- トップページ
- システム監査技術者
- 平成22年度春季問題
- 平成22年度春季解答・解説
平成22年度春季解答
問題11
提案依頼書(RFP)によるベンダ選定手続きに関するシステム監査の結果、指摘事項に該当するものはどれか。
| ア | RFPに、システム化要求事項のほか、あるべき業務モデルも添付していた。 |
| イ | RFP発行後、問い合わせをしてきたITベンダに対して追加資料を提供していた。 |
| ウ | 提案を希望するITベンダを集めて、RFP説明会を実施していた。 |
| エ | 予算額の範囲を、RFPに明示していた。 |
解答:イ
<解説>
問題12
情報システムに対する統制を全般統制と業務処理統制に分けたとき、業務処理統制に該当するものはどれか。
| ア | サーバ室への入退室を制限・記録するための入退室管理システム |
| イ | システム開発業務を委託する際の委託先企業選定手順 |
| ウ | 販売管理システムにおける入力データの正当性チェック機能 |
| エ | 不正アクセスを防止するためのファイアウォールの運用管理 |
解答:ウ
<解説>
問題13
金融庁の“財務報告に係る内部統制の評価及び監査の基準”における、内部統制の基本的要素である“統制活動”はどれか。
| ア | 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続きである。 |
| イ | 組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるものである。 |
| ウ | 組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、適切な対応を行うプロセスである。 |
| エ | 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することである。 |
解答:ア
<解説>
内部統制は、6つの基本的要素(①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング、⑥ITへの対応)から構成される。
6つの基本的要素とは、
- 統制環境
- 統制環境とは、組織の気風を決定し、統制に対する組織内のすべての者の意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に及ぼす基盤をいう。
- リスクの評価と対応
- リスクの評価とは、組織目標の達成に影響を与える事象のうち、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。 リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。
- 統制活動
- 統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続きをいう。(ex.ある作業に関し、誰が最終的な責任者であるかを明確にし、その者がその作業を、統制できている状況)
- 情報と伝達
- 情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう(ex.連絡・報告・相談をスムーズに行なうために、それを阻害するパワ・ハラやセクハラ等の禁止を明文化し、防止を徹底させる)。
- モニタリング
- モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセス(内部監査や外部監査において監査側が統制活動を監査するためのサンプルの採取がスムーズに行なえるかどうかが焦点になる)をいう。
- ITへの対応
- ITへの対応とは、組織目標を達成するために予め適切な方針及び手続き(情報管理規定など)を定め、それを踏まえて、業務の実施において組織の内外のITに対し、適切に対応すること(ex.、上記4つの目的、6つの基本的要素を踏まえて情報システムを構築すること、ITの保守・管理部門によって行なわれる財務関連の元データ情報の更新に関して、更新履歴を正確に記録することなど)をいう。
である。
問題14
金融庁の“財務報告に係る内部統制の評価及び監査の基準”における、内部統制の固有の限界に当たる事象はどれか。
| ア | ITの新技術の導入によって、従来のコントロールが効かなくなる |
| イ | アクセス権限の定期的な検証の仕組みがない。 |
| ウ | 固有の利用者IDが発行されていない。 |
| エ | システム開発における標準化がなされていない。 |
解答:ア
<解説>
問題15
取引データの入力漏れがないことを確保するためのコントロールはどれか。
| ア | 責任者が承認した取引データを、入力担当者が入力する。 |
| イ | 取引データに帰属部署を設定しておき、その帰属部署名を入力する。 |
| ウ | 取引データに連番を付けて、入力後に連番チェックを行う。 |
| エ | 取引データの取引金額の適切性を判断する基準を設けておき、責任者がその基準に照らして入力する取引データを承認する。 |
解答:ウ
<解説>
アプリケーションシステムの監査は、アプリケーションシステムで入力,処理,出力されるデータが正確で漏れのない状態になっている(インテグリティが確保されている)かを点検するものである。
データインテグリティは、データが次の4つの特性を持つことである。
| 網羅性 (完全性) |
データに漏れがなく、重複がないこと |
| 正確性 | データ項目の内容が正確なこと |
| 妥当性 | データ項目について、正当な承認を受けていること |
| 整合性 | ファイル間の整合性が取れていること |
取引データの入力漏れがないことを確保するためのコントロールは、網羅性(完全性)に関するコントロールである。
| ア | × | 責任者の承認に関する記述なので、妥当性に関する説明である。 |
| イ | × | 帰属部署を正しく入力させるためのコントロールなので、正確性に関する説明である。 |
| ウ | ○ | 連番チェックは、完全性に関する代表的なコントロール手法である。 |
| エ | × | 責任者の承認に関する記述なので妥当性に関する説明である。 |
お問い合わせ
