システム監査技術者午前2平成28年

システム監査技術者午前2平成28年

問1 “システム監査基準”で定めているシステム監査業務の品質管理の主な目的はど

  れか。

監査時期,範囲,手続などについてのシステム監査計画を立案すること

システム監査結果の適正性を確保すること

システム監査で入手した情報の機密性を維持すること

システム監査の実施を通して,情報システムの品質向上に貢献すること

問2 システム監査において実施される“試査”に該当するものはどれか。

ア 監査対象に最も適合した監査手続を決定するために,幾つかの監査法を試行

 する。

イ 計算モジュールの正確性を確認するために,ソースプログラムレビューする。

ウ 全てのトランザクションデータに監査手続を試験的に適用し,その処理の正当

 性について判断する。

エ 抽出した一定件数のトランザクションデータに監査手続を適用し,データ全件

 の正当性について判断する。

問3 財務報告に係る内部統制監査におけるリスクアプローチの説明のうち,適切なも

  のはどれか。

ア 監査の効率性を念頭におき,固有リスクだけを評価する。

イ 財務諸表の重要な虚偽表示リスクの有無にかかわらず,任意に抽出した業務プ

 ロセスに対してリスクを評価する。

ウ 財務報告に係る全ての業務に対して,ボトムアップで網羅的にリスクを洗い出

 して評価する。

エ 想定されるリスクのうち,財務諸表の重要な虚偽表示リスクが高い項目に監査

 のリソースを重点的に配分する。

問4 “システム監査基準”における“監査の手順”はどれか。

打合せ→情報収集→予備調査→報告書作成

監査対象の明確化→本調査→監査手続書の作成→評価・報告

監査手続書の作成→実地調査-9フォローアップ→報告書作成

予備調査→本調査⇒評価・結論

問5 表はコンピュータを利用して行うシステム監査法についてまとめたものである。

  (1)~(4)の組合せとして,適切なものはどれか。

 法

主な機能

システム

のテスト

(1)

(2)

(3)

(4)

稼働中のオンラインシス

テムからのデータ抽出

テストデータ

汎用監査ソフトウェア

組込み監査モジュール

ITF

並行シミュレーション法

スナップショット法

トレージンク法

コード比較法

(1)

(2)

(3)

(4)

稼働中オンライン

システムのテスト

プログラム変更の

検証

データの抽出

プログラムロジッ

クの分析

稼働中オンライン

システムのテスト

プログラムロジッ

クの分析

プログラム変更の

検証

データの抽出

データの抽出

稼働中オンライン

システムのテスト

プログラムロジッ

クの分析

プログラム変更の

検証

データの抽出

プログラムロジッ

クの分析

稼働中オンライン

システムのテスト

プログラム変更の

検証

問6 日本公認会計士協会の監査・保証実務委員会実務指針第86号“受託業務に係る内

  部統制の保証報告書”に基づいて作成される文書と作成者の適切な組合せはどれか。

  ここで,受託業務の一部について再委託が行われており,除外方式を採用している

  ものとする。

保証報告書

システムに関する記述書

受託会社確認書

監査人

監査人

監査人

監査人

被監査会社(受託会社)

再受託会社

監査人

被監査会社(受託会社)

被監査会社(受託会社)

被監査会社(受託会社)

監査人

再受託会社

問7 JIS Q 19011:2012 における第二者監査に該当するものはどれか。

ア 監査法人による会社法監査

イ 業務委託先である子会社へのシステム監査

ウ 審査機関によるISMS認証審査

工 内部監査人が行う情報セキュリティ監査

5-

問8 システム監査で利用する統計的サンプリング法に関する記述のうち,適切なもの

  はどれか。

ア サンプルの抽出に無作為抽出法を用い,サンプルの評価結果に基づいて母集団

 に関する結論を出す場合に,確率論の考え方を用いる。

イ 抽出するサンプル数は,統計的サンプリングと非統計的サンプリングの選択を

 決定付ける重要な判断基準である。

ウ 抽出するサンプルを統計的に決定するのではなく,サンプルに対して評価手続

 を実施した結果を統計的に推定する。

エ 無作為抽出法を用いるだけではなく,システム監査人が経験的判断を加味して,

 サンプルを抽出する。

問9 金融庁の“財務報告に係る内部統制の評価及び監査の基準”におけるIT業務処理

  統制に該当するものはどれか。

外部委託に関する契約の管理

システムの運用管理

システムの開発・保守に係る管理

利用部門によるエラーデータの修正と再処理



@@

 債権管理システムから出力された債権残高の集計処理結果を用いて,経理部門

が事後的に実施できる,異常の有無の検証に有効な方法はどれか。

 ア 債権データ生成時における,得意先コードを用いた得意先マスクとの

  自動マッチング

 イ 債権データの金額項目のフォーマットチェック

 ウ スプレッドシートを用いた売掛債権回転期間の前年同期比較チェック

 エ 正規の権限者による操作に限定するアクセスコントロール

キーワード

■解答■

  システム監査技術者午前2平成28年問10

------------------------------------------------------------------------

 ITIL で定義されるサービスのライフサイクルにおける,サービストランジション段階

の説明はどれか。

 ア 規定された要件と制約に沿って,サービスを運用に移行し,確実に稼働さ

  せることである。

 イ サービスの効率,有効性,費用対効果の観点で運用状況を継続的に測定し,

  改善していくことである。

 ウ サービスの内容を具体的に決めることである。

 エ 戦略的資産として,どのようにサービスマネジメントを設計,開発,導入

  するかについての手引を提供することである。


キーワード

■解答■

  システム監査技術者午前2平成28年問11

------------------------------------------------------------------------

 IT サービスマネジメントにおいて,構成ベースラインを確立することによって

可能になることはどれか。

 ア IT サービスの存続期間を通したパフォーマンスの変化の測定

 イ インシデントが発生したときの問題管理プロセスでの状況証拠の分析

 ウ 構成監査及び切り戻しのための基準の提供

 エ サービスを機能させるために必要な最低限の利用可能レベルの定義


キーワード

■解答■

  システム監査技術者午前2平成28年問12

------------------------------------------------------------------------


 法人が作成し,公開,発売したソフトウェア著作権の権利期間は公開から何年

か。

 ア 15

 イ 20

 ウ 30

 エ 50

キーワード

■解答■

  システム監査技術者午前2平成28年問13


------------------------------------------------------------------------

[]

 常時 10 名以上の従業員を有するソフトウェア開発会社が,社内の情報セキュリテイ管理

を強化するために,機密情報を扱う担当従業員の扱いを見直すこととした。労働法

に照らし,適切な行為はどれか。

 ア 就業規則に業務上知り得た秘密の漏えい禁止の一般的な規定があるが,

  担当従業員の職務に即して秘密の内容を特定する個別合意を行う。

 イ 就業規則には業務上知り得た秘密の漏えい禁止の規定がないので,漏えい禁止

  と処分の規定を従業員の合意を得ずに就業規則に追加する。

 ウ 情報セキュリティ事故を起こした場合の処分について,担当従業員との間で,

  就業規則よりも処分の内容を重くした個別合意を行う。

 エ 情報セキュリティに関連する規定は就業規則に記載する事項ではないので,

  就業規則に規定を設けようとはせずに,全ての従業員と個別合意を行う。

キーワード

■解答■

  システム監査技術者午前2平成28年問14



------------------------------------------------------------------------

 表は,CSR (Corporate Social Responsibility) をキャロルの四つの責任分野

に分類し、それぞれの企業活動例を示している。表中のcに入るものはどれか。

 =================================

  責任分野 企業活動例

 =================================

   a   法人税の納付

   b   コンプライアンスの徹底

   c   環境会計の導入

   d   文化・芸術活動支援

 =================================

 ア 経済的責任

 イ 社会的責任

 ウ 法的責任

 エ 倫理的責任

キーワード

■解答■

  システム監査技術者午前2平成28年問16

 エ 倫理的責任

------------------------------------------------------------------------

 導出表を説明したものはどれか。

 ア 実表に依存していない表のことである。

 イ 実表の一部をコピーして別に保存した表である。

 ウ 何らかの問合せによって得られた表である。

 エ ニつ以上の実表の関連である。

キーワード

■解答■

  システム監査技術者午前2平成28年問17

 ウ 何らかの問合せによって得られた表である。

------------------------------------------------------------------------

 ネットワークの経路制御プロトコルのうち,IPv6 ネットワークに使用され、

距離ベクトル方式を用いているものはどれか。

 ア BGP-4

 イ OSPFv3

 ウ RIP-2

 エ RIPng

キーワード

■解答■

  システム監査技術者午前2平成28年問18

 エ RIPng

------------------------------------------------------------------------

 CRYPTREC の役割として、適切なものはどれか。

 ア 外国為替及び外国貿易法で規制されている暗号装置の輸出を審査,検査する。

 イ 政府調達においてIT関連製品のセキュリティ機能の適切性を評価,認証する。

 ウ 電子政府での利用を推奨する暗号術の安全性を評価,監視する。

 エ 民間企業のサーバに対するセキュリティ攻撃を監視,検知する。

キーワード

■解答■

  システム監査技術者午前2平成28年問19

 ウ 電子政府での利用を推奨する暗号術の安全性を評価,監視する。

------------------------------------------------------------------------

 ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

 ア あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイル

  を用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。

 イ ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加

  しておき,検査時に不整合があれば感染を検出する。

 ウ ウイルスの感染が疑わしい検査対象を,安全な場所に保管されている原本

  と比較し,異なっていれば感染を検出する。

 エ ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の

  異常増加などの変化を監視して,感染を検出する。

キーワード

■解答■

  システム監査技術者午前2平成28年問20

 エ ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の

  異常増加などの変化を監視して,感染を検出する。

------------------------------------------------------------------------

 DNSSEC の機能はどれか。

 ア DNS キャッシュサーバの設定によって再帰的な問合せの受付範囲が最大

  になるようにする。

 イ DNS サーバから受け取るリソースレコードに対するディジタル署名を利用

  して,リソースレコードの送信者の正当性とデータの完全性を検証する。

 ウ ISP などのセカンダリ DNS サーバを利用して DNS コンテンツサーバを

  二重化することによって,名前解決の可用性を高める。

 エ 共通鍵暗号術とハッジュ関数を利用したセキュアな方法によって,

  DNS 更新要求が許可されているエンドポイントを特定して認証する。

キーワード

■解答■

  システム監査技術者午前2平成28年問21

 イ DNS サーバから受け取るリソースレコードに対するディジタル署名を利用

  して,リソースレコードの送信者の正当性とデータの完全性を検証する。

------------------------------------------------------------------------

 デザインレビュー方法に関する記述のうち,適切なものはどれか。

 ア インスペクションでは,絞られた問題事項に関して様々な角度からの分析

  を行うことができるので,対策を引き出しやすい。

 イ ウォークスルーでは,運営を指揮するリーグが,メンバが作成した

  レビュー対象の資料・成果物を参加者に説明する。

 ウ プロトタイプを採用する開発では,利用者が直接検証するプロトタイピング

  によってレビューを省略できる。

 エ ラウンドロビンレビューでは,参加者の作業量を均一にすることによっ

  て,参加者の経験や知識レベルに影響されないようにする。

キーワード

■解答■

  システム監査技術者午前2平成28年問22

 ア インスペクションでは,絞られた問題事項に関して様々な角度からの分析

  を行うことができるので,対策を引き出しやすい。

------------------------------------------------------------------------

 JlS X 0161:2008 によるソフトウェア保守のタイプのうち,適応保守はどれか。

 ア ソフトウェア製品の引渡し後に発見された問題を訂正するために行う受け

  身の修正

 イ 引渡し後,変化した又は変化している環境において,ソフトウェア製品を

  使用できるように保ち続けるために実施するソフトウェア製品の修正

 ウ 引渡し後のソフトウェア製品の潜在的な障害が,故障として現れる前に,

  検出し訂正するための修正

 エ 引渡し後のソフトウェア製品の潜在的な障害が運用障害になる前に発見し,

  是正を行うための修正

キーワード

■解答■

  システム監査技術者午前2平成28年問23

 イ 引渡し後,変化した又は変化している環境において,ソフトウェア製品を

  使用できるように保ち続けるために実施するソフトウェア製品の修正

------------------------------------------------------------------------

 市場成長率と相対的市場シェアから,市場と企業の関係を分析し,自社製品や

事業についての最適な資源配分方針を求めるための手法はどれか。

 ア 3C

 イ BSC

 ウ PPM

 エ SWOT

キーワード

■解答■

  システム監査技術者午前2平成28年問24

 ウ PPM

------------------------------------------------------------------------

問25 SECIモデルにおける,内面化の説明はどれか。

SECI モデルにおける、内面化の説明はどれか。

 ア 新たに創造された知識を組織に広め、新たな暗黙知を習得すること

 イ 組織内の個人、小グループが有する暗黙知を形式知として明示化すること

 ウ 組織内の個人、小グループで暗黙知の共有化や、新たな暗黙知を創造を

  行うこと

 エ 明示化した形式知を組み合わせ、それを基に新たな知識を創造すること

キーワード

■解答■

  システム監査技術者午前2平成28年問25

 ア 新たに創造された知識を組織に広め、新たな暗黙知を習得すること

------------------------------------------------------------------------