情報処理技術者試験☆合格への道

ライフワークとしての資格取得ブログ presented by Pman






Since 2005/01/10

ブログ内検索↓

カテゴリー


ブログランキング

にほんブログ村 資格ブログ 国家試験へ にほんブログ村 資格ブログ IT系資格へ
 にほんブログ村 資格ブログへ
 ブログの殿堂
資格・スキルアップ Ranking  ナレコム おけいこブログランキング

アンケート


広告エリア1




参加トラコミュ


SEO/サイト価格

SEO対策・SEOとは
IT  資格  ブログ
受験  日記  合格  論文


最近の記事


リンク集




自己紹介など

    くつろぐ

  • ニックネーム:Pman
  • プロフィール:
     情報処理サービス会社に勤務。主に金融業のソフトウェア開発、システム運用・保守を担当。メインフレームからオープン系まで広く浅く経験。資格取得はライフワークとなりつつある。
    保有資格
    システム監査技術者
    プロジェクトマネージャ
    アプリケーションエンジニア
    テクニカルエンジニア(システム管理)
    ネットワークスペシャリスト
    情報処理技術者(一種、二種)
    電気通信主任技術者(第一種伝送交換)
    工事担任者(デジタル第1種)


  •  質問、要望、感想、応援などは
     下のメールフォームから、直接
     私あてに送ることができます。


     当ブログはリンクフリーですが、
     リンクした場合は、メール又は
     コメントで知らせていただくと
     ありがたいです。

メールフォーム

名前:
メール:
件名:
本文:

広告エリア2












スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

論文対策1回目 解答作成

<平成14年 問1>
 システム監査における監査調書の作成と整備について

1.概要と監査目的及び監査目標
1-1.私が携わった業務の概要
 情報処理サービス企業に勤務する私は、金融系のシステム開発に携わる一方、外部の金融機関などからの依頼により、システム監査を不定期に実施している。
 A社は中堅の銀行であり、最近、新しいビジネスモデルとして、個人向けローン事業をA社Webサイトで公開し、申込み受付や融資審査を行うオンライン取引業務を開始することになった。取り扱う対象業務には、住宅ローン、教育ローン、自動車ローンなどがあり、それらの業務を効率的に行うにはIT基盤の整備が不可欠である。つまり、Webサイトの構築だけでなく、バックで動く業務システムも含めた総合的な情報システムの構築が必要となる。今回A社から、このシステムの開発段階における監査の依頼があり、私が実施することとなった。
1-2.監査目的
(1) 効率性の確認:新しいビジネスモデルの実現のために有効なシステムとなっていることを確認する。
(2) 安全性の確認:オンライン業務特有のリスク対策が講じられており、有効に機能するかを確認する。
1-3.監査目標
(1) 新システムにおける目的適合性の確認
 A社として、本格的なWebシステムの開発は初めてであることから、開発計画の妥当性を十分に検証する必要がある。特に、ローン業務の効率向上に寄与するシステムであるかを重点的にチェックする。
(2) セキュリティ対策の適切性の確認
 一般にWeb環境では、利用者にとって使いやすいシステムが構築できる反面、そのセキュリティの脆弱性はよく指摘されるところである。したがって、今回の監査では、不正アクセス等への防止対策が適切にとられているかのチェックを厳重に行う。

2.監査調書作成上の留意点(設問イ)
2-1.効率性の監査における留意点
(1) 立証性の担保
 ローン業務の効率向上に寄与するシステムかどうかを調査するために、私は、被監査部門であるA社情報システム部から入手した各種の資料を閲覧し、その結果を監査調書に記録した。ここで、留意すべき点は、監査調書の立証性をどのように担保するかである。例えば、費用対効果の評価資料だけでは、監査意見の裏付けとして不十分である。なぜなら、情報システムの効率性は時間が立つと変化するものであり、継続的なモニタリングが必要となるからである。
 そこで私は、下記a~cを監査項目に追加し、多様な観点から監査証拠を入手することにより、監査調書の立証性を担保することにした。
a.開発面だけでなく運用面からの効率向上施策の有無
b.継続的にコストを評価するための適正な基準の有無
c.経営資源の有効活用を推進するための対策の有無
(2) 明解性の確保
 システム稼働後に発生しがちな問題として、想定外のレスポンス悪化が挙げられる。こうした問題による効率性の低下を防ぐため、A社にて負荷テストを重点的に実施していたので、そのテスト結果資料を私は閲覧した。しかし、負荷テスト用のツールから出力される資料は単なる数字の羅列であり、誰にでも見読しやすいものではない。今回の監査では、データ量の多い住宅ローン業務の一部のモジュールに対しレスポンスの問題を指摘したが、その証拠を明解に示す必要があった。そこで、ツールからの出力データを表計算ソフトに取り込み、グラフに加工することにより、対象業務別、機能別、モジュール別のテスト結果が一目で分かるようにした。
2-2.安全性の監査における留意点
(1) 実査による記録物の取得
 Webシステムにおけるセキュリティ対策の適切性を厳重にチェックするため、監査手続として実際のテストを組み込んだ。ここで留意すべき点は、すべての入出力を記録として残すことである。具体的には、不正アクセスや情報が漏れる可能性のある操作を実際に行い、その際の操作手順を画面のハードコピー等で残すようにした。また、侵入データが発生していること及びそのデータがファイアウォールにより拒否されていることを電文ログの印刷物で残し、不正侵入の防止対策が有効に機能していることをチェックした。
(2) 安全対策基準の確認
 テストによる問題がない場合であっても、安全性は永続的に維持できるものではないと考える。そこで私は、A社としての安全対策基準が文書化され、定期的にセキュリティ面のチェックを行う規程が存在することを確認したうえで、監査調書を作成した。
 以上により、監査目的及び監査目標に対しての監査意見の根拠が明らかとなり、監査報告書の正確性を示すことが可能になる。

3.次回以降に向けた監査調書の整備(設問ウ)
 A社にとって、個人向けローンは主力商品の1つである。また、今回の監査対象である新システムは、A社として初めてのWebシステムである。こうした点を踏まえて、次回以降の監査に向けて監査調書を整備するにあたっての留意点を述べる。
(1) 完全性の向上
 監査調書は、記載漏れが無いように、可能な限り完全な状態にしておく必要がある。
 監査調書は、システム監査の全プロセス、すなわち監査計画から監査報告、フォローアップまでの過程を通じて収集または作成したものであり、次回以降の監査を合理的に実施するための重要な参考資料となる。しかし、今回の効率性の監査では、部分的に監査項目を追加するなど監査手続を見直したものの、監査スケジュール上の制約により十分な確認ができなかった項目もある。こうした内容についても、課題事項として監査調書に漏れなく記述すれば、次回以降の監査で有効に活用できる。
(2) 秩序性の確保
 監査調書への記載事項は、体系的に整理されている必要がある。
 安全性の監査では、侵入テストの手順やテスト環境の構築方法なども含めて、詳細な情報を残すことにした。しかし、こうしたテストの場合、様々なテスト条件やデータ・パターンを網羅し、それらを組み合わせたりするため、煩雑で分かりづらい資料になりがちと考えられる。したがって、のちに第三者が見ても理解できるように、体系的に整理し、文書化することが重要である。
(3) 正確性・品質の確保
 監査調書の中で述べる事実や意見は、正確に記述し、品質を確保しておく。また、品質保証のための書式の統一化や標準化ルールの確立も大切である。
 今回の監査対象であったローン業務のWebシステムは、A社の利益に直接的な影響を与える重要なシステムであるため、今後も定期的に監査を行う必要がある。次回以降の監査で今回の監査調書を利用するためには、誤解を与える表現や不適切な内容であってはならない。
 さらに、上記(1)~(3)の留意点については、監査人の独断で行うのではなく、システム監査責任者が客観的な立場でチェックすることが肝要である。

ア: 800字
イ:1300字
ウ:1000字
計:3100字
関連記事
スポンサーサイト

コメント

コメントの投稿



管理者にだけ表示を許可する

トラックバック

http://smpman.blog3.fc2.com/tb.php/279-8a0bd3d2

 | HOME |  ▲ page top


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。