確認○×問題まとめ12

ITパスポート講座のマネジメント系12(システム監査)の確認○×問題だけを集めました。

システム監査1

問12-1-1

監査役が行う監査を、会計監査、業務監査、システム監査、情報セキュリティ監査に分けたとき、業務監査に関する説明として、最も適切なものはaである。

a財務状態や経営成績が財務諸表に適正に記載されていることを監査する。
b情報資産の安全対策のための管理・運用が有効に行われていることを監査する。
c情報システムを総合的に点検及び評価し、ITが有効かつ効率的に活用されていることを監査する。
d取締役が法律及び定款に従って職務を行っていることを監査する。

答え:×

a.会計監査財務状態や経営成績が財務諸表に適正に記載されていることを監査する。
b.情報セキュリティ監査情報資産の安全対策のための管理・運用が有効に行われていることを監査する。
c.システム監査情報システムを総合的に点検及び評価し、ITが有効かつ効率的に活用されていることを監査する。
d.業務監査取締役が法律及び定款に従って職務を行っていることを監査する。

問12-1-2

システム監査の目的は、情報システムが設置されている施設とその環境を総合的に企画、管理、活用することである。

答え:×

設問はファシリティマネジメントの説明です。システム監査の目的は、情報システムに係るリスクに適切に対応しているかどうかを評価することによって、組織体の目標達成に寄与することにあります。

問12-1-3

情報システム部がシステム開発を行い、品質保証部が成果物の品質を評価する企業がある。システム開発の進捗は管理部が把握し、コストの実績は情報システム部から経理部へ報告する。現在、親会社向けの業務システムの開発を行っているが、親会社からの指示でシステム開発業務に対するシステム監査を実施することになり、社内からシステム監査人を選任することになった。次の4人の中で、システム監査人として最も適切な者は「監査経験がある経理部の担当者」である。

  • 監査経験がある開発プロジェクトチームの担当者
  • 監査経験がある経理部の担当者
  • 業務システムの品質を評価する品質保証部の担当者
  • システム開発業務を熟知している情報システム部の責任者

答え:〇

システム監査基準(基準4)では、監査の独立性と客観性の保持について以下のように規定しています。

システム監査は、監査人によって誠実かつ、客観的に行われなければならない。さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観にも十分に配慮されなければならない。

設問の4人のうち、監査対象となる活動(システム開発・品質保証)から独立の立場にあるのは経理部の担当者のみです。

経理部は情報システム部からただ報告を受けるだけで、直接業務に携わっているわけではないので、独立の立場にあると考えられます。

問12-1-4

システム監査は、法令に基づき結合テスト、システムテスト、運用テストの手順によって実施しなければならない。

答え:×

正しくは、「システム監査は、監査計画に基づき予備調査、本調査、評価・結論の手順によって実施しなければならない。」となります。

なお、結合テスト、システムテスト、運用テストの手順によって実施するのは、システム開発におけるテスト工程であり、また法令に基づいて実施されるものでもありません。

問12-1-5

委託に基づき他社のシステム監査を実施するとき、システム監査人の行動として、委託元の経営者にとって不利にならないように監査を実施し、システム監査を実施する上で知り得た情報は、全て世間へ公開しなければならない。

答え:×

システム監査は、十分かつ適切な監査証拠を基に結論を評価・判断しなければなりません。

システム監査は、依頼人にとって有利になるか不利になるかではなく、誠実かつ客観的に行う必要があります。また、監査人には守秘義務があるため、業務上知り得た事項を正当な理由なく他に開示したり、自らの利益のために利用したりしてはいけません。

問12-1-6

以下の記述において、システム監査人の役割として適切なものは2つある。

a監査手続の種類、実施時期、適用範囲などについて、監査計画を立案する。
b監査の目的に応じた監査報告書を作成し、社内に公開する。
c監査報告書にある改善提案に基づく改善の実施を監査対象部門に指示する。
d監査報告書にある改善提案に基づく改善の実施状況をモニタリングする。

答え:〇

設問の記述中、システム監査人の役割として適切なものはaとdの記述の2つです。

bの記述:監査報告書を作成するのはシステム監査人の役割ですが、監査報告書を公開するか否かは依頼人(経営者など)が決定するのであり、システム監査人の役割ではありません。

cの記述:改善の提案・指導・勧告を行うのはシステム監査人の役割ですが、対象部門へ直接指示したり、直接的に改善活動に関与することはしません。

システム監査2

問12-2-1

事業活動に関わる法令の遵守などを目的の一つとして、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応から構成される取組をCMMIという。

答え:×

設問は内部統制の説明となります。なお、CMMI(能力成熟度モデル統合)とは、CMM(能力成熟度モデル)を発展させたもので、開発プロセス以外のプロジェクト管理、ITサービス提供、人材開発なども評価の対象としたものです。CMMIでは、ソフトウェア開発組織及びプロジェクトのプロセスを改善するために、レベル1からレベル5までの5段階でその組織の成熟度レベルを段階的に定義します。 

問12-2-2

内部統制の考え方に関する記述a~dのうち、適切なものは2つある。

a事業活動に関わる法律などを遵守し、社会規範に適合した事業活動を促進することが目的の一つである。
b事業活動に関わる法律などを遵守することは目的の一つであるが、社会規範に適合した事業活動を促進することまでは求められていない。
c内部統制の考え方は、上場企業以外にも有効であり取り組む必要がある。
d内部統制の考え方は、上場企業だけに必要である。

答え:〇

内部統制の4つの目的のうち、「事業活動に関わる法令等の遵守」には法令以外にも、取引所の規則や会計基準等の社会規範、組織の定款やその他の内部規程等の自社内外の行動規範を遵守することも含まれます。

また、いわゆる大企業においては経営者が組織の内部統制を整備及び運用する役割と責任を負うことが規定されていますが、それ以外の中小企業においても内部統制は健全かつ効率的な組織運営のために有効であり、積極的に取り組む必要があります。

よって、適切な記述はaとcの2つとなります。

問12-2-3

内部統制におけるモニタリングの説明として、適切なものはaである。

a内部統制が有効に働いていることを継続的に評価するプロセス
b内部統制に関わる法令その他の規範の遵守を促進するプロセス
c内部統制の体制を構築するプロセス
d内部統制を阻害するリスクを分析するプロセス

答え:〇

a.モニタリング内部統制が有効に働いていることを継続的に評価するプロセス
b.情報と伝達内部統制に関わる法令その他の規範の遵守を促進するプロセス
c.統制活動内部統制の体制を構築するプロセス
d.リスクの評価と対応内部統制を阻害するリスクを分析するプロセス

問12-2-4

内部統制における相互けん制を働かせるための職務分掌の例として、「営業部門の申請書を経理部門が承認する」といったことが考えられる。

答え:〇

内部統制の構成要素の1つ「統制活動」では、職務分掌によって相互けん制を働かせ、業務上のミスや不正が起こるリスクを軽減します。職務分掌の典型的な例としては、「申請者が自身の申請を承認できないようにする」といったことが挙げられます。

問12-2-5

ITマネジメントとは、経営陣が組織の価値を高めるために実践する行動であり、情報システム戦略の策定及び実現に必要な組織能力のことをいう。

答え:×

設問はITガバナンスの説明となります。なお、IT マネジメントとは、経営方針及び IT ガバナンス方針に基づいて策定した IT 戦略の各目標を達成するために、IT システムの利活用に関するコントロールを実行し、その結果を経営者に報告するための体制を整備・運用する活動です。

問12-2-6

企業におけるITガバナンスを構築し、推進する責任者は情報システム部員である。

答え:×

企業におけるITガバナンスを構築し、推進する責任者は経営者です。経営者は、現在及び将来のITの利用についての評価とIT利用が事業の目的に合致することを確実にする役割があります。