2017年4月16日日曜日

システム監査技術者試験 再び

システム監査技術者試験を受験してきました。

去年落ちたので、リベンジです。

【午前I】
 免除。

【午前II】
 去年よりは解きやすかったと思いました。監査カテゴリはほとんど過去問だったんじゃないかな。
 60%は大丈夫でしょう。
 アイアイイ
 イイアアイ
 ウイエウウ
 アアイイイ
 エアアアイ
 ★追記 23/25でした。

【午後I】
 問1問2選択。問1は難しかった。プロジェクトの問題点が一見全然ないように見えて、ヒントを見つけるのに苦労しました。まったく分からなかった問題はなかったので、ピント外れの解答は無いと思いたいのですが。

【午後II】
 今回は、本当に勉強不足で、午後IIは昨年作ったネタを覚え直すのが精一杯。書く練習どころか過去問検討すら満足にできなかったので、下手すると全然書けないんじゃないかと思ったのですが、透けていた問1が構造化しやすそうな設問形式(概要→内部不正時の影響→技術的対策の実施状況の監査手続→組織的対策の実施状況の監査手続)だったので、素材は用意していなかったんだけど、問1に賭けました。
 設問イとウで2トピックずつ用意していたけど、設問ウは時間が足りないと思ったので1トピックを膨らましになりました。設問アで700、設問イで1200、設問ウで800ぐらい。
 去年よりはまともな論文だと思います。これで論文Bだったら、もう用意した素材直撃じゃないと受かる気がしない…

さて、いつものとおり、午後Iの再現をしておこうかと思います。
午後IIはいつもパスですが、今回は骨子だけ残しておこうと思います。
あ、言うまでもないですが、午後IIはフィクションですよ。
皆そうだと思うけど、本当のことは書けませんからね。
経験とか、想像とか、出入りの業者さんに聞いた話とか、新聞で見た話とか、そんなんをミックスしてひねり出す妄想って感じです。

午後I
【問1】
設問1
A社の製品在庫になっているモジュール製品製造用のB社製品のコードが9桁のままになる可能性があるから(49文字)
設問2
棚卸差異の原因、及び調査後の適正数量の登録入力者と承認入力者を分ける(34文字)
設問3
在庫移管開始前に、棚卸差異があった品目の承認と修正が完了していることを確認する(39文字)
設問4
在庫データ統合完了後のB社在庫データの最終出庫日が在庫移管日となっていないことを確認する(44文字)

設問5
取引件数・品目数の増加による処理能力の余裕はどうか及び物流効率の低下は起きていないか(42文字)


【問2】
設問1
単純ミスや標準に合致しない記述の修正指摘などを行程完了判定会議に提出する実績から除いてもよいか(47文字)
設問2
レビュー実施時間が目標達成しており指摘密度の低さがレビュー品質の低さのせいでない(40文字)
設問3
(1)レビューアによって指摘区分や指摘項目にバラツキがなくレビュー品質が一定か(36文字)
(2)サンプリングに偏りがあってはならないため、50件すべてのプロジェクトからサンプリングする(44文字)
設問4
テスト密度、欠陥密度の確認により、テストケースやテスト品質に問題がないことを確認しているか(45文字)

午後II
設問ア
1.1 情報システムの概要
・S社はシステム開発・運用を主な業務とする企業である。
・電機大手A社の子会社であり、A社はたくさんの子会社とともに企業グループを形成している。
・以前は情報セキュリティポリシーはグループで統一されておらず、セキュリティ維持の情報システムも異なっていた。
・先般、子会社の1つで、情報システム部門の従業員が情報を持ち出して漏えいする事件が発生した。
・そこで、再発防止のため、グループ統一の情報セキュリティポリシーと情報出力証跡管理システムを開発・運用することにした。
・これにより、情報をUSB等に出力、メールに添付、Webにアップロードするには、上司の一時利用許可をシステムに登録しなければならなくなった。
1.2 内部不正が発生した場合の影響
・子会社には安全保障にかかわる機密を保持しているものもあり、そのような情報が漏えいすればその影響は計り知れない。
・更に、先般の不祥事の再発防止策を発表しているため、万が一次の漏えい事件を起こせば、組織の社会的信用の失墜からグループの存続すら危うくなりかねない。

設問イ
2 技術的対策の実施状況を確認する監査手続
2.1 管理者権限の悪用の防止
・先般の事件は、情報システム部門の従業員が、そのシステムを運用するために与えられていた管理者権限を悪用して発生した。
・内部不正では、管理者権限を悪用されたことが原因の漏えい事件が多いのが特徴である。
・そこで、まずS社の情報システム部門にヒアリングし、本システムの管理者権限でできる操作を確認したところ、管理者権限であれば、誰の出力も許可できるが、自分自身に対して許可をすることはできないとのことであった。
・また、管理者権限による出力の許可を行うと、S社の運用管理システムに通知されるため、秘密裏に行うことはできないとのことであった。
・次に、子会社の情報システム部門の従業員に実際に管理者権限で操作してもらい、自分自身への出力の許可がエラーとなること、管理者権限での部下以外の出力の許可操作で、S社の運用管理システムから警告のアラートが発せられることを確認した。
2.2 データベースの直接操作の防止
・内部不正では、情報システムの管理者権限を悪用して行うほか、システムのデータベースを直接編集して不正を行うケースが多いのも特徴である。
・そこで、まずS社の情報システム部門にヒアリングし、本システムのデータベース操作の可否についてヒアリングしたところ、本システムのデータベースは暗号化されており、複合するための鍵が格納されたICカードを持っていないと操作することができず、そのカードは一部の役員が保管しているため、運用担当者が独断でデータベースを操作することはできないとのことであった。
・次に、子会社の情報システム部門に赴き、実際に役員にICカードを借りてもらい、ICカードなしでは暗号化されていること、ICカードを適用した際に複合され、操作できるようになったことを確認した。

設問ウ
3 組織的対策の実施状況を確認する監査手続
・いくら技術的対策を講じていても、そのルールや運用に抜け道が多く存在すれば、内部不正を誘発することになる。一方、「割れ窓理論」のように、規程が隙無く整備され、手順も周知され、それらを遵守させる施策が揃っていれば、内部不正は激減するのも特徴である。
・本システムでは、上司による許可を行った後に行った出力作業はすべて証跡として記録される。また、上司による許可も、すべて証跡をして記録される。
・まず、規程を確認したところ、出力の許可を行った上司は、1か月に1回、出力の証跡を点検する規定となっていることを確認した。また、部門の長は、1か月に1回、許可の証跡を点検する規定となっていることも確認した。
・ここで、私は、いくら規程で1か月に1回点検を義務付けられていても、システムの証跡など一般の従業員には点検できないのではないか、と疑問をもった。そこで、この点S社の情報システムの開発部門にヒアリングしたところ、点検の対象となる証跡は、システムが持つ証跡から、不要な列の削除、重複する行の削除、列見出しの追加等を行い、見やすくしたものを送るとのことであった。
・最後に、グループ企業の一般部門からサンプリングしたいくつかの部門において、部門の長及び部下に対して出力許可を行った者に、点検を実演してもらった。すると、点検のファイルは非常に見やすいものになっていた他、マニュアルが整備され、見るだけの点検ではなく、誰が点検しても同じ品質で点検できるようになっていることを確認した。

0 件のコメント:

コメントを投稿