応用情報技術者試験 ★システム監査問題を選択するメリット★
応用情報技術者試験の午後問題のシステム監査を選択するメリットについてお話します。
当方、プロの監査人ではなく、システム系業種に身を置き、監査知識は過去の内部監査に携わった経験+試験を受けるために勉強した知識のみ保有しております。
選択をお勧めする方
・数学より国語が得意
・下流工程より、上流工程で顧客調整・仕様書・報告書など
文章を書く機会が多い
・社内で棚卸や監査などの文化が根付いている
★風紀委員目線で物事を見ることができる
問題のポイント
・文章は長いがテクニカル分野より問題数が多くないのもポイント。
・ほぼ毎期、最後の問11に出題されている傾向がある。
・項番を数値で答えさせる問題はあるが、四則計算はここ5年くらいの問題でほぼ無い
・専門用語を書かせるよりは文章や記号を答える問題が多い。
用語についてざっくりめに説明します
・内部監査~会社内で行う。組織に対して不正がないか、利害関係のないその組織以外の独立した人間が証拠書類・成果物・記録に不整合がないかをチェックする。
・外部監査~利害関係のない、会社外の組織が監査を行う。
・システム監査~IT技術を用いた業務で行われる監査
監査の流れ
①監査計画
②予備調査~本調査前の事前下調べ。管理者にアンケート等で情報を収集
③本調査~予備調査で得た内容を元に行う。
午後問題でキーとなるのが
作業前に準備しておいた書類、仕様書、マニュアル、計画書、作業リスト、コントロール(誰がアクセス許可を得ているか)内容、に対して
作業後に発生するアクセスログ、メール、データ、報告書などの監査証拠・監査証跡
→このようなワードはもれなく下線を引くこと!!
★問題で問われるのが作業前と作業後の内容に不整合がないか、突き合わせる書類(データ)のペアを答えさせる問題が多い
★よく出てくるのが地方営業所で入力者と承認者が同じ人物である、とか承認無しで発注ができてしまう。
金額の記録がない、という不正ができる環境である、という答えを求める設問。
監査手続~予備調査・本調査で適切な証拠を入手するための手続き
④監査報告~本調査で浮き上がった不正内容や不足内容を被監査部門の管理者へ報告する。成果物として「監査調書」がよく出る
⑤改善提案(フォローアップ)~監査で気が付いたことや改善したほうが良い点を助言・提案する(命令ではない)
★ここで監査人がやってはいけないことは、その組織に対し「指示」「命令」すること
午後問題で答えさせる内容の傾向
・アクセス権~権限のない人が人事情報などが見れてしまう。退職者の情報がすぐに削除されず年度末まで残ってしまっている。
パスワード管理が弱く入室許可のないスタッフが入れてしまう、管理者IDが管理者でないスタッフや外部作業者でも使えてしまう。
ID、パスワードの棚卸が定期的に行われていない。
・作業計画と実際の作業記録が一致しない。
・網羅性確認~在庫データなど記録で連番が降られている、日時が記録されている、漏れがないか。
・権限の独立性~受発注システムなど売り上げに絡む内容で入力者と承認者が同じであること。不正であること、
または、承認を得ずに発注できる。記録にキチンと残す仕組みが不足している、を答えさせる問題。
・最近はRPAやクラウドに絡む問題も散見されるので基本的な知識を抑える。RPAなら自動化しているが内容に漏れがないか、バッチ処理で漏れがないかなど。クラウドはデータの可用性が保たれているか、など。
午後問題 回答テクニック
・回答から読む。どの業務に絡む問題なのかぼんやり見えてくる
・マニュアル、記録、ログなどの書類系は答えに直結するので下線を引く
・否定形の言葉があったら下線!「~しなかった、できなかった等」
・問題文は後半のほうが問題に絡む内容がちりばめられているので時間をかける
・問題文前半は業務の背景が書かれているため、短時間でさっと読む。ただし登場する書類は下線を引くこと!
以上、ここまで読んでいただきありがとうございました!
この分野で20点取得、目指しましょう!