- トップページ
- システム監査技術者
- 平成25年度春季問題
- 平成25年度春季解答・解説
平成25年度春季解答
問題6
システム監査における監査証跡はどれか。
| ア | 監査業務の全過程において、監査人が収集及び作成した資料である。 |
| イ | 監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録である。 |
| ウ | 監査人が監査証拠を入手するために実施する監査技術の組合せである。 |
| エ | 監査人が監査手続きを実施して収集した資料、及び監査人の判断に基づいて評価された資料である。 |
解答:イ
<解説>
システム監査証跡とは、情報システムの処理の内容やプロセスを、システム監査人が双方向で追跡できるように時系列に沿って保存された記録のことである。
| ア | × | 監査調書に関する説明である。 |
| イ | ○ | 監査証跡に関する説明である。 |
| ウ | × | 監査手続に関する説明である。 |
| エ | × | 監査報告書に関する説明である。 |
問題7
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として、"システム管理基準"に示されているものはどれか。
| ア | システム監査業務の品質を確保し、有効かつ効率的に監査を実施するため |
| イ | 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため |
| ウ | 情報セキュリティに係るリスクのマネジメントが効果的に実施されるよう、リスクマネジメントに基づくコントロールの整備・運用状況を評価するため |
| エ | リスクに対するコントロールをシステム監査人が評価し、保証または助言を行い、ITガバナンスの実現に寄与するため |
解答:イ
<解説>
システム管理基準は、システム監査における監査人の判断基準と,組織が情報戦略を立案してリスクコントロールを適切に整備・運用するための指針を示したものである。経済産業省によって策定された。
システム管理基準の前文には次の記述がある。
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の 通りである。
- 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
- 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
- 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
- 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
| ア | × | システム監査基準に記載されている内容である。 |
| イ | ○ | 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため |
| ウ | × | 情報セキュリティ監査基準に記載されている内容である。 |
| エ | × | システム監査基準に記載されている内容である。 |
問題8
システム監査で利用する統計的サンプリング法に関する記述のうち、適切なものはどれか。
| ア | サンプルの抽出に無作為法を用い、サンプルの評価結果に基づいて母集団に関する結論を出す場合に、確率論の考え方を用いる。 |
| イ | 抽出されるサンプル数は、統計的サンプリングと非統計的サンプリングの選択を決定づける重要な判断基準である。 |
| ウ | 抽出するサンプルを統計的に決定する手法でなく、サンプルに対して評価手続きを実施した結果を統計的に推定する方法である。 |
| エ | 無作為抽出法を用いるだけでなく、システム監査人が経験的判断を加味して、サンプルを抽出する。 |
解答:ア
<解説>
問題9
外部委託に関するシステム監査において、経営破綻たんなどによってソフトウェア資産のメンテナンスが受けられなくことを防ぐために確認すべき契約事項はどれか。
| ア | 開発したソフトウェアの瑕疵かし担保責任条項 |
| イ | 外部委託先のサービスを評価するためのSLA条項 |
| ウ | 責任の所在を明確にするためのソフトウェア開発の再委託禁止条項 |
| エ | ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項 |
解答:エ
<解説>
ソフトウェアエスクロー(エスクロウ条項)とは、ライセンサー及びライセンシーが、ソフトウェア取引を開始する場合に、ソースコードや技術情報等を第三者(エスクロー・エージェント)に預託しておき、ライセンサーが倒産等した場合、エスクロー・エージェントが契約で定めているの開示条件によりソースコード等をライセンシーに開示し、ライセンシーの保護を図る制度である。
ライセンスを受けていたソフトウェア提供者(ライセンサー)の倒産等により、メンテナンスができず、データを放棄せざるを得なくなるような状況を回避するのが目的である。
したがって、エが正解である。
問題10
"ソフトウェア管理ガイドライン"への準拠性を確かめることを目的とした監査はどれか。
| ア | 情報システムに対する自然災害、機器の障害、故意や過失などのリスクを未然に防止する対策事項の監査 |
| イ | 情報システムの信頼性と安全性を確実に具備する対策事項の監査 |
| ウ | ソフトウェアの違法複製を防止・発見する対策事項の監査 |
| エ | ソフトウェアの脆ぜい弱性関連情報の取扱いに関する対策事項の監査 |
解答:ウ
<解説>
お問い合わせ
