期が定められていること

●設問5
[本調査の概要〕(5)について、表2中の [ ア ] に入れる監査要点を30字以内で述べよ。
※(5)
ステージゲート導入の目的を達成するためには、各ゲートでの審査が適切に実施されることが重要である。
寄査が適切に実施されなければ、表2のようなリスクが想定される。
そこで、各ゲートでの審査の内容を確認するために、表2に示す監査要点を追加した。


〇解答
プロジェクトに利害がある者が審査に関わっていないこと



問2:データ分析システムの監査



問2
●設問1
[本調査の結果】(1)について、システム監査人が想定したリスクを、45宇以内で述べよ。
(※(1)データの収集
スケジュールデータは、現在はスケジュール管理システムの本番運用中のサーパから収集している。
今後、更に詳細なデータ項目を収集する場合は、運用面のリスクがある。
その対策として、システム監査人は、本番運用中のサーバとは別にレプリケーションサーバを構築して、
そこからデータを収集する方法を検討する必要があると考えた。)


〇解答
本番運用サーバの負荷が増大し,スケジュール管理システムのレスポンスが低下する。

●設問2
〔本調査の結果〕(2)の①について、システム監査人が確かめたコントロールの内容を、45字以内で述べよ。
※(2)①
(2)データ分析システムの運用

利用部門から“データ利用申請書“が提出された後に、経営企画部は申談者を個人情報の取扱者として登録し、データの受渡し内容を記録して保管している。
しかし、システム監査人は、この運用方法では、個人情報管理に関わるコンプライアンスを確保するためには不十分と考え、
必要なコントロールの有無をヒアリングによって確かめた。


〇解答

サンプルデータについては,個人情報に該当するデータ項目はマスキング処理を行う。

●設問3
[本調査の結果〕
(2)の②について、システム監査人が想定したリスクを、40字以内で述べよ。

※(2)データ分析システムの運用
(2)データ分析システムの運用P社では、システム構築時に開催している要件検討会において、対象システムのサービスレベルを設定している。
システム監査人は、データ分析システムのサービスレベルが、業務要件に見合っていることを確かめるために、要件検討会の議事録を閲覧した。
その結果、業務停止の影響について検討せずに、業務システム課が運用している他のシステムと同じサービスレベルが設定されていることが分かった。
システム監査人は、このままでは、適切にシステムを運用する上でリスクがあると考え、改善を求めることとした。


〇解答

サービスレベルが高すぎるために,運用コストが高くなる。

●設問4
[本調査の結果〕(3)の①について、システム監査人が行った監査手続を、50字以内で具体的に述べよ。
※(3)データの分析・活用

【経営企画部長へのヒアリング〕の(1)で、B委員から指摘された`“成果が得られない可脈性“が低減しているかどうかを文書で確認した結果、適切な対処が行われていた。
@各部門において、分析結果を活用した会議の見直しが行われているかどうかを確かめるために、会議の効率向上について狂況を確認した。

※※【経営企画部長へのヒアリング〕の(1)
システム監査人は、更に予備調買として、データ分析システムの構築の経緯と拭用状況について、経営企画部長へのヒアリングを行った。その結果は、次のとおりである。

(1)経営企画部が、データ分析システムの樋築について、経営幹部で構成される投資委員会へ提案した際には、データの収集について、次のような議論があった。
A委員からは、“関連しそうなデータをできるだけ多く収集し、分析を繰り返すことによって、どのように活用するかを検討すればよい“という意見があった。
それに対し、B委員からは、“分析の目的が暖味なままデータを収集すると、収集に時間と手間が掛かる一方で、成果が得られない可能性が高い“と指摘する意見があった。


〇解答
活用検討会の議事録を入手して,データ分析の目的が明確に説明されていることを確認する。

●設問5
〔本調査の結果](3)の②について、システム監査人が状況を確認するために行った監査手続を、40字以内で述べよ。

※(3)の②
各部門において、分析結果を活用した会議の見直しが行われているかどうかを確かめるために、会議の効率向上について狂況を確認した。

※※【経営企画部長へのヒアリング〕の(2)
`“働き方改革“の施策は、間接業務の効率向上、在宅務務を含む多様な勤務制度の導入、情報共有環境の整備、「会議の効率向上」など、多相にわたっている。例えば、「会議の効率向上」の内容は、次のとおりである。

1:全ての会議の参加者・時間・頻度を見直し、1人当たりの会議時間を低滅する。

2:会議の目的に応じて、“アイディア創出“意思決定“及び“情報共有“に区分し、“情報共有“の会議のうち30%は電子メールなどで代替して削減する。

3:データ分析ツールを利用して、会議の実績を目的別・部署別に集計した"
議閤催実績表”を作成し、1と2の施策の進振状況を把握できるようにする。


〇解答
“会議開催実績表”を閲覧して,1 人当たりの会議時間の減少を確かめる。

問3:販売管理システムの監査

●設問1
EDIによる受注において、受注責任者の承認に代わるコントロールとして、本文中の[a]に入れる字句を30字以内で述べよ。


K氏:EDIによる受注では、受注資任者による承認が行われませんが、問題はないですか。

N氏:Q社とのEDI取引契約書で受発注成立の条件が詳細に定められていて、その条件を潟たしている受注は承認されたものとして取り扱うことになっています。
したがって、[a]が受注貫任者による承認に代わるコントロールとして機餅すると考えられます


〇解答
a:販売管理システムによるEDI 受注内容のチェック

●設問2
EDIによる受注データに関する監査手続について、(1)、(2)に答えよ。
(1)本文中の[b]、[c]に入れる文書名を、本文中の用語を用いてそれぞれ10字以内で筑えよ。

※※会話より抜粋
K氏:そうすると、監査手続きはどのようにすべきですか。

N氏:[b]と[c]とを照合して、EDIによる[d] を確かめることになります。


〇解答
b:EDI取引契約書
c:要件定義書

(2)この監査手続で確かめるべき事項として、本文中の[d]に入れる宇句を、40字以内で述べよ。


〇解答
d:受発注成立の条件の全てが受注データのチェック要件として定義されていること

●設問3
10万円未満の受注について、受注貫任者の承認が省眺されることによって発生するリスクとコントロールについて、本文中の[e]、[f]に入れる字句を、それぞれ40字以内で述べよ。

※Q社以外の得意先からの受注業務は、現在の販売管理業務の処理と同様とする。
ただし、1件当たりの受注金額が10万円未満の受注データについては、受注貫任者の承認を不要とし、受注入力が完了した時点で受注確定とする。

※※会話より抜粋
K氏:それから、EDI受注以外の受注で1作当たり10万円未澄の受注データについては、受注資任者の承認が省略されることになりますが、リスクはないですか。

N氏:少額受注についてはこれまで問題が発生していないことから、リスクは極めて小さいと判斯されたのではないでしょうか。
また、受注業務の効率向上を図ることも、目的のーつになっています。

T氏:しかし、10万円未満の不適切な受注もあり得るでしょうし、10万円以上の受注の承認を回遽するために[e]というようなリスクが考えられます。
受注業務の効率向上の観点から、1件ごとの承認を省限する場合でも、例えば[f]といったコントロールが必要なのではないでしょうか


〇解答
e:1 件当たり10 万円以上の受注を10 万円未満の受注に分割して入力する

f: 定期的に10 万円未満の受注の一覧表を出力し,受注責任者がチェックする

●設問4
QRコードによる出荷完了処理が漏れなく行われるようになっているかどうかを確かめる監査手続として、本文中の[g]に入れる字句を45宇以内で述べよ。

※QRコードに関する記述
出荷日の前日に、各配送センタに出荷指示リスト及び納品書に加えて、現品票が出力される。
現品票には、受注番号などを示すQRコードが印刷されており、出荷時にQRコードリーダで読み取って、出荷完了入力が行われる。
また、出荷日の当日に、処理された出荷完了処理の内容を一覧たした出荷完了リストが出力される。

※※会話より抜粋
K氏:出荷完了処理についてですが、出荷業務担当者による手入力からQRコードの読取リ入力に変更されます。
これに関する要件定義段階での盛査では、何を確かめれぼよいのですか。

T氏:QRコードの読取り漏れは売上計上の誤りに直結するので、要件定義書を査閲し[g]を監査手続とします.


〇解答
g:出荷指示リストと出荷完了リストとの突合が行われるようになっていることを確認すること


###

出典


R5
https://www.ipa.go.jp/shiken/mondai-kaiotu/2023r05.html#aki_au

R4
https://www.ipa.go.jp/shiken/mondai-kaiotu/2022r04.html#aki_au

R3
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_au

R2
https://www.ipa.go.jp/shiken/mondai-kaiotu/2020r02.html#aki_au

R1
https://www.ipa.go.jp/shiken/mondai-kaiotu/2019h31.html#haru_au

H30
https://www.ipa.go.jp/shiken/mondai-kaiotu/2018h30.html#haru_au

H29

https://www.ipa.go.jp/shiken/mondai-kaiotu/2017h29.html#haru_au

H28
https://www.ipa.go.jp/shiken/mondai-kaiotu/2016h28.html#haru_au

H27

https://www.ipa.go.jp/shiken/mondai-kaiotu/2015h27.html#haru_au


H26

https://www.ipa.go.jp/shiken/mondai-kaiotu/2014h26.html#haru_au

###
システム管理基準
経産省

https://www.meti.go.jp/policy/netsecurity/sys-kansa/

システム監査基準
https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf

システム管理基準

https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kanri-2023.pdf


########

IPA過去問題の利用について
リンク

https://www.ipa.go.jp/shiken/faq.html#seido

抜粋)
当機構で公表している過去の試験問題の使用に関し、許諾や使用料は必要ありません。(ダウンロードでのご利用も特に問題ございません。)
ただし、以下の留意点を必ず確認の上、ご使用ください。

留意点

  • 著作権は放棄していません。

  • 教育目的など、情報処理技術者試験制度、情報処理安全確保支援士制度の意義に反しない限り、公表されている過去問題を問題集やテキストに使用される際、許諾および使用料の必要はありません。

  • 出典を以下のように明記してください。(年度、期、試験区分、時間区分、問番号等)
    [例]「出典:平成31年度 春期 基本情報技術者試験 午前 問1」
    また、問題の一部を改変している場合、その旨も明記してください。

  • 公表しているPDF以外の電子データの提供はできません。
    (PDFセキュリティの解除方法は提供できません。)






この記事が気に入ったらサポートをしてみませんか?