<< September 2018 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>
<< システム監査技術者 午後1の自己採点 | main | XMLマスター:ベーシックを受験する >>

システム監査技術者 午後1解答の検討

アイテックタックと違うところ(間違えたところ)を中心に。
問1設問1
完全に間違えた。頭があら探しモードになっていた。
設問2
「オペレータによる直接オペレーションをできるだけ防いでいる理由」としては、
  • 不正なオペレーションの排除
  • オペレーションミスの排除、
  • その他
が考えられる。「不正の排除」と考えたのがアイテック・タック。俺は「ミスの排除」と考えた。
明示されていないが、運用監視システムのモードを切り替えるのはオペレータが行うと言うことで良いと思う。だとすると、本番作業依頼票が出てなくても、オペレータは不正をなし得る。なので、「不正の排除」は、オペレータから渡されるログだけでなく、常にログファイルを監視しなければならない。つまり、登録が間に合わなかった作業がある場合だけの問題ではない。
一方、「ミスの排除」を目的と考えると、「オペレーション管理者は日中しか勤務していないので、出勤時にオペレーション日誌の確認を行っている」という記述が気になる。「自動実行=ミスがない=翌日確認可」と言えるが、手動実行の場合はどうか。問題文中には、「オペレータがログを確認する」という記述が一切見あたらないので、操作ミスが(オペレーション管理者がログを確認する)翌日まで発見されない可能性がある。
設問3(2)
「基盤管理課長が手続どおりに実施していない」ことを疑うので、(4)も実施されていないことも考えた。

問2設問3[ログファイル]
暗証番号がP社に漏れることが問題なのか、P社以外に漏れることが問題(P社に漏れることは許容する)なのかが気になる。俺は、後者と考えた。「P社との契約の秘密保持条項を確認する」という方向性もあるか。

問4設問2
表の項番①の監査項目は、「標準契約書以外の契約に際して、新たな申請テンプレートが登録されていること」である。この表は正しいという前提で考えて良い。したがって、「標準契約書以外の契約」を行っている課で、「申請テンプレートの登録」が行われているかを検証すればよい。
アイタックのように「申請テンプレートの登録が多い課」を選んではダメ。申請テンプレートの登録をしなければいけないのに、登録していない課を調査しなければいけない。タックの「申請テンプレートの登録が少ない課」だと、標準契約書で済んでしまう課もあるため、不適切。ビジネスの種類ごとに申請テンプレートを登録するのだから、ビジネスの種類が多い課を選定すべき。総合商社なのだから、商品・サービスの種類の多い課である。内部監査なのだから、この選定は可能なはずである。
設問3
契約管理システムについて分からない点があれば、すべて情報システム部への問い合わせが発生するので、アイテックの解答例は、絞り込みすぎに思える。
設問4
〔契約管理システムの概要〕(4)承認ルート中の「ただし、事業部長以上の承認ルートを設定する必要がある」は、システム的に担保されていると考えられるので、①と②が適正に行われているかを監査すべき。タックの①別解と②が妥当か。
ss2004 * システム監査技術者 * 07:29 * comments(0) * trackbacks(0)

コメント

コメントする









トラックバック

このページの先頭へ