システム監査技術者午前2平成29年

システム監査技術者午前2平成29年

(作成中)

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_1/2017h29h_au_am2_qs.pdf

問1 システム監査における,サンプリング(試査)に関する用語の説明のうち,適切

  なものはどれか。

      ぴゅう

ア 許容誤謬率とは,監査人が受け入れることができる所定の内部統制からの逸脱

 率であり,サンプルの件数を決めるときに用いられる。

イ サンプリングリスクとは,固有リスクと統制リスクを掛け合わせた結果である。

ウ 統計的サンプリングとは,特定の種類の例外取引を全て抽出する方法である。

エ 母集団とは,評価対象から結論を導き出すのに必要なデータ全体のうち,リス

 クが高いデータの集合である。

問2 システム監査における監査証拠の説明のうち,適切なものはどれか。

ア 監査人が計画した監査手続を記載した資料であり,監査人はその資料に基づい

 て監査を実施しなければならない。

イ 監査人が収集又は作成する資料であり,監査報告書に記載する監査意見や指摘

 事項は,その資料によって裏付けられていなければならない。

ウ 機密性が高い情報が含まれている資料であリ,監査人は監査報告書の作成後,

 速やかに全てを処分しなければならない。

エ 被監査部門が監査人に提出する資料であり,監査人が自ら作成する資料は含ま

 れない。

問3 システム監査基準(平成16年)の前文に記述されている基準の利用目的はどれか。

ア 監査人の行為規範として,システム監査業務の品質を確保し,有効かつ効率的

 に監査を実施するために利用する基準である。

イ システム監査人が監査上の判断の尺度として用いるために,情報セキュリティ

 監査基準と一体のものとして利用する基準である。

ウ 情報システムに保証を付与することを目的とした監査でなく,改善のための助

 言を行うことを目的とした監査に利用するための基準である。

エ 組織体の外部者に監査を依頼するシステム監査でなく,組織体の内部監査部門

 などが実施するシステム監査に利用するための基準である。

問4 システム監査法であるITF(lntegrated lbst Facility)法の説明はどれか。

ア 監査機能をもっだモジュールを監査対象プログラムに組み込んで実環境下で実

 行し,抽出条件に合った例外データ,異常データなどを収集し,監査対象プログ

 ラムの処理の正確性を検証する方法である。

イ 監査対象ファイルにシステム監査人用の口座を設け,実稼働中にテストデータ

 を入力し,その結果をあらかじめ用意した正しい結果と照合して,監査対象プロ

 グラムの処理の正確性を検証する方法である。

ウ システム監査人が準備した監査用プログラムと監査対象プログラムに同一のデ

 ータを入力し,両者の実行結果を比較することによって,監査対象プログラム

 処理の正確性を検証する方法である。

エ プログラムの検証したい部分を通過したときの状態を出力し,それらのデータ

 を基に監査対象プログラムの処理の正確性を検証する方法である。

4-

問5 システム監査基準(平成16年)に基づいて作成されたシステム監査報告書に関す

  る記述のうち,適切なものはどれか。

ア 助言型報告書の場合,コントロールの改善を目的として問題点を検出・提示す

 るためにシステム監査を実施した旨を記載してはならない。

イ 助言型報告書の場合,システム監査人と被監査部門の責任区別の存在は当然で

 あるが,保証型報告書とは異なり,責任区別にあえて言及する必要はない。

ウ 保証型報告書の場合,監査意見が監査証拠を評価した結果得られた根拠に基づ

 く保証である旨を記載する必要はない。

エ 保証型報告書の場合,システム監査人は自らが実施した監査の方法と結論だけ

 に責任を負う旨を記載してはならない。

問6 テストデータ法をシステム監査手続として使用する上での留意点はどれか。

ア 監査モジュールを適時に組み込み,本番データの正当性を検証すること

イ テスト対象プログラムのr]シックが本番で稼働しているものと同一であるかを

 確認すること

ウ テストデータには本番データをそのまま用いること

エ テストデータの作成に当たっては常に統計的サンプリング手法を用いること

問7 システム監査における監査証跡はどれか。

ア 監査業務の全過程において,監査人が収集及び作成した資料

イ 監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録

ウ 監査人が監査証拠を入手するために実施する監査術の組合せ

エ 監査人が監査手続を実施して収集した資料を監査人の判断に基づいて評価した

 結果

-

5-

問8 情報セキュリティ監査基準(Ver1.0)に基づく保証型監査の意見表明において,監

  査人が必要と認めた監査手続が制約され,保証意見の合理的な根拠を得ることがで

  きなかった場合の対応はどれか。

意見を表明しない。

肯定意見を表明する。

限定付肯定意見を表明する。

否定意見を表明する。







@@

 固定資産管理システムに係る IT 全般統制はどれか。

 ア 会計基準や法人税法などの改正を調査した上で,システムの変更要イ牛を

  定義し,承認を得る。

 イ 固定資産情報の登録に伴って耐用年数をシステム入力する際に,法人税法

  の耐用年数表との突合せを行う。

 ウ システム自動計算された減価償却費のうち,製造原価に配賦されるべき

  金額の振替仕訳伝票を起票する。

 エ システムに登録された固定資産情報と固定資産の棚卸結果とを照合して,

  除却・売却処理に漏れがないことを確認する。

キーワード

■解答■

  システム監査技術者午前2平成29年問09

------------------------------------------------------------------------

 金融庁 "財務報告に係る内部統制の評価及び監査に関する実施基準(平成23年)"

において,"全社的な内部統制" としての "ITへの対応" に該当する評価項目はど

れか。

 ア 新たなシステムの導入に当たり十分な試験が行われているか。

 イ 経営者は,ITに関する適切な戦略,計画などを定めているか。

 ウ システムに障害が発生した場合,分析や解決などの対応が適切に行われて

  いるか。

 エ 販売管理システムの運用業務を外部委託する契約を,社内規程に従って

  締結しているか。

キーワード

■解答■

  システム監査技術者午前2平成29年問10

------------------------------------------------------------------------

 JIS Q 20000-2:2013 (サービスマネジメントシステムの適用の手引) によれば,

サ一ビスレベル合意書(SLA)の作成指針のうち,最も適切なものはどれか。

 ア SLA では,顧客の責任は規定せずに,サービス提供者の責任を規定する。

 イ SLA において設定する目標は,サービス提供者の視点でできるだけ多く

  定義する。

 ウ ある顧客に対して複数のサービスを提供する際に,一つの SLA で複数

  のサービスに対処してもよい。

 エ 利用するサービスに関する情報は,サービスカタログに収録されている

  情報についても,必ず SLA に記載する。

キーワード

■解答■

  システム監査技術者午前2平成29年問11

------------------------------------------------------------------------


 データ管理者 (DA) とデータベース管理者 (DBA) を別々に任命した場合の DA

の役割として,適切なものはどれか。

 ア 業務データ量の増加傾向を把握し,ディスク装置の増設などを計画して実施

  する。

 イ システム開発の設計工程では,主に論理データベース設計を行い,データ項目

  を管理して標準化する。

 ウ システム開発のテストエ程では,主にパフォーマンスチューニングを担当す

  る。

 エ システム障害が発生した場合には,データの復旧や整合性のチェックなどを

  行う。

キーワード

■解答■

  システム監査技術者午前2平成29年問12

------------------------------------------------------------------------

 プログラムの著作物について,著作権法上,適法である行為はどれか。

 ア 海賊版を複製したプログラムと事前に知りながら入手し,業務で使用した。

 イ 業務処理用に購入したプログラムを複製し,社内教育用として各部門に

  配布した。

 ウ 職務著作のプログラムを,作成した担当者が独断で複製し,他社に貸与し

  た。

 エ 処理速度を向上させるために,購入したプログラムを改変した。

キーワード

■解答■

  システム監査技術者午前2平成29年問13

------------------------------------------------------------------------

 下請業者から納品されたプログラムに,下請業者側の事情を原因とするバグ

発見され,プログラムの修正が必要になった。このとき,支払期日を改めて定め

ようとする場合,下請代金支払遅延等防止法上認められている期間 (60日) の

起算日はどれか。

 ア 当初のプログラムの検査が終了した日

 イ 当初のプログラムが下請業者に返却された日

 ウ 修正済プログラムが納品された日

 エ 修正プログラムの検査が終了した日

キーワード

■解答■

  システム監査技術者午前2平成29年問14

  システム監査技術者午前2平成26年問12

 ウ 修正済プログラムが納品された日

------------------------------------------------------------------------

 インターネットのショッピングサイトで,商品の広告をする際に,商品の販売価

代金の支払時期及び支払方法,商品の引渡時期,売買契約の解除に関する事項な

どの表示を義務付けている法律はどれか。

 ア 商標法

 イ 電子消費者契約法

 ウ 特定商取引法

 エ 不正競争防止法


キーワード

■解答■

  システム監査技術者午前2平成29年問15

------------------------------------------------------------------------

------------------------------------------------------------------------

 リーダシップを“タスク志向”と“人間関係志向”の強弱で四つの型に分類し,部下

の成熟度によって,有効なリーダシップの型が変化するとしたものはどれか。

 ア SL 理論

 イ Y 理論

 ウ コンピテンシモデル

 エ マズローの欲求段階説

キーワード

■解答■

  システム監査技術者午前2平成29年問16

  ITストラテジスト午前2平成27年問19

 ア SL 理論

------------------------------------------------------------------------

問17 “商品”表ど商品別売上実績”表に対して,SQL文を実行して得られる売上平

  均金額はどれか。

商品

商品コード

商品名

商品ランク

S001

PPP

S002

QQQ

S003

RRR

S004

SSS

S005

Trr

S006

UUU

商品別売上実績

商品コード

売上合計金額

S001

50

S003

250

S004

350

S006

450

〔SQL文〕

SELECT AVG(売上合計金額)AS売上平均金額

   FROM商品LEFT OUTER JOIN 商品別売上実績

     ON商品.商品コード=商品別売上実績.商品コード

   WHERE商品ランク=’A’

   GROUP BY商品ランク

ア 100

イ 150

ウ 225

-

9-

工 275


問18 サブネットマスクが255,255.252.0のとき,IPアドレス172.30.123.45のホスト

  属するサブネットワークのアドレスはどれか。

ア 172.30.3.0

イ 172.30.120.0  ウ 172.30.123.0  エ 172.30.252.0


 CSIRT の説明として,適切なものはどれか。

 ア JIS Q 15001:2006 に適合して,個人情報について適切な保護措置を講じる

  体制を整備・運用している事業者などを認定する組織

 イ 企業や行政機関などに設置され,コンピュータセキュリティインシデント

  に対応する活動を行う組織

 ウ 電子政府のセキュリティを確保するために,安全性及び実装性に優れると

  判断される暗号術を選出する組織

 エ 内閣官房に設置され,サイバーセキュリティ政策に関する総合調整を行い

  つつ,“世界を率先する”“強靭で”“活力ある”サイバー空間の構築に向けた活動

  を行う組織

キーワード■ CSIRT(シーサート,Computer Security Incident Response Team)


■解答■

  システム監査技術者午前2平成29年問19

 イ 企業や行政機関などに設置され,コンピュータセキュリティインシデント

  に対応する活動を行う組織


------------------------------------------------------------------------


 ブルートフォース攻撃に該当するものはどれか。

 ア Web ブラウザと Web サーバの間の通信で,認証が成功してセッション

  開始されているときに,Cookie などのセッション情報を盗む。

 イ 可能性がある文字のあらゆる組合せをパスワードとしてログインを試みる。

 ウ コンピュータへのキー人力を全て記録して外部に送信する。

 エ 正当な利用者ログインシーケンスを盗聴者が記録してサーバに送信する。

キーワード

■解答■

  システム監査技術者午前2平成29年問20

------------------------------------------------------------------------


 ベネトレーションテストに該当するものはどれか。

 ア 暗号化で使用している暗号方式と鍵長が,設計仕様と一致することを確認

  する。

 イ 対象プログラムの入力に対する出力結果が,出力仕様と一致することを

  確認する。

 ウ ファイアウォールが単位時間当たりに処理できるセッション数を確認する。

 エ ファイアウォールや公開サーバに侵入できないかどうかを確認する。

キーワード

■解答■

  システム監査技術者午前2平成29年問21

  プロジェクトマネージャ午前2平成29年問25

  高度共通午前1平成27年秋問15


------------------------------------------------------------------------




 システム及びソフトウェア品質モデルの規であるJIS X 25010:2013 で定義さ

れたシステム及び/又はソフトウェア製品の品質特性に関する説明のうち,適切

なものはどれか。

 ア 機能適合性とは,明示された状況下で使用するとき,明示的ニーズ及び暗黙

  のニーズを満足させる機能を,製品又はシステムが提供する度合いのことである。

 イ 信頼性とは,明記された状態(条件)で使用する資源の量に関係する性能

  の度合いのことである。

 ウ 性能効率性とは,明示された利用状況において,有効性,効率性及び満足性

  をもって明示された目標を達成するために,明示された利用者が製品又はシステム

  を利用することができる度合いのことである。

 エ 保守性とは,明示された時間帯で,明示された条件下に,システム,製品又は

 構成要素が明示された機能を実行する度合いのことである。

キーワード

■解答■

  システム監査技術者午前2平成29年問22

------------------------------------------------------------------------


問23 CRUDマトリックスを用いてエンティティのライフサイクル分析を行った。この

  マトリックスから分かることはどれか。

了二

顧客

製品

受注

受注明細

顧客登録・更新

C R U D

顧客検索

製品登録・更新

C R U

製品検索

受注登録・更新

C   U

C   U

受注検索

ア 削除する機能が用意されていないエンティティがあるので,誤登録や多重登録

 したエンティティを削除できないおそれがある。

イ どの機能からも参照されないエンティティがあるので,必要な機能が漏れてい

 るおそれがある。

ウ 複数の機能が同一のエンティティを更新するので,デッドロックが発生するお

 それがある。

エ 複数の機能から生成されるエンティティがあるので,機能が重複しているおそ

 れがある。

-

12 -

 マーケットバスケット分析を説明したものはどれか。

 ア POS システムで収集した販売情報から,顧客が買物をした際の購入商品の

  組合せなどを分析する。

 イ 網の目状に一定の経線と緯線で区切った地域に対して,人口,購買力など

  様々なデータを集計し,より細かく地域の分析を行う。

 ウ 一定の目的で地域を幾つかに分割し,各地域にオピニオンリーダを選んで

  反復調査を行い,地域の傾向や実態を把握する。

 エ 商品ごとの販売金額又は粗利益額を高い順に並べ,その累計比率から商品を

  三つのランクに分けて商品分析を行い,売れ筋商品を把握する。

キーワード

■解答■

  システム監査技術者午前2平成29年問24

  ITストラテジスト午前2平成27年問11

  ITストラテジスト午前2平成25年問15

  ITストラテジスト午前2平成22年問10

 ア POS システムで収集した販売情報から,顧客が買物をした際の購入商品の

  組合せなどを分析する。

------------------------------------------------------------------------

 ファイブフォース分析において、企業の競争力に影響を与える五つの要因とし

て、新規参入者の脅威、バイヤの交渉力、競争業者間の敵対関係、代替製品の脅威

と、もう一つはどれか。

 ア サプライヤの交渉力

 イ 自社製品の品質

 ウ 消費者の購買力

 エ 政府の規制

キーワード

■解答■

  システム監査技術者午前2平成29年問25

 ア サプライヤの交渉力


------------------------------------------------------------------------