情報処理技術者試験

システム監査技術者学習メモ

サンプリング(試査)

監査の対象となる母集団から一部の項目を抽出して監査を実施すること。

膨大なデータ全てをチェック(精査)することはできないので、怪しいところや重点的にチェックするポイントを決めてサンプリングを行う。

許容誤謬率

謬(びゅう)とは、あやまる、間違えるといった意味がある。

許容誤謬率とは、監査人が受け入れることができる所定の内部統制からの逸脱率であり、サンプル件数を決めるときに用いられる。

サンプリングリスク

サンプルに基づいた監査人の結論が母集団全体の姿と異なっているというリスクのこと。

統計的サンプリング

母集団の数やそこに含まれる誤りの推定数などからサンプル数を統計学的に算出したり、監査結果に対する結論を確率論的に導いたりすること。

母集団

監査人がサンプルを抽出し、それについて結論を出すことを望む、一組の完全な全体データのこと。

監査手法

ITF法(Integrated Test Facility:結合テスト法)

本番環境でテストデータを用いシステムの完全性や正確性を検証する方法。

具体的には監査対象ファイルの中にシステム監査人の口座を作成し、実稼働中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、プログラムの正確性を検証する。

システムに架空の口座を作成することから、ミニカンパニー法、ダミーカンパニー法などとも呼ばれる。

テストデータ法

テストデータを監査対象プログラムに投入して想定される結果が得られるかどうか検証するもの。テスト対象のプログラムが本番で稼働しているものと同一であることを確認すること。

ITF法との違いは、本番にデータをそのまま投入するか、別の検証環境を利用するかの違い。

監査モジュール法

監査機能を持ったモジュールを監査対象プログラムに組み込んで実環境下で実行し、抽出条件にあった例外データ、異常データなどを収集し検証する。

並行シミュレーション法

システム監査人が準備した監査用プログラムと、監査対象プログラムに同一のデータを入力し、両者の実行結果を比較することによって検証する。

スナップショット法

プログラム検証したい部分を通過した時の状態を出力し、それらのデータを基に検証する方法。

トレーシング法

特定データの処理経路を検査するために、プログラムの命令の実行順序などを出力して確認する方法。

システム監査基準

監査人の行動規範として、システム監査業務の品質を確保し、有効かつ効率的に監査を実施するために利用する基準である。

  • システム監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用いる。
  • 情報システムに保証を付与することを目的とした監査、改善のための助言を行うことを目的とした監査両方に利用できる。
  • 内部監査、外部監査の両方に利用できる。

保証型監査報告書

リスクのコントロールが適切に整備され運用されていることを保証することを目的とした監査であり、適切にリスクのコントロールがなされているか否かについてのシステム監査人の保証意見を監査報告書に記載する。

監査意見としての保証は絶対的な保証ではなく、入手した監査証拠を評価した結果得られた合理的な根拠に基づく保証。

助言型報告書

リスクのコントロールの改善を目的として、そのための問題点を検出し提示するという観点から行われる監査であり、監査報告書には監査人の助言意見を記載する。

システム監査人と非監査側には責任区分が存在するが、保証意見とは異なり、責任区分についてあえて言及する必要はない。

情報セキュリティ監査基準

情報セキュリティ監査基準の保証型監査の際の保証意見は、次のいずれかの意見として表明される。

  1. 肯定意見:情報セキュリティ対策の全てに重大な欠陥がなく、適切である旨の保証。
  2. 限定付肯定意見:情報セキュリティ対策の一部に欠陥があるか、または情報セキュリティ監査人が必要と認めた監査手続きが制約されたがその部分を除けば適切である旨の保証。
  3. 否定意見:情報セキュリティ対策に重大な欠陥がある。

※ただし、監査手続きが制約され、保証意見の合理的な根拠を得ることができなかった場合には保証意見を述べてはならない。

財務報告に係る内部統制の評価及び監査に関する実施基準

https://www.fsa.go.jp/news/r1/sonota/20191213_naibutousei/1.pdf

Ⅰ.内部統制の基本的枠組み

1.内部統制の定義

内部統制は4つの目的が達成されているという合理的保証を得るためのもの。

  1. 業務の有効性及び効率性
  2. 財務報告の信頼性
  3. 事業活動に関わる法令等の遵守
  4. 資産の保全

内部統制は6つの構成要素からなる。

  1. 統制環境
  2. リスク評価と対応
  3. 統制活動
  4. 情報と伝達
  5. モニタリング(監視活動)
  6. IT(情報技術への対応)

2.内部統制の基本的要素

(6)IT(情報技術)への対応
②ITの利用及び統制

<ITの統制>

ITの統制は、全般統制と業務処理統制の2つに分けられる。

全般統制:業務処理統制が有効に機能する環境を保証するための統制活動。

  • システムの開発、保守に係る管理
  • システムの運用・管理
  • 外部からのアクセス管理などシステムの安全性の確保
  • 外部委託に関する契約の管理

業務処理統制:個別業務ごとのプロセスに組み込まれた内部統制。

  • 入力情報の完全性、正確性、正当性を確保する統制
  • 例外処理(エラー)の修正と再処理
  • マスタ・データの維持管理
  • システムの利用に関する認証、操作範囲の限定などアクセスの管理

Ⅱ.財務報告に係る内部統制の評価及び報告

3.財務報告に係る内部統制の評価の方法

(2)全社的な内部統制の評価

経営者が全社的な内部統制の整備運用状況やその状況が業務プロセスに及ぼす影響の度合いを評価する。

財務報告全体に重要な影響を及ぼす事項を十分に検討する。

例えば、全社的な会計方針及び財務方針、組織の構築運用に関する経営判断、経営レベルにおける意思決定プロセス。

(3)業務プロセスに係る内部統制の評価
⑤ITを利用した内部統制の評価

財務報告に係る全社的な内部統制に関する評価項目の例

ITへの対応
  • 経営者は、ITに関する適切な戦略、計画などを定めているか。
  • 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
  • 経営者は、信頼性ある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
  • ITを用いいて統制活動を整備する際には、ITを利用することによって生じる新たなリスクが考慮されているか。
  • 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。

法律

商標法

商標の使用するものに独占的な使用権(商標権)を与える法律。紛らわしい商品で消費者が間違わないように。

電子消費者契約法

電子商取引などにおける消費者の操作ミスの救済、契約の成立時期の転換などを定めた法律。

ワンクリックなどの場合間違って購入してしまうことも考えられるので、その場合に救済してあげる法律。

特定商取引法

訪問販売、通信販売(ネットショッピング)、電話勧誘販売など、事業者と消費者の間で紛争が生じやすい取引について、消費者の利益を守ることを目的とした法律。

通信販売についての広告に関して、商品の販売価格、代金の支払い時期及び支払い方法、商品の引き渡し時期、売買契約の解除に関する事項の表示を義務付けている。

不正競争防止法

公正な競争を確保するために、類似商品などを規制する法律。

監査リスク

監査人が誤った監査結論を述べるリスクのこと。

監査リスク=固有リスク×統制リスク×発見リスク

固有リスク:関連する内部統制が存在していないとの仮定の上で、財務諸表に重要な虚偽の表示がなされる可能性。

統制リスク:財務諸表の虚偽の表示が、企業の内部統制で防止、発見できない可能性。

発見リスク:企業の内部統制で防止、発見できなかった財務諸表の重要な虚偽の表示が監査手続きを実施しても発見できない可能性。

監査証拠

監査人が収集及び作成した資料、またそれを監査人の判断に基づいて評価した結果。

監査報告書に記載する監査意見や指摘事項は、監査証拠によって裏付けされていなければならない。

監査証跡(オーデット・トレイル)

情報システムの処理過程において、信頼性、安全性、効率性のコントロールが適切に組み込まれているか、監査対象の挙動が追跡できるような仕組みと記録のこと。

いつ、誰が、どこから、何をしたかということが時系列で記録される必要がある。アクセスログやシステムログがこれに当たる。

サービスレベル合意書(SLA:Service Level Agreement)

サービス提供者が依頼者との間で提供するサービスにおいて合意した品質保証レベル。

元々はインターネット接続サービスからはじまったもので、繋がりにくいなどの問題があったため、SLAで通信速度などを保証したのが始まり。

サービスカタログ

サービスプロバイダや情報システム部門などがエンドユーザー向けに提供中のITサービスをまとめたリストのこと。

サービスレベル合意書(SLA)作成指針

一つのSLAで、複数のサービス又は複数の顧客に対処しても良い。

SLAはサービス提供者及び顧客の責任も規定する。

SLAに記載する項目が多すぎるのは望ましくない。

SLAを簡略化するために全てのサービス又は大半のサービスに共通の情報を収録することが望ましい。

下請法

下請代金支払遅延防止法の略

下請代金の支払い期日は、親事業者が検査をするかどうかを問わず、納品日を起算日として60日が支払期日となる。

CSIRT(Computer Security Incident Response Team)

シーサートと呼ばれ、国家や企業内においてコンピュータインシデントセキュリティに関する報告を受け取り、調査し、対応活動を行う組織

JIPDEC(Japan Institute for Promotion of Digital Economy and Community:一般財団法人 日本経済社会推進協会)

プライバシーマークの使用許可を判定するなど

NISC(National center of Incident readiness and Stratety for Cybersecurity:内閣サイバーセキュリティーセンター)

内閣官房に設置されたサイバーセキュリティの確保に関する活動を行う組織

システムソフトウェア品質モデル

  • 機能適合性(機能完全性、機能正確性、機能適切性)
  • 性能効率性(時間効率性、資源効率性、容量満足性)
  • 互換性(共存性、相互運用性)
  • 使用性(適切度認識性、習得性、運用操作性、ユーザーエラー防止性、ユーザインタフェース快美性、アクセシビリティ)
  • 信頼性(成熟性、可用性、障害許容性、回復性)
  • セキュリティ(機密性、インテグリティ、否認防止性、責任追跡性、真正性)
  • 保守性(モジュール性、再利用性、解析性、修正性、試験性)
  • 移植性(適応性、設置性、置換性)

マーケットバスケット分析

POSシステムなどで収集した販売情報から、顧客が買い物をした際の購入商品の組み合わせを分析する。

おむつとビールが一緒に購入されることが多いというエピソードが有名。

テスト密度、レビュー密度、指摘密度

件数をプロジェクトの規模で割ったもの。

テスト件数÷プロジェクト規模、レビュー件数÷プロジェクト規模、指摘件数÷プロジェクト規模

ハードニング

不要なサービスの停止やユーザーアカウントやアクセス権を厳格に管理することによってサーバそのもののセキュリティを高める手法の事。

トリアージ

重要で最初に扱うべきものを選別すること。救急事故現場において、傷の状態によって優先度を決めること。

語源は、フランス語の選別を意味するトリアージュだとされる説が有力。

ABOUT ME
hazukei
「はずけい」と申します。 この度一児の父となりました。まだ実感はわかないのですが、猛烈に忙しくなりそうです。楽しみつつ頑張りたいと思います!