あらけす屋＞情報処理技術者試験

午前問題対策（システム監査）

システム監査

1. システム監査基準
   • システム監査基準の役割
     監査人の行為規範を定める
     • 基準の利用の目的
       システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行動規範である
     • 監査人の選定にあたっての留意点
       開発部門や利用部門からは独立した立場にあり、自らの判断に責任を持って監査の実施と客観的な評価ができる人を選ぶ
   • 一般基準
     • システム監査人の責任・権限、職業倫理及び守秘義務
       • システム監査人の職業倫理
         システム監査は、企業の内部監査として実施されるものであり、企業の利益保護の立場から監査判断を行う
     • システム監査人の精神上の独立性
       偏向を排し、常に公平性かつ客観的に監査判断を行う
     • 監査の手順
       1. 予備調査
       2. 本調査
          1. 現状の確認
          2. 監査証拠の入手
          3. 証拠能力の評価
       3. 評価・結論
   • 報告基準
     • 改善勧告のフォローアップ
     • 監査報告に基づく改善指導
2. システム監査
   • システム監査の特質
     • システム監査は、監査対象から独立した立場で行う情報システムの監査であり、システムの企画・開発・運用・保守に責任を負うものではない
     • システム監査は、原則として、情報システムが”システム管理基準”に準拠しているかどうかを確かめる
     • システム監査の対象部門、対象業務は、事前調査によって、リスクの高い部門や業務を見極めて選ぶ
     • システム監査の実施体制
       監査依頼者が監査報告に基づく改善指示を行えるように、システム監査人は監査結果を監査依頼者に報告する
   • システム監査の実施の流れ
     1. 監査計画
        • 監査手順書（監査手続き書）
          • 監査計画の段階で作成されるものであり、監査手続きと実施記録の記載欄から構成される
          • 監査証拠を入手するために作成されるが、システム監査担当者の指導監督を行うための有効な手段にもなる
          • 本調査における具体的な監査の進め方を示す
          • 合理的証拠を入手するために作成されるが、システム監査担当者の指導監督を行うための有効な手段としても利用できる
          • 監査業務の進捗管理に用いることができる
        • 個別計画書の記載内容
          個別計画書に記述される監査時期、監査日程には、本調査だけでなく、予備調査や監査結果の報告会、フォローアップも含める
     2. 予備調査
        • 予備調査で行う作業
          • 監査対象の実態把握
          • アンケート調査を行い、監査対象に対する被監査部門の管理者及び担当者のリスクの認識についての情報を収集する
          • 不正アクセス防止に関する取組状況を監査する場合、予備調査において、システム設計書によって、アクセスコントロール機能の内容を把握する
     3. 本調査
        • 本調査の作業手順は、現状の確認、監査証拠の入手、証拠能力の評価の順に行う
        • 質問書
          監査の質及び効率を確保するために、標準の質問書を一部修正して利用するとよい
     4. 評価・結論
     5. 監査報告
        • システム監査結果の数値による評価
          監査項目ごとに評価基準を設け、その乖離度を数値化し、総合評価は加重平均で行う
        • システム監査報告書
          • システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針
            経営資源の状況を踏まえて改善を実施する
          • 監査の結果を権限者に報告する文書であり、システム監査人が問題ありと判断した事項は、指摘事項として全て記載する
          • 監査意見
            • 保証意見
              例）販売管理システムに係る信頼性のコントロールは、システム管理基準に照らして、指摘事項に挙げた不備を除いて有効に機能している
     6. フォローアップ活動
        被監査部門の改善活動状況において、計画通りに行われているかどうかを定期的に確認する
   • 監査時の書類・記録
     • 監査調書
       監査人が行った監査手続きの実施記録であり、監査意見の根拠となるもの
     • 監査証拠
       • 監査意見を立証するために必要な事実
       • 必要に応じて被監査部門から入手した証拠資料を添付する
       • 被監査部門以外の第三者から入手した文書は、被監査部門から入手した同種の文書よりも監査証拠としての証明力が強い
       • 証拠能力の強いもの→弱いもの
         1. システム監査人が取引記録と実際の在庫とを照合した結果
         2. テストデータ法によって得られた処理結果
         3. システム監査人がシステムテストに関するドキュメントをレビューした結果
         4. 運用担当者が記録したシステム運用に関するメモ
       • 監査証拠となるもの
         • システム監査チームが被監査部門から入手したシステム運用記録
       • 監査証拠とならないもの
         • システム監査チームが監査意見を取りまとめるためのミーティングの議事録
         • システム監査チームが監査報告書に記載した指摘事項
         • システム監査チームが作成した個別監査計画書
     • 監査証跡
       • 運用環境を含めた監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録
       • 処理過程をすべて記録･保存しておくことは経済性・効率性を損なう可能性があるので、必要十分な監査証跡を決定し、確保することが大切である
       • イントラネットシステムの運用業務の監査証跡
         Webサーバへのアクセスログ
       • 情報システムの安全性のコントロールに関係する監査証跡
         アクセスログ
   • システム監査の事例
     • コストセンタであるシステム部門において、システムコスト配賦の妥当性を確かめるための監査手続き
       システム部門のシステムコストを、ユーザ部門に合理的な方法で配賦しているかどうかを確かめる
     • ソフトウェアパッケージ購入に関する監査において監査人自身が行う手続き
       ソフトウェアパッケージに適合するハードウェア性能の検討が行われていることを確認する
     • 月末に売り上げ形状を行う販売情報システムにおいて、架空売り上げに対する監査上の判断
       月初に前月分の売り上げ取消し件数が多いので、その原因を確かめた上で不正が行われていないかどうかを判断することにした
     • ”ISMS認証基準”の詳細管理策を基に設定した、ノートPCに対する物理的安全対策の妥当性を確認するため、オフィス内を視察し、不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する
     • データベースのインテグリティの維持に関する監査ポイント
       データベースの障害回復手段が組み込まれているかどうか確認する
     • データベースの監査ログを取得する目的
       問題のあるデータ操作を事後に調査する
     • システム開発プロジェクトにおける進捗管理の妥当性を確かめるための監査手続き
       プロジェクト会議の議事録を閲覧し、開発スケジュールと現状との再分析を行い、問題に対して適切な対策が講じられていることを確かめる
     • システム障害報告書に基づき再発防止策の効果をレビューする項目：前期及び当期の障害原因別の障害発生件数と停止時間
     • 顧客サービスの運用業務において、システム監査を受ける際の運用責任者の対応
       トラブルに関しては、発生から復旧まで電子メールでやり取りした結果を保管し、管理表にはトラブルの対応、発生日および復旧日を記入するルールとなっている。監査人から内容を聞かれたので、電子メールの内容をルールに従って答えた
     • システムの有効性の監査
       システムが計画通りに効果をもたらしているかどうかを評価する
     • 現金による回収以外の理由で売掛金が減少したとき、会計データベースを対象として原因を調査する適切な方法
       貸方が”売掛金”で、借方が”現金”以外の勘定科目となっているデータを抽出し、その取引について、内容及び理由を確かめる
     • 外部委託管理の監査
       請負契約において、受託側要員が委託側の事務所に勤務している場合は、受託側のアクセス管理が妥当かどうかを委託側が監査できるように定める
     • データ管理の監査
       適切なアクセスコントロールを行っているか確認する
     • アクセス制御の監査
       データに関するアクセス制御の管理状況を確認する
     • システムテスト（総合テスト）で使用するテストデータの作成に対する監査項目
       テストチームが、業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか
     • システム開発を外部委託した場合の品質管理の妥当性を確認するための監査項目
       委託元は開発工程の決められた時点で成果物のレビューを行い、問題点が委託先によって解決されていることを確認しているか
     • EUCの監査
       クライアントサーバ環境では、サーバ管理者の役割が重要なので、サーバ管理者に対するヒアリングは必須である
     • データベースのインテグリティ監査
       データベース資源へのアクセスをモニタリングする機能が組み込まれているかどうかを確認する
     • 指摘事項となるもの
       • 新システムへの移行に関して、システム開発部門内に検証体制を作って移行結果の検証を行い、移行完了としていた→部門内での検証にとどまっており、運用・保守の責任者が確認できていない
       • システムテスト（総合テスト）について、本番と同様のデータファイルを使用してテストを実施している
       • システム開発の基本設計工程におけるデザインレビューの参加者を、基本設計担当者、詳細設計担当者、及び開発チームリーダの3者としている
       • A社は、自社のシステム開発課長の指揮監督下でB社のプログラマが開発する形態の契約を行う場合、B社のプログラマがA社の著作権を侵害した場合の措置に関する規定を設けておく必要がある
       • 新システムへの移行の際、システム開発部門内に検証体制を作って移行結果の検証を行い、移行完了としていた
       • 外部補完のために専門業者にバックアップテープを引き渡す際の安全性について、委託元担当者が、バックアップテープを段ボール箱に入れ、専門業者に引き渡している
       • 提案依頼書（RFP）によるベンダ選定手続きに関して、RFP発行後、問い合わせをしてきたITベンダに対して追加資料を提供していた
     • 指摘事項とならないもの
       • 新システムへの移行の際、移行作業と併せて、システム運用部門及びシステム利用部門に対する新システムの操作教育を計画し、実施していた
       • 新システムへの移行の際、移行対象、移行方法、移行実施体制及び移行スケジュールを明記した以降計画に従って、移行作業を行った
       • 新システムへの移行の際、移行ツールを利用して、データベースの移行及び移行結果の確認を行っていた
       • 提案依頼書（RFP）に、システム化要求事項のほか、あるべき業務モデルも添付していた
       • 提案を希望するITベンダを集めて、提案依頼書（RFP）説明会を実施していた
       • 予算額の範囲を、提案依頼書（RFP）に明示していた
3. システム監査技法
   • コンピュータを利用して行うシステム監査技法

     技法	主な機能
     	システムの テスト	稼働中 オンライン システムの テスト	プログラム ロジックの 分析	プログラムの 検証	データの 抽出	稼働中の オンライン システム からの データ抽出
     テストデータ法	○
     汎用監査ソフトウェア法					○
     組込み監査モジュール法					○	○
     ITF法	○	○
     並行シミュレーション法	○		○
     スナップショット法			○
     トレーシング法			○
     コード比較法				○

   • テストデータ法
     テストデータを作成し、システムが設計通り動いているかどうかを検証する
   • 汎用監査ソフトウェア法（監査プログラム法）
     コンピュータシステムに記憶されている監査対象データを検索・抽出し、比較・加工・集計などの演算を行って編集し、結果を報告書として出力することができるように開発されたソフトウェアを利用する監査技法
   • 組込み監査モジュール法
     本番業務処理システムの中に監査モニタルーチンを組み込み、監査対象となる適用業務システムを通過する取引について監視する
   • ITF法
     監査対象ファイルにシステム監査人用の口座を設け、実稼動中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、監査対象プログラムを検証する方法
   • 並行シミュレーション法
     監査人が用意した検証用プログラムと監査対象プログラムに同一のデータを入力して、両者の実行結果を比較する方法
   • スナップショット法
     特定のデータが通過したり、一定の条件が成立したりした時点で、メモリの内容を出力することによって、本番環境下での処理の途中結果の妥当性を検証するシステム監査技法
   • トレーシング法
     プログラム処理経路を分析することによって、プログラム論理のフローの正確性・妥当性を検証する技法
   • コード比較法
     本番稼働後のプログラムの変更管理が正当に行われているかどうか調べるために、変更前と変更後のコードを比較し、その差異が設計・承認されたとおりのものとなっていることを確認する
   • 統計的サンプリング法
     サンプルの抽出に無作為抽出法を用い、サンプルの監査結果に基づく母集団に関する結論を出すにあたって、確率論の考え方を用いる
4. その他
   • 組織体が情報システムにまつわるリスクコントロールを適切に整備・運用する目的
     情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
   • 情報システムのコントロールの評価を整備状況の評価と運用状況の評価に分けたときのユーザのシステムへのログインパスワード管理
     • 運用状況の評価
       パスワードを管理しているファイルを出力し、パスワードの設定状況を確認する
     • 整備状況の評価
       システム仕様書の承認ルールを閲覧して、パスワード管理方針に基づいた設計が行われていることを確認する
       システム部門の責任者への質問によって、パスワード管理に関する会社の方針を確認する
       パスワード管理マニュアルを閲覧して、パスワード設定ルールを確認する
   • 情報セキュリティ監査基準
     • 位置づけ
       情報セキュリティ監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である
     • 監査の対象
       監査対象は情報資産なので、コンピュータを導入していない部署でも、情報セキュリティ監査は必要となる
     • システム監査と情報セキュリティ監査における監査対象の違い
       システム監査では情報システムにかかわらない文書情報を対象に含めないが、情報セキュリティ監査では含める
   • 情報システムの可監査性
     処理の正当性や内部統制を効果的に監査できるように情報システムが設計・運用されていること
   • サンプリング
     • 層別サンプリング
       金額にバラツキのある売掛金残高を母集団として、残高の正確性をテストする
       システム監査の技法として用いられるサンプリングのうち、金額にばらつきのある売り掛け残高を母集団として、残高の正確性をテストする場合などに用いられる
     • 統計的サンプリング
       サンプルの抽出に無作為抽出法を用い、サンプルの監査結果に基づく母集団に関する結論を出すにあたって、確率論の考え方を用いる
   • 監査リスクモデル
     監査人が、監査リスクを一定水準以下に抑えることを目標に監査計画を立てるリスクアプローチ
     固有リスクと統制リスクを評価し、その高低に応じて発見リスクの水準を決める
     監査リスク＝固有リスクｘ統制リスクｘ発見リスク
     • リスクアプローチに基づく監査
       固有リスクと統制リスクのレベルが高く、その結果許容できる発見リスクを低く抑えなければならない場合、監査手続きを決めるに当たって監査人が採用すべき対応：外部証拠の入手範囲の拡大
   • 監査役設置会社
     • 監査役設置会社とは、資本金5億円または負債総額200億円以上の大会社
     • 原則として3人以上の監査役の設置義務があり、うち過半数は社外監査役でなくてはならない
     • 監査役は株主総会で選任される
     • 監査役は経営監査、業務監査、会計監査をおこなうが、システム監査は業務監査、会計監査に含まれる