システム監査 ITパスポート対策マネジメント系サビマネ編③
2 views
2023-10-182023-10-17
監査業務
監査とは、業務活動が適正に行われているかを独立性を持った人や機関が調査し、評価及び報告や改善のためのアドバイスを行う活動です。大きく分けると法律で実施が義務付けられている法定監査と法人が自主的に行う任意監査があります。また組織内部の人間が行うのか外部の人間が行うのかで、内部監査、外部監査という分け方もあります。
監査内容による分類では以下のようなものがあります。
| 会計監査 | 会計処理が適切に行われ正確な財務諸表が作成されているかについての監査。上場会社や大企業では外部の会計監査人による監査が義務付けられている。 |
|---|---|
| 業務監査 | 会計以外の任意の業務活動に対する監査。 |
| 情報セキュリティ監査 | 情報セキュリティ対策が適切にとられているかについての監査。 |
| システム監査 | 情報システムの信頼性、安全性、効率性などについての監査。 |
システム監査
システム監査は任意監査のひとつで、情報システムの信頼性、安全性、有効性、効率性などを総合的に調査し、保証や助言を行うことを通じて組織体の目標達成に寄与すること,及び利害関係者に対する説明責任を果たすことを目的に行われます。
システム監査人
システム監査を行う人をシステム監査人といいます。システム監査は法定監査ではなく、外部の監査人が行うことが義務付けられているわけではありまので社内の監査部門等が監査を担当することもありますが、監査人には専門知識及び独立性と客観性が求められます。
システム監査基準
経済産業省が策定したもので、システム監査において行うべき事や守るべき基準がまとめられています。
- システム監査の体制整備に係る基準
- システム監査人の独立性・客観性及び慎重な姿勢に係る基準
- システム監査計画策定に係る基準
- システム監査実施に係る基準
- システム監査報告とフォローアップに係る基準
システム監査の流れ
システム監査は,監査計画の策定,監査の実施(予備調査,本調査,評価,結論),監査報告とフォローアップという流れで行われるます。
監査証拠
監査証拠とは、監査報告書に記載する事項や意見の根拠となる監査人が収集したり作成した資料です。システムのログデータなど時系列に記録され追跡が可能なものは監査証跡とも呼ばれます。
監査調書
監査調書は、システム監査人が実施した監査のプロセスを記録したもので、監査の結論の基礎となるものです。監査人はこれを秩序ある形式で作成し、保管しておく必要があります。
。システム監査報告書
依頼者に提出する文章で、以下のような事項を記載します。
- 監査の目的
- 監査の対象
- 監査の実施期間
- 監査の実施者
- 指摘事項
- 改善勧告
フォローアップ
監査報告書で改善勧告した事項が適切に改善されるよう支援したり、改善を評価する活動です。改善作業自体は被監査部門の人が行います。
代表的なシステム監査技法
監査証拠集めに使われるシステム監査技法には以下のようなものがあります。
| インタビュー法 | 監査人が対象者に直接話を聞き回答を入手する方法。 |
|---|---|
| チェックリスト法 | 質問事項などを記載したチェックリストを配布し回答を得る方法。 |
| ドキュメントレビュー法 | 関連する社内文章や資料から監査証拠を探す方法。 |
| 現地調査法 | 監査人が被監査部門に直接赴き業務の流れなどを調べる方法。 |
内部統制
内部統制とは、業務の効率的や有効性、法令遵守、 財務報告の信頼性、資産の保全を目的に組織を統制する仕組みをいいます。内部統制確立のためには、業務プロセスの明確化,職務分掌,実施ルールの設定,チェック体制の整備が必要とされます。
金融庁の公表する「財務報告に係る内部統制の評価及び監査の基準」では内部統制の基本的要素として以下6つが挙げられています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
監査も内部統制を保つための取り組みの一つであり、上場会社(金融商品取引法)や大会社(会社法)には内部統制の仕組みを整備したり、報告することが義務付けられています。
レピュテーションリスク
企業に対する否定的な評判が広まることによって信用やブランドが傷つき、損失を被るリスクをレピュテーションリスク(評判リスク、風評リスク)といいます。
ITガバナンス
組織体の価値及び組織体への信頼を向上させるために,組織体におけるITの利活用のあるべき姿を示すIT戦略と方針の策定及びその実現のための活動をITガバナンスといい、経営陣が責任者となってこれに取り組むことが求められます。
確認問題(過去問)
ITパスポート試験令和元年問36
システム監査の目的はどれか。
ITパスポート試験平成30年春問42
システム監査の実施後に,評価結果を受けて被監査部門がまとめるものとして,適切なものはどれか。
ITパスポート試験令和2年問41
システム監査の目的に関して,次の記述中の a, b に入れる字句の適切な組合せはどれか。
情報システムに関わるリスクに対するコントロールの適切な整備・運用について,aのシステム監査人がbすることによって, IT ガバナンスの実現に寄与する。
ITパスポート試験令和2年問48
委託に基づき他社のシステム監査を実施するとき, システム監査人の行動として,適切なものはどれか。
ITパスポート試験令和4年問53
a~d のうち, システム監査人が,合理的な評価・結論を得るために予備調査や本調査のときに利用する調査手段に関する記述として,適切なものだけを全て挙げたものはどれか。
- EA (Enterprise Architecture)の活用
- コンピュータを利用した監査技法の活用
- 資料や文書の閲覧
- ヒアリング
ITパスポート試験令和3年問38
システム監査の手順に関して,次の記述中の a, b に入れる字句の適切な組合せはどれか。
システム監査は, a に基づき b の手順によって実施しなければならない。
ITパスポート試験令和5年問37
システム監査人の行動規範に関して,次の記述中の a, b に入れる字句の適切な組合せはどれか。
システム監査人は, 監査対象となる組織と同一の指揮命令系統に属していないなど,a上の独立性が確保されている必要がある。また, システム監査人はb立場で公正な判断を行うという精神的な態度が求められる。
ITパスポート試験平成30年春期問26
法律a~cのうち,内部統制の整備を要請しているものだけを全て挙げたものはどれか
- 会社法
- 金融商品取引法
- 労働者派遣法
ITパスポート試験令和元年問37
内部統制におけるモニタリングの説明として,適切なものはどれか。
ITパスポート試験令和2年問52
情報システム部門が受注システム及び会計システムの開発・運用業務を実施している。受注システムの利用者は営業部門であり,会計システムの利用者は経理部門である。財務報告に係る内部統制に関する記述のうち,適切なものはどれか。
ITパスポート試験令和5年問50
内部統制において, 不正防止を目的とした職務分掌に関する事例として, 最も適切なものはどれか。
ITパスポート試験平成31年春問43
内部統制の考え方に関する記述 a~dのうち, 適切なものだけを全て挙げたものはどれか。
- 事業活動に関わる法律などを遵守し, 社会規範に適合した事業活動を促進することが目的の一つである。
- 事業活動に関わる法律などを遵守することは目的の一つであるが,社会規範に適合した事業活動を促進することまでは求められていない。
- 内部統制の考え方は,上場企業以外にも有効であり取り組む必要がある。
- 内部統制の考え方は,上場企業だけに必要である。
ITパスポート試験平成30年秋問55
ある食品メーカでは, 食品業界で示された安全基準にのっとって業務を行っている。安全基準の改定があったので, 社内の基準も対応して改定した。 これは内部統制の四つの目的のうち, どれに該当するか。
ITパスポート試験令和3年問49
ITガバナンスに関する次の記述中の a に入れる,最も適切な字句はどれか。
a は,現在及び将来の IT の利用についての評価と IT 利用が事業の目的に合致することを確実にする役割がある。ITパスポート試験平成30年春問40
ITガバナンスに関する記述として,適切なものはどれか。
ITパスポート試験令和元年問53
企業におけるITガバナンスを構築し,推進する責任者として,適切な者は誰か。
ITパスポート試験令和4年問40
ITガバナンスに関する記述として,最も適切なものはどれか。
これだけで受かるITパスポート
https://ja.mondder.com
