情報処理技術者試験☆合格への道

ライフワークとしての資格取得ブログ presented by Pman






Since 2005/01/10

ブログ内検索↓

カテゴリー


ブログランキング

にほんブログ村 資格ブログ 国家試験へ にほんブログ村 資格ブログ IT系資格へ
 にほんブログ村 資格ブログへ
 ブログの殿堂
資格・スキルアップ Ranking  ナレコム おけいこブログランキング

アンケート


広告エリア1




参加トラコミュ


SEO/サイト価格

SEO対策・SEOとは
IT  資格  ブログ
受験  日記  合格  論文


最近の記事


リンク集




自己紹介など

    くつろぐ

  • ニックネーム:Pman
  • プロフィール:
     情報処理サービス会社に勤務。主に金融業のソフトウェア開発、システム運用・保守を担当。メインフレームからオープン系まで広く浅く経験。資格取得はライフワークとなりつつある。
    保有資格
    システム監査技術者
    プロジェクトマネージャ
    アプリケーションエンジニア
    テクニカルエンジニア(システム管理)
    ネットワークスペシャリスト
    情報処理技術者(一種、二種)
    電気通信主任技術者(第一種伝送交換)
    工事担任者(デジタル第1種)


  •  質問、要望、感想、応援などは
     下のメールフォームから、直接
     私あてに送ることができます。


     当ブログはリンクフリーですが、
     リンクした場合は、メール又は
     コメントで知らせていただくと
     ありがたいです。

メールフォーム

名前:
メール:
件名:
本文:

広告エリア2












スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

論文対策2回目 解答作成

<平成17年 問1>
 システム監査の品質確保について

1.システム監査の目的及び概要
1-1.私が携わったシステム監査
 情報処理サービス企業に勤務する私は、金融系のシステム開発に携わる一方、外部の金融機関などからの依頼により、システム監査を不定期に実施している。
 A社は中堅の銀行であり、個人向けローン事業をA社Webサイトに公開し、融資申込みをインターネットで受付している。対象業務には、住宅ローン、教育ローン、カードローンがあり、A社独自の情報システムにより運用されている。今回A社から、当システムの監査の依頼があり、監査チーム要員として私は参画した。
 当システムでは、Web上でのデータ送受信による個人情報の漏えいやシステムトラブルなどのリスクに対し、適切なコントロールが構築・維持されていることを確認する必要がある。この点について客観的に点検・評価し改善勧告を行うことが監査の目的となる。
1-2.監査の品質確保の重要性
 個人向けローンはA社の主力商品である。特に住宅ローンは、顧客への融資金が高額、返済期間が長期という特徴から、新規顧客の獲得が企業の売上及び利益に直結する。また、顧客情報、例えば口座、残高、利息金などの管理は、大部分がシステム化されている。こうした点から、ローン業務システムは、A社の経営戦略において重要な役割をもつほか、Webにより提供する顧客サービスの一環として他社との差別化を実現可能とする。
 したがって、当業務におけるシステム監査は、A社の企業経営に関わることであると言える。監査の品質を確保することは、顧客情報の流出や金額不正といった重大なリスクに対し、そのコントロールの有効性や効率性を高めることにつながる。また、企業経営へのダメージを未然に防止する意味で、経営者が管理責任を果たす上でも、システム監査の品質確保は重要になる。

2.監査の品質が不十分な場合の問題点(設問イ)
2-1.監査の目的が達成されない
 監査手順として、まず、インターネット受付において、Webサーバに対するセキュリティ上の脆弱性がないか確認する。監査証拠としては、侵入テストを実施した際のブラウザ画面のハードコピー、送信データの電文ログ、アクセスログ等の検証物を取得する。次に、データのインテグリティを確認するため、顧客データベースの更新ログ、ジョブ結果ログ、合計金額を出力した帳票等を入手する。しかし、これらの監査証拠が十分に得られないと、コントロールの適切性や妥当性を判断するための根拠が不十分となり、監査の目的が達成できなくなる。その結果、A社ローン業務システムにおけるコントロール機能が適切に発揮されず、リスクの顕在化、すなわち、トラブルによる業務停止や売上の未達といった問題に発展する可能性が考えられる。
2-2.監査業務そのものが非効率となる
 今回の監査チームは、私を含めた4名のシステム監査人で構成されるため、チーム内の連携が重要となる。具体的には、A社の3つのローン業務ごとに役割分担して監査を実施する。しかし、チーム内で監査項目を点検しないと、監査結果・評価のばらつきが生じてしまう。そして、ばらつきを解消するために、監査手続の見直しや追加監査が必要となり、無駄な時間と費用がかかる。
 また、監査証拠の一部である貸付金明細表や残高一覧表といった出力帳票は、A社の機密情報であるため、厳重に管理・保存する必要がある。万一これらの資料が紛失したり盗難にあうなどのトラブルが起きると、緊急に対応しなければならない。この場合、対応計画を予め決めていたとしても、監査業務の効率性が低下することは明白である。
2-3.外部から見た透明性が不足する
 金融業は公共性の高い業種であるため、監査内容は、外部の第三者に開示及び説明できる状態にする必要がある。しかし、監査の品質が不十分な場合、情報システムの効果や安全性を説明しても説得性に欠け、A社のITガバナンスについて信用が低下する。例えば、監査報告において、金額不正が無いかどうかを確認する監査の結果が明確であっても、監査手続が不明確または不適切であった場合、システム監査の役割を十分に果たしたとは言えまい。外部から見ると、顧客の口座残高がどのような仕組みで守られているのかは重要な関心事である。その点を曖昧にすると監査の透明性が不足し、金融機関としてのCSR即ち社会的責任を果たせなくなる。

3.システム監査の品質確保のための取組(設問ウ)
3-1.監査の目的を達成するための取組
(1) 経営上の考慮
 顧客情報の漏えいやシステムトラブルといったリスクが現実のものとなった場合、企業経営に大きな損害が発生することは明白である。このため、リスクへのコントロールの適切性は、まず経営上の観点から監査すべきであると私は考える。
 具体的には、監査対象であるA社の経営層と事前に話し合い、A社と監査チームの双方が納得する監査目標を定める必要があろう。実際に今回の監査では、経営幹部との事前打合せをもち、監査目標の明確化と意識あわせができた。また、事後の監査報告会では、経営にとって有益な改善勧告を念頭におき監査意見を表明した。
(2) 事前確認の重視
 私はA社以外に、他の金融機関の監査を実施した経験があった。その際に予備調査で使用した事前チェックリストが有効であったことから、今回のA社に対しても適用できるものと判断した。事前チェックリストとは、監査の実施に先立って行う準備作業に漏れがないか確認するための一覧である。これにA社独自の項目を監査目的に則って追加し、監査チーム内でレビューすることにより監査品質を確保した。
3-2.監査業務の効率化のための取組
(1) 監査手順の標準化
 今回監査したローン業務システムの場合、住宅、教育、カードという3業務に分かれているが、監査の基本的観点(信頼性、安全性、効率性)は共通している部分が多い。したがって、監査手順の標準化を行い、監査の実施あるいは評価のばらつきが生じないように工夫が必要である。具体的には、まず業務ごとに必要な監査項目を挙げたのち、業務横断的に精査して、監査項目を共通化・標準化した。次に、監査項目と監査証拠(ログ、出力帳票など)を関連づけるマトリックス表を作成し、効率的に監査証拠の収集ができるようにした。
(2) 継続的改善
 今後もシステム監査を実施する機会があるため、監査業務プロセスを継続的に改善していくPDCAサイクルの導入が必要であろう。監査の品質を高めるには、今回の監査における問題や反省を改善点として整理し、次回の監査に有効活用していくことが重要となる。
3-3.外部への透明性の確保
 以上3-1、3-2で述べた取組を確実に遂行することにより、システム監査プロセスの透明性が確保でき、その結果、外部の第三者による監査品質の評価が可能になる。監査業務そのものの可視化、つまり監査調書や監査報告書を明瞭に記載することが品質確保につながると考える。さらに、品質確保の状況を明確かつ誠意をもって説明できるように、システム監査人としての資質を向上する努力が不可欠であろう。

ア: 800字
イ:1100字
ウ:1250字
計:3150字
関連記事
スポンサーサイト

コメント

コメントの投稿



管理者にだけ表示を許可する

トラックバック

http://smpman.blog3.fc2.com/tb.php/290-0ef21adf

 | HOME |  ▲ page top


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。