基本情報技術者試験
こちらより
まとめた内容を載せます。
①システム監査の基礎
第三者から評価のことがシステム監査のこと
システム監査の目的と内容
システム監査基準の前文に置いて気になる単語は以下になります。
- 情報システムリスク
- 独立から専門的な立場の監査法人
- 点検・評価・検証
- 組織体の経営活動と業務活動の効果的かる効率的な遂行
- 変革の支援
- 目標達成に寄与
- 利害関係者に対する説明責任
システム監査の種類
保証型監査
JISなど各評価基準に合致していること保証すること
助言型監査
改善点のアドバイス
監査人の独立性
監査人が中立的ないといけません
外観上の独立性
身分、組織的に独立
精神上の独立性
恣意的な判断はなし
システム監査基準の記述
- 監査対象の領域または活動
- 独立かつ客観的な立場
- 外観に十分に配慮
- 客観的な視点から公正な判断
監査員の慎重な姿勢と倫理の保持
慎重な姿勢
守秘義務
システム監査報告とフォローアップ
監査報告書の提出
フォローアップ
可監査性
可能であるか
下記の二つの条件を満たしているか
- コントロールが存在
- 監査証跡が存在していること
監査証跡
処置過程を追跡できる仕組み、記録
業務日誌やログのこと
監査証拠
監査人の意見を立証する事実のこと
物理的証拠
書類など
文書的証拠
監査人が内容を検証した文書
マニュアル、契約書など
口頭的証拠
当事者にインタビューなど
監査長所
収集した情報や事実をまとめた文書
ITシステムの内部統制
ミスが出ないよう統制機能を設ける必要があります。
主に下記のようになります。
予防牽制機能
警告などの予防
誤謬適時機能
問題発生の早期検知、警告機能
修正回復機能
問題検出と同時に修正して影響範囲を最小限にすること。
②システム監査の実施
計画に基づいて
1,予備調査
2,本評価
3,評価、結論の形成
の順番に行います。
監査計画
経営目的と合致させて進めます。
- 中長期計画: 2〜3年
- 年度計画書: 1年の期間
- 個別監査計画書: 毎回の監査の活動計画書
予備調査
コントロール整備状況の調査
本調査
コントロールが正しく機能し運用されているか
評価・結論の形式
これまでの分析
本調査における監査技法
基本監査技法
チェックリスト法
作成した質問書から回答
ドキュメントレビュー法
監査人自ら資料よりレビュー
突合法・照合法
整合性の確認
現地調査法
現地確認
インタビュー法
直接問合せ、意見・回答を入手
コンピューター監査技法
テストデータ法
テストデータによる方法
監査プログラム法
監査モジュール法
ITF法、ミニカンパニ法
監査用レコードを混ぜて確認
並行シミュレーション法
似たようなプログラムを作って確認
スナップショット法
特定のデータ、条件でメモリダンプをとる
トレーシング法
プログラムの流れから確認
コード比較法
正統性のあるプログラムと比較