システム監査
監査に関する問題は、とてもよく出題されるが、ほとんどの問題は、「監査」という言葉の意味がわかれば、常識的な判断で答えを絞り込めるだろう。監査とは、文字通り、監督して検査することである。一般的に知られている監査として、会計監査がある。これは、企業のお金のやり取りが適正であるかどうかを、監査人(公認会計士や監査法人) が監督して検査し、その結果を依頼者に報告することである。 これは、システム監査でも同様である。 監査人が、システムの信頼性、安全性、有効性などを監督して検査し、その結果を依頼者に報告する。
監査でポイントとなるのは、監査人が監査対象から独立していること、すなわち監査対象となる企業やグループの内部の人間ではないことである。これは、常識的に納得できるだろう。 もしも、監査対象の内部の人間が監査を行ったら、わざと問題を見逃したり隠したりする恐れがあるからである。さらに、これもポイントとなるのが、監査人が行うのは、監査だけであり、 問題を改善する行為は行わない。 監査に関する問題は、以上のような前提知識で解くことができる。
消去法で問題を解こう
下記の問題は、システム監査で実施するヒアリングに関する問題である。 ヒアリングとは、相手から何かを聞き出すことである。監査人が、監査対象となるシステムの関係者から、監査に関わる情報を聞き出すのである。その際に注意することが何であるかを問う内容になっている。
システム監査で実施するヒアリング (H29秋問59)
問59 システム監査人が実施するヒアリングに関する記述のうち、最も適切なものはどれか。
ア 監査業務を経験したことのある被監査部門の管理者をヒアリングの対象者として選ぶ。
イ ヒアリングで被監査部門から得た情報を裏付けるための文書や記録を入手するよう努める。
ウ ヒアリングの中で気が付いた不備事項について、その場で被監査部門に改善を指示する。
エ 複数人でヒアリングを行うと記録内容に相違が出ることがあるので、1人のシステム監査人が行う。
選択肢アは、悪くなさそうな気がするかもしれないが、「管理者」という部分が不適切に思われる。 ヒアリングの対象者としては、管理者よりも、もっと直接システムに触れている人の方がよいだろう。 とりあえず、△を付けておこう。
選択肢イは、「裏付けるための文書や記録を入手する」から、とてもよいことである。 〇を付けておこう。
選択肢ウは、「その場で改善を指示する」という部分が×である。 監査人は、不備を改善する行為は行わない。改善の助言はするが、ヒアリングの時点では行わない。監査結果を報告するときに助言する。
選択肢エは、1人の監査人よりも複数の監査人の方が、より良いはずである。複数の記録内容の相違から、ヒアリングの誤りを見出しやすいからである。したがって、xである。
以上のことから、選択肢イが最も適切だと判断できる。 実際の正解も、選択肢イである。
(参考)情報処理教科書 出るとこだけ!基本情報技術者[科目A][科目B]矢沢久雄 (著)翔泳社
コメント