【論述過去問】システム監査技術者 午後2 問題文アーカイブ（昭和61年～令和6年）

🍀概要

　この資料は、過去のシステム監査技術者試験問題（論述形式）をテキスト化した「システム監査技術者の歴史書」です。Web上では見つけにくい、貴重で有益な示唆を含む、過去の問題文を、調査してテキスト化しました。 過去の課題から、現代そして未来に求められる理想像を紐解き、あなたの知識と視点を深めます。分析や考察に役立つよう、すぐにコピペして利用できる形式となっています。

🧾問題・設問

　出典：情報処理推進機構 システム監査技術者試験 平成6年～令和6年（1994～2024年） 午後2(🔗取り扱いガイドライン)
　出典：情報処理推進機構 情報処理システム監査技術者試験 昭和61年～平成5年（1986～1993年） 午後2

📘ダウンロード

こちらから、掲載した問題文を全て含む、MS Word、PDFファイルをダウンロードできます。
※情報処理推進機構のガイドラインをご確認の上、ご利用ください。(🔗取り扱いガイドライン)

🪄アーカイブ全文

📗R06:2024

【AU-R06-1-PM2-Q1】IT投資のガバナンスに関する監査について

　企業などの組織においては，クラウドサービス，AIなどの利活用が急速に進む一方で，大規模災害，サイバー攻撃などのリスクヘの対応が求められている。このような状況の下，IT投資の対象，優先順位などに関する意思決定は，組織の価値向上及び事業継続に重大な影響を及ぼすことから，IT投資のガバナンスの重要性が高まっている。
　組織のIT投資所管部門は，このような背景を踏まえて，IT投資の管理プロセスを整備，運用することが重要である。例えば，事業戦略及びIT戦略で設定された目標を達成するようIT投資計画を策定し，その計画に基づいて，ITに関する開発プロジェクト，基盤構築，人材育成などに投資する。さらに，IT投資に対する効果を評価し，評価結果に応じてIT投資計画を見直す。
　また，IT投資所管部門は，組織のガバナンス体制で求められる役割を遂行し，取締役会などにおけるIT投資に関する意思決定に貢献することが重要になる。例えば，IT投資所管部門は，取締役会などに対して，IT投資の実施状況を適時，適切に報告する。さらに，取締役会などの指示に従って，IT投資計画を見直し，取締役会などの承認を得る。
　システム監査人は，IT投資のガバナンスに関する監査を計画する場合，このような状況を踏まえて，IT投資の管理プロセス及びガバナンス体制に関連付けて，監査の着眼点及び入手すべき監査証拠などを検討する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織におけるIT投資の概要及びガバナンス体制について，800字以内で述べよ。
■設問イ
　設問アで述べたIT投資のガバナンスに関して，監査の着眼点及び入手すべき監査証拠について，IT投資の管理プロセスに関連付けて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問アで述べたIT投資のガバナンスに関して，監査の着眼点及び入手すべき監査証拠について，IT投資のガバナンス体制に関連付けて，700字以上1,400字以内で具体的に述べよ。

【AU-R06-1-PM2-Q2】情報システムの外部サービスを活用した運用プロセスの監査について

　ビジネスの複雑化，テクノロジの高度化などに伴って，情報システムの運用プロセスにIaaS，SaaS，AMO(Application Management Outsourcing)などの外部サービスを活用する事例が増えている。これらのサービスを活用することに伴う最終的な責任は委託元にあり，委託元は外部サービスを含めた業務全体のITリスクを分析，評価し，対応策を適切に策定し，運用する役割と責任がある。
　委託元は，外部サービスを活用した運用プロセスにおけるITリスクヘの対応策を漏れなく策定できるように委託先との責任分界点を明確にし，委託先が実施する対応策を十分に評価した上で，自らが実施する対応策を講じる必要がある。また，委託元は，外部サービスの業務への影響やITリスクの大きさに応じて，委託先の責任範囲であっても自らが実施する対応策を講じるかどうか検討する。さらに，委託元は，例えば，定期報告会の開催，現地調査，第三者による評価・検証報告書の活用などによって，委託先での対応策の実施状況を継続的にモニタリングする必要がある。モニタリングの結果，必要であれば委託元の対応策の見直しを行うことが求められる。
　システム監査人は，情報システムの外部サービスを活用した運用プロセスにおいて，委託元でITリスクの分析が行われ，委託元が実施すべき対応策が適切に実施されていることを確かめる必要がある。また，委託先が実施すべき対応策については，委託元による委託先へのモニタリングが適切に実施されていることを確かめることが重要である。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する情報システムの概要，並びに運用プロセスにおける外部サービスの位置づけ及びその内容について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの外部サービスを活用した運用プロセスの監査計画において，大きいと判断したITリスク及びこれに対する委託元と委託先の対応策について，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたITリスクヘの対応策に漏れがないかどうか，及び委託元において適切に実施又はモニタリングされているかどうかを確かめるための監査手続を，700字以上1,400字以内で具体的に述べよ。

📗R05:2023

【AU-R05-1-PM2-Q1】データ利活用基盤の構築に関するシステム監査について

　情報通信技術が進展し，消費者，利用者などのニーズが多様化する中，企業などの組織は，ビッグデータを利活用して経営課題を解決したり，新たなビジネス，サービスを創造したりすることに取り組んでいる。例えば，定量的データだけではなく，定性的データを分析するデータサイエンスの技術を活用した経営戦略策定，市場分析などが挙げられる。このような仕組みを実現するためには，関連する様々なデータを利活用できるプラットフォームとなるデータ基盤(以下，データ利活用基盤という)が必要になる。
　一方で，データの収集元になる情報システム，センサー機器などを個別に設計し，配置すると，組織全体として整合せず，データを有効に利活用できないおそれがある。また，パターン認識などに必要な画像データなどに偏りや欠損などが多いと，予測・シミュレーションの結果を誤ることも考えられる。
　したがって，企業などの組織では，一貫性があり，正確で信頼できるデータを収集し，保存するとともに，加工，分析したデータを蓄積するデータ利活用基盤の構築が重要になる。また，構築に当たっては，データの品質を維持したり，データのセキュリティを確保したりするなどの統制を組み込むことも必要である。
　今後，データ利活用を求められる状況が拡大していく中，システム監査人には，データ利活用基盤が適切に構築されているかどうかを確かめるための監査が求められる。また，監査を行うに当たっては，システム監査人の視点が，例えば，データセキュリティだけに偏ったりしないように留意する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織におけるデータ利活用基盤の構築の概要，目的，及びその基盤が必要となる理由について，800字以内で述べよ。
■設問イ
　設問アで述べたデータ利活用基盤の構築に際して，システム監査人はどのようなリスクを想定すべきか。700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクを踏まえて，データ利活用基盤が適切に構築されているかどうかを確かめるための監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-R05-1-PM2-Q2】サイバーセキュリティ管理態勢に関するシステム監査について

　情報通信技術の進展，デジタルトランスフォーメーション(DX)の取組拡大などに伴い，デジタル環境を前提とするビジネス，サービスが増えてきている。このような環境ではインターネットなど外部ネットワークとの接続を前提とすることから，サイバーセキュリティのリスクが高まっている。
　例えば，サイバー攻撃は，年々，高度化，巧妙化し，情報システムの停止，重要情報の外部流出などから攻撃があったことに気づく場合がある。また，サイバーセキュリティ対策が適切でないと，被害が拡大し，ビジネス，サービスに及ぼす影響が大きくなることも想定される。さらに，サプライチェーン上の取引先などのサイバーセキュリティ対策に脆弱性があると，取引先を経由した攻撃を受けるおそれもある。
　このようにサイバーセキュリティのリスクが多様化している状況においては，特定の情報システムにおけるインシデントが発生しないように技術的な対策を実施するだけでは不十分である。また，インシデント発生時の被害を最小限に抑え，ビジネス，サービスを速やかに復旧し，継続できるように対策しておくことが重要になる。したがって，企業などの組織には，サイバーセキュリティ管理態勢を構築して，PDCAサイクルを実施することが求められる。
　以上のような点を踏まえて，システム監査人は，サイバーセキュリティ管理態勢が適切かどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係するビジネス又はサービスの概要，及びサイバーセキュリティ管理態勢が必要となる理由について，800字以内で述べよ。
■設問イ
　設問アを踏まえて，サイバーセキュリティ管理態勢におけるPDCAサイクルの実施が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ，監査手続によって確かめるべき内容を，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イを踏まえて，インシデント発生時を想定したサイバーセキュリティ管理態勢が適切かどうかを確かめるための監査の着眼点及び入手すべき監査証拠を挙げ，監査手続によって確かめるべき内容を，700字以上1,400字以内で具体的に述べよ。

📗R04:2022

【AU-R04-1-PM2-Q1】情報システムの個別監査計画と監査手続について

　企業などの組織は，主力ビジネスを支える基幹システムや新規ビジネスを支援する情報システムなど，多様な情報システムを管理している。このような情報システムを対象とした個別監査計画では，システム監査を実施する上での重点項目・着眼点を適切に設定し，これに対する必要な監査時間・監査費用などの監査資源を見積もり，適切な監査手続を作成することが求められる。
　重点項目，着眼点の設定においては，情報システムの特徴，リスク評価結果，経営層の期待，過去の監査結果などを踏まえて，検討する必要がある。さらに，監査実施におけるテレワーク環境や監査資源などの監査上の制約についても検討し，その制約を踏まえて，監査の結論を誤る監査リスクを明確にする必要がある。
　監査リスクを明確にするためには，システム監査人が本来必要と考えた監査手続と，その監査手続が監査上の制約によって実施できないことで生じる監査リスクを関連付ける必要がある。その上で監査リスクを低い水準に抑える対応方法を検討する。状況によっては，現場訪問や資料の直接閲覧などの監査手続が実施できない場合がある。その場合，例えば，資料をPDFファイルで入手するだけでなく，PDFファイルの真正性を原本と同程度に確保するのに必要な監査証拠を入手するための監査手続を作成するなどの対応が必要となる。
　システム監査人は，以上のような点を踏まえ，監査実施上の重点項目・着眼点を適切に設定し，監査上の制約下においても監査リスクを低い水準に抑えるために十分な監査証拠を得られるように個別監査計画を策定する必要がある。
　あなたの経験と考えに基づいて，設問ア～設問ウに従って論述せよ。

■設問ア
　あなたが携わった情報システムの概要及びその特徴，並びにシステム監査の個別監査計画の概要について，800字以内で述べよ。
■設問イ
　設問アで述べた個別監査計画で設定した重点項目・着眼点及び想定した監査上の制約について，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで想定した監査上の制約を踏まえて，実施できない監査手続及びそれによって生じる監査リスク，並びに監査リスクに対応するために作成した監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-R04-1-PM2-Q2】システム障害管理態勢に関する監査について

　ビジネスを取り巻く環境が大きく変化する中，企業などの組織は，事業の再編，新規市場への参入，提供するサービスの高度化などによって，競争力を高めていくことが求められている。そのためには，例えば，既存の情報システムを統合又は連携させたり，外部組織が提供する情報システムを利用したりするなど，情報システムの改変が必要になる。最近では，API接続などによって，外部組織の情報システムと連携するための改変を行って，付加価値を高めている事例も増えている。
　一方，情報システムの改変によってシステム構成などが複雑になると，システム障害が発生する可能性が高くなる。また，システム障害がどの箇所でいつ発生するのかの予測も困難であり，外部接続先の情報システムの障害による影響なども想定される。さらに，既存システムには，ソフトウェアの肥大化，複雑化，保守サービスの終了，運用・保守人材の不足などの問題もある。
　このような状況において，システム障害管理が不十分であると，障害発生時にサービスへの影響が拡大したり，根本的な対策が実施されずに障害が再発したりするおそれがある。したがって，情報システムの改変を踏まえて，障害に対する基本方針，体制，訓練，見直しなどのシステム障害管理態勢の構築が重要になる。
　システム監査人は，以上のような点を踏まえて，改変後のシステム障害管理態勢に関する着眼点を設定して，適切かつ十分な監査証拠を入手し，実効性のあるシステム障害管理態勢が構築されているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～設問ウに従って論述せよ。

■設問ア
　あなたが関係する組織が提供するサービスを支える情報システムについて，改変の内容，システム障害によってサービスへの影響が拡大する要因，及び改変後のシステム障害管理態勢の概要を，800字以内で述べよ。
■設問イ
　設問アで述べた要因を踏まえて，システム監査人として，システム障害管理態勢の実効性を確かめるために設定すべき着眼点及びその設定理由を，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べた着眼点について，入手すべき監査証拠，及びその監査証拠に基づいて確かめるべき具体的な内容を，700字以上1,400字以内で述べよ。

📗R03:2021

【AU-R03-1-PM2-Q1】RPAツールを利用した業務処理の自動化に関する監査について

　近年，少子高齢化に伴う労働人口の減少，働き方のニーズの多様化などの課題に対して，企業などには働き方改革の推進が求められている。また，広域災害，感染症拡大などの状況下において，テレワークの活用も広がっている。
　このような中，RPAツール(以下，RPAという)を導入する事例が増えてきている。RPAを利用してソフトウェアロボット(以下，ロボットという)を開発することによって，これまでPC上で人手を介して行っていた一連の業務処理を自動化することができる。また，RPAには，自動化したい業務処理の操作を記録する機能のほか，標準的な部品なども用意されているので，ユーザ部門でもドラッグアンドドロップなどの比較的簡単な操作でロボットを開発することができるという特徴もある。
　一方で，ユーザ部門は，情報システムの開発，運用及び保守には必ずしも精通しているわけではない。したがって，ユーザ部門がRPAを導入してロボットを開発する場合，例えば，自動化の対象とする業務処理の選定を誤ったり，テストパターンが不足したりするなどのおそれがある。また，開発したロボットの運用管理，改変対応などの，運用及び保守体制・ルールなどが明確でないことから，ロボットが正しく稼働しなくなることもある。
　システム監査人は，このような状況を踏まえて，RPAを利用した業務処理の自動化において，ロボットの開発，運用及び保守に関わるリスクを低減するためのコントロールが適切に機能しているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において計画又は実施しているRPAを利用した業務処理の自動化において，その概要と期待される効果，ロボットを開発，運用及び保守するための体制を，800字以内で述べよ。
■設問イ
　設問アで述べた業務処理の自動化において，ロボットの開発，運用及び保守に関わるリスクを低減するためには，どのようなコントロールが必要か。リスクと関連付けて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールが適切に機能しているかどうかを確かめるための監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-R03-1-PM2-Q2】他の監査や評価として実施された手続とその結果を利用したシステム監査の計画について

　企業におけるITの利活用は，経営や業務に幅広い影響を与えている。そこで，システム監査以外に，社内規程に基づく業務監査，法令に基づく内部統制の経営者評価，認証取得・維持のための内部監査などにおいて，ITに関する様々な監査や評価が実施されている。このような監査や評価として実施された手続とその結果(以下，他の監査等という)をシステム監査で利用することは，システム監査の効率向上だけではなく，監査対象部門の負担を軽減する上でも有効である。
　他の監査等を利用する場合には，システム監査の計画策定時に，当該システム監査の目的に照らして利用可能な他の監査等があるかどうかを検討する必要がある。その上で，他の監査等が利用できるかどうかを検討し，利用可能と想定される他の監査等の範囲を特定する。
　また，他の監査等を実施した担当者の能力・独立性，実施された手続の適切性，指摘事項のフォローアップの妥当性などを踏まえて，他の監査等が当該システム監査の目的に照らして想定どおり利用できるかどうかを評価することが重要になる。評価した結果，例えば，システム変更後の業務が含まれていなかったり，想定外の新たな指摘事項が発見されたりなど，想定どおりではなかった場合には，当該システム監査の計画を見直す必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった組織において，計画又は実施したシステム監査の目的・概要，及び利用可能と想定又は利用した他の監査等の概要を，800字以内で述べよ。
■設問イ
　設問アで述べた他の監査等について，システム監査で利用可能と想定した理由を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べた他の監査等が利用できるかどうかを評価するためのポイント，及び想定どおりではなかった場合に見直すべきシステム監査の計画の内容について，700字以上1,400字以内で具体的に述べよ。

📗R02:2020

【AU-R02-1-PM2-Q1】AI技術を利用したシステムの企画・開発に関する監査について

　近年，大量のデータの中から一定の規則・特徴を見つけ出し，予測・判断する機械学習，深層学習などのAI技術が進展し，AI技術を利用したシステム(以下，AIシステムという)の導入事例が増えてきている。既に，画像認識による顔認証，テキスト・音声を通じて会話するチャットボット，人材マッチングによる採用支援，顧客の信用力スコアリングによる与信審査などのAIシステムが実用化されている。
　AIシステムの開発は，ユーザ企業など(以下，ユーザという)がAI技術のノウハウをもったベンダに収集データを提供して委託することが多い。ベンダは，収集データを学習用データセットに加工して，オープンソースソフトウェア，ベンダが保有する開発プログラムなどを組み合わせた学習用プログラムに入力し，成果物として学習済みモデルを生成する。
　一方，AIシステムには，アルゴリズムのブラックボックス化の問題をはじめ，収集データの不足・偏りなどによって，学習済みモデルによる予測・判断結果の解釈が難しかったり，精度が低かったりする場合がある。したがって，機能要件を確定してから構築する従来の開発手法では対応が難しくなる。また，収集データの加工に多くのコストが掛かったり，ベンダが有するノウハウなどの権利帰属の問題によって，ユーザが学習済みモデルを利用する際に制約が生じたりすることも想定される。
　今後，AIシステムの実用化が広がる中，システム監査人には，AIシステムの利用段階でのリスクを踏まえて，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを企画・開発段階で確かめておくことが求められる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において，AI技術を利用する目的と，開発を検討している又は開発したAIシステムの概要について，800字以内で述べよ。
■設問イ
　設問アで述べたAIシステムの利用段階において想定されるリスクについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イを踏まえて，AIシステムの導入目的，開発手法，ユーザ・ベンダ間の取決めなどが適切かどうかを確かめるために，企画・開発段階において実施すべき監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-R02-1-PM2-Q2】IT組織の役割・責任に関するシステム監査について

　企業などにおいては，業務改革，コスト削減，新サービス開発などを目的として，パブリッククラウドなどの外部サービスの利用拡大，AI，IoTなどの新技術の導入が進んでいる。これらのIT環境の変化に対応していくために，企業などは，IT組織の役割・責任を適時に見直し，変更する必要がある。
　変更されたIT組織がその役割・責任を果たすためには，IT組織内の体制変更や新たな能力の獲得・維持，必要な要員の確保・調整などの取組が求められる。また，IT組織は，役割・責任の変更に伴って新たに発生するリスクを認識する必要がある。
　例えば，開発・保守における外部サービスの利用を拡大した場合，外部サービスをマネジメントする役割・責任が求められる。また，外部サービスの利用拡大によって，IT組織内でのOJTの機会が減り，開発工数の見積りなどの能力やシステム機能の知見が維持できなくなるリスクが生じる。さらに，新技術の導入・推進については，新たなソフトウェアや開発手法などの知識・経験不足によって，開発・運用を失敗するリスクが高まる。
　システム監査人は，このようなIT環境の変化を踏まえ，IT組織の役割・責任の変更に伴うリスクが適切に認識され，対応策が適切に実施されているかどうかについて確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関与しているIT組織について，現状の体制及び役割・責任の概要，並びにそれに対して影響を及ぼすIT環境の変化を，800字以内で述べよ。
■設問イ
　設問アで述べた状況を踏まえて，IT環境の変化に対応してIT組織の役割・責任をどのように変更するべきであるか，及びIT組織の役割・責任の変更に伴って新たに発生するリスクについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクに対応するための具体的な対応策と，その取組状況を確かめるための監査手続及びその留意事項について，700字以上1,400字以内で具体的に述べよ。

📗H31:2019

【AU-H31-1-PM2-Q1】IoTシステムの企画段階における監査について

　近年，センサと通信機能を備えたIoTデバイスを利活用したシステム(以下，IoTシステムという)の運用事例が増えてきている。例えば，IoTデバイスから位置，状態，動きなどの情報を継続的かつ大量に収集・分析して，機器の故障予測，自動車の運転制御，製造ラインの自動制御を行ったり，農作物の生産管理などに利用したりしている。また，収集した情報を活用した健康増進型保険や自動車保険のサービスなど，新たなビジネスモデルも出始めている。
　IoTシステムに多様かつ大量のIoTデバイスが接続されると，IoTシステムの構成も変化し，アプリケーションソフトウェアの種類・機能も拡充されていく。そのため，IoTデバイスに故障，誤動作などが生じると，関連するアプリケーションシステム，サービスに様々な影響を及ぼすことが考えられる。また，IoTデバイスがサイバ一攻撃の踏み台として悪用されるおそれもある。さらに，医療機器，自動車などに組み込まれたIoTデバイスが不正に遠隔操作されると，人命に危険が及ぶことも想定される。
　今後，IoTシステムの利活用がますます拡大していく状況を踏まえて，システム監査人には，IoTシステム特有のリスクを想定した上で，IoTシステムの開発，運用，保守，及びセキュリティに関わる方針・基準などが適切かどうかを，企画段階で確かめておくことが求められる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において導入したIoTシステム，又は導入を検討しているIoTシステムの概要と，IoTシステムの利活用によるビジネス上のメリットについて，800字以内で述べよ。
■設問イ
　設問アで述べたIoTシステムにおいて，システム監査人はどのようなリスクを想定すべきか。IoTシステム特有のリスクを中心に，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクを踏まえて，IoTシステムの企画段階において，IoTシステムの開発，運用，保守，及びセキュリティに関わる方針・基準などが適切かどうかを確かめるための監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-H31-1-PM2-Q2】情報セキュリティ関連規程の見直しに関するシステム監査について

　サイバー攻撃，個人情報規制，テレワーク，スマートデバイス，クラウド利用拡大などに伴って変化するリスクに，組織全体で対応するためには，情報セキュリティ関連規程(以下，関連規程という)を適時に見直すことが求められる。この関連規程には，情報セキュリティ基本方針，その詳細な管理策，実施手順などが含まれる。
　また，関連規程の見直しによって，各部署で管轄するハードウェア，ソフトウェア，ネットワークなどの多くのIT資産の管理及びその利用に大きな影響を与えることになるので，組織には，見直した関連規程を十分に周知徹底することが求められる。
　関連規程を効果的で実現可能な内容に見直すためには，目的，適用時期，適用範囲，対応技術などを適切に検討する手続が必要である。さらに，見直した関連規程が適切に運用されるためには，単に社員教育だけでなく，影響するIT資産・利用者の範囲，組織体制などを考慮した周知手続，進捗管理，適用上の課題解決などが重要である。
　システム監査人は，このような点を踏まえ，関連規程の見直しが適切な手続に基づいて実施されているかどうか確かめる必要がある。また，見直した関連規程が，全ての部署に適切に周知徹底されるように計画され，実施されているかどうかについても確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった情報セキュリティ関連規程の見直しの概要，その背景及び影響を与えるIT資産の管理と利用について，800字以内で述べよ。
■設問イ
　設問アで述べた関連規程の見直しに関する手続の適切性を確かめるための監査手続及び留意すべき事項について，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イを踏まえて，見直した関連規程を周知徹底するための計画及び周知徹底状況の適切性を確かめるための監査手続及び留意すべき事項について，700字以上1,400字以内で具体的に述べよ。

📗H30:2018

【AU-H30-1-PM2-Q1】アジャイル型開発に関するシステム監査について

　情報技術の進展，商品・サービスのディジタル化の加速，消費者の価値観の多様化など，ビジネスを取り巻く環境は大きく変化してきている。競争優位性を獲得・維持するためには，変化するビジネス環境に素早く対応し続けることが重要になる。
　そのため，重要な役割を担う情報システムの開発においても，ビジネス要件の変更に迅速かつ柔軟に対応することが求められる。特に，ビジネス要件の変更が多いインターネット関連ビジネスなどの領域では，非ウォータフォール型の開発手法であるアジャイル型開発が適している場合が多い。
　アジャイル型開発では，ビジネスに利用可能なソフトウェアの設計から，コーディング，テスト及びユーザ検証までを1～4週間などの短期間で行い，これを繰り返すことによって，ビジネス要件の変更を積極的に取り込みながら情報システムを構築することができる。また，アジャイル型開発には，開発担当者とレビューアのペアによる開発，常時リリースするためのツール活用，テスト部分を先に作成してからコーディングを行うという特徴もある。その一方で，ビジネス要件の変更を取り込みながら開発を進めていくので，開発の初期段階で最終成果物，スケジュール，コストを明確にするウォータフォール型開発とは異なるリスクも想定される。
　システム監査人は，このようなアジャイル型開発の特徴，及びウォータフォール型開発とは異なるリスクも踏まえて，アジャイル型開発を進めるための体制，スキル，開発環境などが整備されているかどうかを，開発着手前に確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する情報システムの概要，アジャイル型開発手法を採用する理由，及びアジャイル型開発の内容について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの開発にアジャイル型開発手法を採用するに当たって，どのようなリスクを想定し，コントロールすべきか。ウォータフォール型開発とは異なるリスクを中心に，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イを踏まえて，アジャイル型開発を進めるための体制，スキル，開発環境などの整備状況を確認する監査手続について，監査証拠及び確認すべきポイントを含め，700字以上1,400字以内で具体的に述べよ。

【AU-H30-1-PM2-Q2】リスク評価の結果を利用したシステム監査計画の策定について

　組織における情報システムの活用が進む中，システム監査の対象とすべき情報システムの範囲も拡大している。また，情報の漏えいや改ざん，情報システムの停止によるサービスの中断，情報システム投資の失敗など，情報システムに関わるリスクは，ますます多様化している。しかし，多くの組織では，全ての情報システムについて多様化するリスクを踏まえて詳細な監査を実施するための監査要員や予算などの監査資源を十分に確保することが困難である。
　このような状況においては，全ての情報システムに対して一律に監査を実施することは必ずしも合理的とはいえない。情報システムが有するリスクの大きさや内容に応じて監査対象の選定や監査目的の設定を行うリスクアプローチを採用することが必要になる。例えば，年度監査計画の策定において，経営方針，情報システム化計画などとともに，監査部門で実施したリスク評価の結果を基に，当該年度の監査対象となる情報システムの選定や監査目的の設定を行うことなどが考えられる。
　監査部門がリスクアプローチに基づいて，監査対象の選定や監査目的の設定を行う場合に，情報システム部門やリスク管理部門などが実施したリスク評価の結果を利用することもある。ただし，監査部門以外が実施したリスク評価の結果を利用する場合には，事前の措置が必要になる。
　システム監査人は，限られた監査資源で，監査を効果的かつ効率よく実施するために，リスク評価の結果を適切に利用して監査計画を策定することが必要になる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった組織の主な業務と保有する情報システムの概要について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムについて，監査部門がリスク評価を実施して監査対象の選定や監査目的の設定を行う場合の手順及びその場合の留意点について，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合，その利点，問題点，及び監査部門として必要な措置について，700字以上1,400字以内で具体的に述べよ。

📗H29:2017

【AU-H29-1-PM2-Q1】情報システムに関する内部不正対策の監査について

　近年，従業員などの内部不正による，情報システムを対象とした情報漏えいなどが増えている。内部不正による損害には，情報漏えいなどに伴う直接的な損害に加え，組織の管理態勢の不備や従業員などのモラルの低さが露呈するなど，組織の社会的信用の失墜がもたらす損害も無視できない。
　内部不正の動機は，組織，上司，同僚などへの不満，金銭目的など，様々である。また，従業員などが不正を行える環境や不正を正当化できる状況を組織が放置することも，内部不正を誘発する大きな要因になる。
　情報システムに関する内部不正では，従業員などが業務を行うために有するアクセス権限を悪用して情報の不正窃取，改ざんが行われる場合が多く，外部の者や権限を有しない内部の者による不正アクセスよりも，その防止や発見が難しい。したがって，内部不正対策では，技術的対策に加え，組織的対策を適切に組み合わせることが重要になる。組織的対策には，例えば，規程の整備，労働環境の整備，内部不正が発生した際の対応手順の整備，規程・手順が遵守されるための各種施策の実施などがある。
　システム監査では，内部不正を予防し，その被害を最小限にとどめるための技術的対策だけでなく，組織的対策が適切に行われているかどうかを確かめる必要がある。また，監査を行うに当たっては，当該対策が法令などに準拠して行われているかどうかという観点も重要になる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった組織において，内部不正が発生した場合に重大な影響を及ぼす情報システムの概要と，その情報システムにおいて内部不正が発生した場合の影響について，800字以内で述べよ。
■設問イ
　設問アに関連して，内部不正の技術的対策の実施状況を確認するための監査手続について，内部不正の特徴を踏まえた留意点を含めて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問アに関連して，内部不正の組織的対策の実施状況を確認するための監査手続について，内部不正の特徴を踏まえた留意点を含めて，700字以上1,400字以内で具体的に述べよ。

【AU-H29-1-PM2-Q2】情報システムの運用段階における情報セキュリティに関する監査について

　企業などでは，顧客の個人情報，製品の販売情報などを蓄積して，より良い製品・サービスの開発，向上などに活用している。一方で，情報システムに対する不正アクセスなどによって，これらの情報が漏えいしたり，滅失したりした場合のビジネスへの影響は非常に大きい。したがって，重要な情報を取り扱うシステムでは，組織として確保すべき情報セキュリティの水準(以下，セキュリティレベルという)を維持することが求められる。
　情報セキュリティの脅威は，今後も刻々と変化し続けていくと考えられるので，情報システムの構築段階で想定した脅威に対応するだけでは不十分である。例えば，標的型攻撃の手口はますます高度化・巧妙化し，情報システムの運用段階においてセキュリティレベルを維持できなくなるおそれがある。
　そこで，情報システムの運用段階においては，セキュリティレベルを維持できるように適時に対策を見直すためのコントロールが必要になる。また，情報セキュリティの脅威に対して完全に対応することは難しいので，インシデント発生に備えて，迅速かつ有効に機能するコントロールも重要になる。
　システム監査人は，以上のような点を踏まえて，変化する情報セキュリティの脅威に対して，情報システムの運用段階におけるセキュリティレベルが維持されているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する情報システムの概要とビジネス上の役割，及び当該情報システムに求められるセキュリティレベルについて，800字以内で述べよ。
■設問イ
　設問アを踏まえて，情報システムの運用段階においてセキュリティレベルを維持できなくなる要因とそれに対するコントロールを，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールが有効に機能しているかどうかを確認する監査手続を，700字以上1,400字以内で具体的に述べよ。

📗H28:2016

【AU-H28-1-PM2-Q1】情報システム投資の管理に関する監査について

　近年，企業などにおいては，厳しい競争環境の中で，情報システムの新規導入，大規模改修などに対する投資を，その優先度に応じて絞り込むことが必要になってきている。情報システム投資の優先度は，情報システム投資に関係する事業戦略の重要度，費用対効果，必要な人員，利用可能な情報技術の状況など様々な観点から評価して決定することが重要である。
　一方で，情報システム投資の内容や優先度の決定が適切であっても，必ずしも当初の目的・期待効果を達成できるわけではない。例えば，情報システムの運用開始後に顧客ニーズ，競争環境，技術環境などが変化し，当初の目的・期待効果を達成できなかったり，達成していた期待効果を維持できなくなったりすることがある。したがって，情報システムの運用段階においても，情報システム投資の目的・期待効果の達成状況，内外の環境変化などを継続的にモニタリングし，必要な対応策を実施することができるように，情報システム投資の管理を行うことが重要である。
　システム監査人は，情報システム投資の決定が適切に行われているかどうか，また，情報システムの運用段階において，目的・期待効果を達成及び維持するための情報システム投資の管理が適切に行われているかどうかを確かめることが必要である。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった組織における情報システム投資の決定の体制及び手続の概要，並びに当該体制及び手続に基づいて決定された情報システム投資の一つについてその目的・期待効果を含めた概要を，800字以内で述べよ。
■設問イ
　設問アで述べた情報システム投資について，その決定が適切に行われているかどうかを確認する監査手続を，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問アで述べた情報システム投資について，情報システムの運用段階において，その目的・期待効果の達成又は維持が損なわれるリスク，及び当該リスクへの対応策を実施できるようにするための情報システム投資の管理が適切に行われているかどうかを確認する監査手続を，700字以上1,400字以内で具体的に述べよ。

【AU-H28-1-PM2-Q2】情報システムの設計・開発段階における品質管理に関する監査について

　情報技術の進展に伴い，企業などでは，戦略的な新規サービスの提供，業務の効率向上などに情報システムを積極的に利活用している。また，情報システムはネットワーク化されており，不具合が発生するとその影響は組織内にとどまらず，取引先，さらには国民生活にまで及ぶおそれがある。したがって，本番稼働前の設計・開発段階において，業務の要件を満たしているか，プログラムに誤りはないかなど，品質が十分に確保されているかどうかを監査しておくことが重要である。
　情報システムに求められる品質は，関係するサービス又は業務の要件によって，その内容及びレベルは異なってくる。一方で，品質は，設計・開発段階における各工程を通じて，順次，組み込まれていくものである。したがって，設計・開発段階における情報システムの監査において，品質の確保状況を評価するには，一つの工程を対象とするだけでは不十分である。また，システム監査人が，設計書，テスト報告書などの内容を精査して，品質の確保状況を直接，評価することも難しい。
　これらの点を踏まえて，システム監査人は，設計・開発段階における品質管理に関わる体制，プロセスなどが適切かどうかを確かめることで，求められる品質が確保されているかどうかを評価する必要がある。さらに，レビュー，テストなどの実施において，品質が確保されているかどうかを測る客観的な指標が設定され，評価されていることを確かめることも有効である。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する情報システムの概要と，当該情報システムにおいて重要と考えられる品質の内容，及びその品質が確保されない場合のサービス又は業務への影響について，800字以内で述べよ。
■設問イ
　設問アで述べた品質について，設計・開発段階で品質が確保されなくなる要因，及び品質を確保するために必要なコントロールを，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールを踏まえて，設計・開発段階における品質管理の適切性を確認する監査手続について，監査証拠及び確認すべきポイントを含め，700字以上1,400字以内で具体的に述べよ。

📗H27:2015

【AU-H27-1-PM2-Q1】ソフトウェアの脆弱性対策の監査について

　近年，ソフトウェアの脆弱性，すなわち，ソフトウェア製品及びアプリケーションプログラムにおけるセキュリティ上の欠陥を悪用した不正アクセスが増えている。ソフトウェア製品とは，アプリケーションプログラムの開発及び稼働，並びに情報システムの運用管理のために必要なオペレーティングシステム，ミドルウェアなどをいう。
　ソフトウェアの脆弱性によっては，それを放置しておくと，アクセス権限のない利用者が情報を閲覧できるなど，アクセス権限を越えた操作が可能になる場合もある。例えば，不正アクセスを行う者が，この脆弱性を悪用して攻撃を仕掛け，情報の窃取，改ざんなどを行ったり，情報システムの利用者に，本来は見えてはいけない情報が見えてしまったりする。
　ソフトウェアの脆弱性対策では，開発段階で，ソフトウェア製品及びアプリケーションプログラムの脆弱性の発生を防止するとともに，テスト段階で脆弱性がないことを確認する。しかし，テスト段階で全ての脆弱性を発見し，取り除くことは難しい。また，ソフトウェアのバージョンアップの際に新たな脆弱性が生じる可能性もある。したがって，運用・保守段階でも継続的に脆弱性の有無を確認し，適切な対応を実施していくことが必要になる。
　システム監査人は，ソフトウェアの脆弱性を原因とした情報セキュリティ被害を防止するために，ソフトウェアの脆弱性対策が適切に行われるためのコントロールが有効に機能しているかを確認する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった情報システムの概要，及びその情報システムにおけるソフトウェアの脆弱性によって生じるリスクについて，800字以内で述べよ。
■設問イ
　設問アに関連して，ソフトウェアの脆弱性対策について，開発，テスト，及び運用・保守のそれぞれの段階において必要なコントロールを，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールの有効性を確認するための監査手続について，確認すべき監査証拠を含めて700字以上1,400字以内で具体的に述べよ。

【AU-H27-1-PM2-Q2】消費者を対象とした電子商取引システムの監査について

　情報技術の発展に伴い，インターネットを利用して消費者が商品を手軽に購入できる機会が増えてきている。これらの消費者を対象とした電子商取引の市場規模はますます拡大し，その形態も企業対個人取引(BtoC)，インターネットオークションなどの個人対個人取引(CtoC)など，多様化している。最近では，ソーシャルネットワーク，全地球測位システム(GPS)などの情報と取引履歴情報とを組み合わせたビッグデータの分析・活用によるマーケティングなども広がりつつある。
　一方，BtoC又はCtoCのビジネスは，不特定多数の個人が対象であることから，情報システムの機密性が確保されていないと，氏名，住所，クレジットカード番号などの個人情報が漏えいするおそれがある。
　また，取引データの完全性が確保されていないと，取引の申込み又は承諾のデータが消失したり，不正確な取引情報を記録したりするなど，契約成立又は取引に関わる判断根拠がなくなるおそれがある。
　さらに，可用性が確保されていないと，一度に大量の注文が集中して情報システムがダウンするなどして，取引が妨げられて販売機会を逃すことによる損失が生じたり，損害賠償を請求されたりする可能性もある。
　システム監査人は，このような点を踏まえて，消費者を対象とした電子商取引システムに関わる機密性，完全性及び可用性のリスクを評価して，リスクを低減するためのコントロールが適切に機能しているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する消費者を対象とした電子商取引システムについて，その概要とビジネス上の特徴，及び情報システムを運営する立場から重要と考えるリスクを800字以内で述べよ。
■設問イ
　設問アで述べた情報システムにおいて実施すべきと考える機密性，完全性及び可用性を確保するためのそれぞれのコントロールについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたコントロールの適切性を監査する場合の手続について，監査証拠及び確かめるべきポイントを踏まえて，700字以上1,400字以内で述べよ。

📗H26:2014

【AU-H26-1-PM2-Q1】パブリッククラウドサービスを利用する情報システムの導入に関する監査について

　今日，クラウド環境を利用する情報システムの導入事例が増えている。クラウド環境とは，サーバ仮想化，分散処理などの技術を組み合わせることによってシステム資源を効率よく利用することができるシステム環境のことである。クラウド環境を利用した情報システムの導入事例の中でも，インターネットを介して多数の利用者に共用のハードウェア資源，アプリケーションサービスなどを提供する，いわゆるパブリッククラウドサービスは，より低価格，短期間での情報システムの導入を可能にしている。
　一方で，パブリッククラウドサービスを利用する情報システムの導入に当たっては，クラウド環境に共通するリスクに加え，パブリッククラウドサービスによく見られる特徴に留意する必要がある。例えば，パブリッククラウドサービスを提供するベンダが，海外を含めて複数のデータセンタにサーバを保有している場合は，サービスを利用する側にとって，データがどこに存在するのかが分からないということも少なくない。また，パブリッククラウドサービスでは，サービスレベルをはじめとした契約条件を個別に締結するのではなく，あらかじめ定められた約款に基づいてサービスが提供されるものが多い。
　このような状況において，システム監査人は，パブリッククラウドサービスを利用する情報システムの導入の適切性について確認する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において導入した又は導入を検討している，パブリッククラウドサービスを利用する情報システムについて，その対象業務，パブリッククラウドサービスを利用する理由，及びそのパブリッククラウドサービスの内容を800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの導入に当たって留意すべきリスクについて，利用するパブリッククラウドサービス及び対象業務の特徴を踏まえて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクについて，適切な対策が検討又は講じられているかどうかを確認するための監査手続を700字以上1,400字以内で具体的に述べよ。

【AU-H26-1-PM2-Q2】情報システムの可用性確保及び障害対応に関する監査について

　企業などが提供するサービス，業務などにおいて，情報システムの用途が広がり，情報システムに障害が発生した場合の影響はますます大きくなっている。その一方で，ハードウェアの老朽化，システム構成の複雑化などによって，障害を防ぐことがより困難になっている。このような状況において，障害の発生を想定した情報システムの可用性確保，及び情報システムに障害が発生した場合の対応が，重要な監査テーマの一つになっている。
　情報システムの可用性を確保するためには，例えば，情報システムを構成する機器の一部に不具合が発生しても，システム全体への影響を回避できる対策を講じておくなどのコントロールが重要になる。また，情報システムに障害が発生した場合のサービス，業務への影響を最小限に抑えるために，障害を早期に発見するためのコントロールを組み込み，迅速に対応できるように準備しておくことも必要になる。
　情報システムに障害が発生した場合には，障害の原因を分析して応急対策を講じるとともに，再発防止策を策定し，実施しなければならない。また，サービス，業務に与える障害の影響度合いに応じて，適時に関係者に連絡・報告する必要もある。
　このような点を踏まえて，システム監査人は，可用性確保のためのコントロールだけではなく，障害の対応を適時かつ適切に行うためのコントロールも含めて確認する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係している情報システムの概要と，これまでに発生した又は発生を想定している障害の内容及び障害発生時のサービス，業務への影響について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムにおいて，可用性確保のためのコントロール及び障害対応のためのコントロールについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イを踏まえて，可用性確保及び障害対応の適切性を監査するための手続について，それぞれ確認すべき具体的なポイントを含め，700字以上1,400字以内で述べよ。

📗H25:2013

【AU-H25-1-PM2-Q1】システム運用業務の集約に関する監査について

　これまで，多くの組織では，アプリケーションシステムごとにサーバを設置し，その単位で個別にシステム運用業務を行ってきた。その場合，データのバックアップ，セキュリティパッチの適用，障害監視などの業務が，システムごとに異なる頻度・手順で行われることが多く，システム間で整合が取れていなかったり，本来共通化できるはずの業務が重複したりしていた。
　近年は，これらのシステム運用業務を集約する組織が増えてきている。例えば，仮想化技術を活用してサーバを統合する際に，併せてシステム運用業務を集約する場合などである。サーバの統合は，多くの組織にとってシステム資源の有効活用，省スペース，省電力などの直接的なメリットだけでなく，システム運用業務を見直す契機をもたらしている。
　システム運用業務を集約し，システム運用手順を標準化することによって，業務の品質改善・効率向上に取り組みやすくなる。さらに，運用要員の削減などによってコストを適正化することも可能になる。ただし，業務手順の見直し方法に問題があったり，過度に集約し過ぎたりすると，必要な手順が漏れたり，特定要員に負荷が集中したりするなどの懸念もある。
　システム監査人は，このような点を踏まえ，システム運用業務の集約によって期待していた効果が得られているかなど，システム運用業務の集約の適切性を評価する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織で実施又は検討されているシステム運用業務の集約に関する概要を，集約前と集約後の違いを踏まえて，800字以内で述べよ。
■設問イ
　設問アに関連して，システム運用業務を集約する場合の留意点について，システム運用手順，システム運用体制などの観点を踏まえて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イに関連して，システム運用業務の集約の適切性を監査するための手続を，700字以上1,400字以内で具体的に述べよ。

【AU-H25-1-PM2-Q2】要件定義の適切性に関するシステム監査について

　システムを正常に稼働させ，期待どおりの効果を得るためには，システム開発において，業務機能を対象とする機能要件と，性能，セキュリティなどの非機能要件を適切に定義し，システムに組み込むことが必要である。適切な要件定義が行われなかったり，要件が適切にシステムに組み込まれなかったりすると，プロジェクトの失敗及びトラブルが生じる可能性が高くなる。
　要件定義を適切に行うためには，システム開発のプロジェクト体制及び開発手法に合わせた要件定義の役割分担，方法，文書化などが必要となる。例えば，システム開発を外部に委託するプロジェクト体制では，要件定義におけるシステム部門と利用部門との役割分担だけでなく，外部委託先との役割分担も明確にしておかなければならない。また，ウォータフォール型の開発手法を用いる場合と，プロトタイピング手法を用いる場合とでは，要件定義の方法，作成すべき文書などが異なってくる。
　システム監査人は，システム開発のプロジェクトの失敗及びトラブルを防止するために，システム開発のプロジェクト体制及び開発手法を踏まえた上で，要件定義の役割分担，方法，文書化状況などが適切かどうかを確認する必要がある。また，要件定義の適切性を監査するための手続は，要件定義工程だけでなく，システム開発の企画，プロジェクト体制の決定，設計，テストの各工程においても実施する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係したシステム開発の概要について，システム開発のプロジェクト体制及び開発手法，並びに要件定義の役割分担，方法，文書化状況などを含め，800字以内で述べよ。
■設問イ
　設問アのシステム開発において，適切な要件定義が行われなかったり，要件が適切にシステムに組み込まれなかったりした場合に，生じる可能性のあるプロジェクトの失敗及びトラブルについて，その原因を含めて700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イに関連して，要件定義の適切性について監査を実施する場合，システム開発の企画，プロジェクト体制の決定，要件定義，設計，テストの五つの工程でそれぞれ実施すべき監査手続を700字以上1,400字以内で具体的に述べよ。

【AU-H25-1-PM2-Q3】ソフトウェアパッケージを利用した基幹系システムの再構築の監査について

　企業など(以下，ユーザ企業という)では，購買，製造，販売，財務などの基幹業務に関わるシステム(以下，基幹系システムという)の再構築に当たって，ソフトウェアパッケージ(以下，パッケージという)を利用することがある。パッケージには，通常，標準化された業務プロセス，関連する規制などに対応したシステム機能が用意されているので，短期間で再構築できる上に，コストを削減することもできる。
　その一方で，ユーザ企業の業務には固有の業務処理，例外処理があることから，パッケージに用意されている機能だけでは対応できないことが多い。このような場合，業務の一部を見直したり，パッケージベンダ又はSIベンダ(以下，ベンダ企業という)が機能を追加開発したりすることになる。しかし，追加開発が多くなると，コストの増加，稼働開始時期の遅れだけではなく，パッケージのバージョンアップ時に追加開発部分の対応が個別に必要になるなどのおそれがある。
　これらの問題に対するユーザ企業の重要な取組みは，パッケージの機能が業務処理要件などをどの程度満たしているか，ベンダ企業と協力して検証することである。また，追加開発部分も含めたシステムの運用・保守性などにも配慮して再構築する必要がある。
　システム監査人は，このような点を踏まえて，パッケージを利用した基幹系システムの再構築におけるプロジェクト体制，パッケージ選定，契約，追加開発，運用・保守設計，テストなどが適切かどうか確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係した基幹系システムの概要と，パッケージを利用して当該システムを再構築するメリット及びプロジェクト体制について，800字以内で述べよ。
■設問イ
　設問アで述べた基幹系システムを再構築する際に，パッケージを利用することでどのようなリスクが想定されるか。700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクを踏まえて，パッケージを利用した基幹系システムの再構築の適切性を監査する場合，どのような監査手続が必要か。プロジェクト体制，パッケージ選定，契約，追加開発，運用・保守設計，テストの六つの観点から，700字以上1,400字以内で具体的に述べよ。

📗H24:2012

【AU-H24-1-PM2-Q1】コントロールセルフアセスメント(CSA)とシステム監査について

　今日，CSAを導入する組織が増えている。その背景には，組織全体の内部統制や情報セキュリティなどに関わるリスク，及びリスクに対するコントロールの遵守状況を評価する必要性が高まっているという状況がある。CSAは，各業務に従事する担当者が質問書に回答したり，ワークショップで議論したりして，業務に関わるリスクの評価及びコントロールの遵守状況を評価する手法である。
　CSAでは，業務の担当者が自ら評価を行うので，当該業務における特有のリスクを発見しやすい。また，評価を通じて自らが遵守すべきコントロールを理解できるといった教育的な効果も期待できる。しかし，自己評価であることにより回答が甘くなってしまったり，業務に精通しているがゆえに客観的な評価が難しかったりする問題もある。したがって，CSAの実施方法や結果が適切かどうかを監査で確認する必要がある。
　一方，監査では，監査要員，監査時間などの制約によって，監査対象の全てに対して監査手続を実施するのは難しい。そこで，適切なCSAが実施されている場合には，重要なリスクを見過ごしたり，誤った指摘を行ったりしないように，その実施結果を監査に活用することができる。あわせて，CSAの結果を活用して，監査業務の効率を向上させることもできる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において実施された情報システムに関連するCSAについて，その目的，対象範囲，実施方法を800字以内で述べよ。
■設問イ
　設問アで述べたCSAの実施方法や結果の適切性を監査する場合の監査手続について，監査要点を含めて700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問アで述べたCSAを活用して監査を実施する場合の監査の概要及びCSAの活用の効果について，700字以上1,400字以内で具体的に述べよ。

【AU-H24-1-PM2-Q2】システムの日常的な保守に関する監査について

　稼働中の情報システムや組込みシステムでは，関連する業務内容の変更，システム稼働環境の変更，システム不具合への対応などの目的で，マスタファイルの更新，システム設定ファイルの変更，プログラムの軽微な修正など，日常的な保守が必要になる。これらの保守は，業務の大幅な見直しに伴うシステム変更のような大規模な保守に比べて，短期間で対応しなければならない場合が多い。
　例えば，新商品を発売したり，商品の売価を改訂したりする場合は，当該商品の発売や売価改訂のタイミングに合わせて，商品マスタファイルを変更する必要がある。また，プログラムやシステム設定ファイルなどの不備が原因でシステム障害が発生した場合は，速やかに当該プログラムやシステム設定ファイルなどを修正して，システムを復旧しなければならない。
　一方で，これらの日常的な保守は，当該システムの開発に携わっていない保守要員が行ったり，外部に委託したりすることも多い。また，システムの利用部門がマスタファイルへの追加や変更を行う場合もある。もし，誤った変更や修正が行われると，その影響はシステムの誤作動や処理遅延にとどまらず，システムの停止などに至ることもある。
　システム監査人は，このような状況を踏まえて，情報システムや組込みシステムの日常的な保守が適切に行われているかどうかを確認する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係した情報システム又は組込みシステムの概要と，当該システムの日常的な保守の体制及び方法について，800字以内で述べよ。
■設問イ
　設問アで述べたシステムの日常的な保守において，どのようなリスクが想定され，また，そのリスクはどのような要因から生じるか。700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクが生じる要因を踏まえて，当該システムの日常的な保守の適切性を監査する場合，どのような監査要点を設定するか。監査証拠と対応付けて，700字以上1,400字以内で具体的に述べよ。

【AU-H24-1-PM2-Q3】情報システムの冗長化対策とシステム復旧手順に関する監査について

　今日，社会に広く浸透している情報システムが自然災害，停電，システム障害などによって停止すれば，企業活動などに深刻な影響を及ぼしかねない。このことから，情報システムの冗長化対策及びシステム復旧手順の重要性に対する意識が，企業をはじめ社会全体で高まっている。
　企業などでは，データセンタなどの拠点・施設，ハードウェア，ネットワーク，電源などの冗長化によって，情報システムの安定稼働を図っている。また，情報システムが停止した場合の復旧手順を定めて，停止時間をできる限り短く抑えることにも努めている。
　システム復旧手順は，停止した情報システムを確実かつ迅速に復旧させるものでなければならない。そのためには，一度策定したシステム復旧手順を，状況の変化に応じて見直したり，システム復旧手順のテスト・訓練を定期的に行ったりして，継続的に改善していくことが重要である。
　このような状況を踏まえると，システム監査においては，システム復旧手順が文書化されていることの形式的な確認だけでは不十分である。
　システム監査人は，情報システムに適用された冗長化対策の妥当性を確認したり，システム復旧手順の内容，テスト・訓練の実施状況などを確認したりすることによって，システム復旧手順がシステム停止時間の短縮に十分に寄与するものであるかどうかを評価する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織の情報システムの概要を述べ，その冗長化対策及びシステム復旧手順策定の背景や必要性について，800字以内で述べよ。
■設問イ
　設問アに関連して，当該情報システムの冗長化対策の検討過程において，どのような対策又は対策の組合せが比較され，採用されたか。想定される脅威が顕在化する可能性，顕在化した場合の影響度及び対策の経済合理性を踏まえて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問アで述べたシステム復旧手順の実効性を監査する場合の監査手続を，設問イを踏まえて，700字以上1,400字以内で具体的に述べよ。

📗H23:2011

【AU-H23-1-PM2-Q1】システム開発や運用業務を行う海外拠点に対する情報セキュリティ監査について

　昨今，多くの日本企業が海外に進出し，事業活動の範囲を拡大している。特に，安価な労働力やおう盛な消費意欲を求めて，アジア諸国に進出するケースが多い。海外に進出するときには，事業を短期間で軌道に乗せるために，現地企業と提携したり，安定した事業基盤を構築するために，現地に支店や子会社を設立したりすることが多い。
　このような海外進出の一環として，システム開発や運用業務を海外拠点に移す企業も珍しくない。システム開発や運用業務では，経営，人事，財務，営業などに関する企業情報，製品の技術情報などを扱うことが多い。場合によっては，顧客の個人情報にアクセスすることもあるので，海外拠点でも国内拠点と同様に様々な情報を適切に管理しなければならない。
　海外拠点は，文化，商慣習，従業員の労働条件，法規制，電力やネットワークなどの社会的インフラなど，様々な面で日本とは状況が異なるので，システム開発や運用業務を海外拠点で行う場合にはこれらの面に留意する必要がある。
　システム監査人は，海外拠点に対して情報セキュリティ監査を実施する場合，海外拠点に特有のリスクやコントロールを十分に考慮し，監査の体制や方法を工夫する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において，システム開発や運用業務を海外拠点で行っている，又は海外拠点で行うことを検討している場合，その背景，目的及び実施状況や検討状況について，800字以内で述べよ。
■設問イ
　設問アに関連して，システム開発や運用業務を海外拠点で行う場合，情報セキュリティ上の想定されるリスク及びコントロールについて，海外拠点特有の状況を踏まえて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イに関連して，システム開発や運用業務を行う海外拠点に対して，情報セキュリティ監査を効率よく，効果的に実施するために留意すべき事項を，700字以上1,400字以内で具体的に述べよ。

【AU-H23-1-PM2-Q2】ベンダマネジメントの監査について

　今日，組織におけるIT利用の多様化に伴い，組織は機器やソフトウェア，及びシステムの保守や運用などの様々なサービスをベンダから調達するようになった。また，ASP，SaaSなどの普及によって，組織の各業務部門は情報システム部門を介さずにサービスを利用することが容易になった。その結果，取引するベンダの数が増え，財務基盤や内部管理態勢が弱いベンダと取引を行う可能性も高くなっている。
　このような状況において，組織が利用するシステムやサービスの継続性，セキュリティ，品質を適切な水準に保つことが難しくなっている。また，ベンダ及びその製品・サービスの選定や契約が部門ごと，担当者ごとに行われると，調達費用が割高になる可能性もある。
　これらの問題を解決するためには，ベンダマネジメントを組織横断的に行うことが有効である。例えば，組織共通の基準や手順に基づいて，ベンダ及びその製品・サービスの選定や契約のための評価及び導入後のモニタリングを行い，評価やモニタリングの結果を組織横断的な品質向上や経済的な調達につなげる取組みなどが挙げられる。
　システム監査人は，個々のベンダ及びその製品・サービスの調達や管理の監査に加えて，ベンダマネジメントの仕組みやその運用状況の監査を組織横断的な観点から行う必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織の概要及びITにかかわるベンダマネジメントの状況について，800字以内で述べよ。
■設問イ
　設問アに関連して，組織横断的な観点からとらえたベンダマネジメントの問題点及びそれらの問題点から生じるリスクについて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，ベンダマネジメントの監査を組織横断的な観点から行う場合の監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-H23-1-PM2-Q3】システム開発におけるプロジェクト管理の監査について

　今日，組織及び社会において情報システムや組込みシステムの重要性が高まるにつれ，システムに求められる品質，開発のコストや期間などに対する要求はますます厳しくなってきている。システム開発の一部を外部委託し，開発コストを低減する例も増えている。また，製品や機器の高機能化などと相まって，組込みシステムの開発作業は複雑になりつつある。
　このような状況において，システム開発上のタスクや課題などを管理するプロジェクト管理はますます重要になってきている。プロジェクト管理が適時かつ適切に行われないと，開発コストの超過やスケジュールの遅延だけでなく，品質や性能が十分に確保されず，稼働後の大きなシステム障害や事故につながるおそれもある。
　その一方で，開発するシステムの構成やアプリケーションの種類，開発のコストや期間などはプロジェクトごとに異なるので，プロジェクトにおいて想定されるリスクもそれぞれ異なる。したがって，システム開発におけるプロジェクト管理を監査する場合，規程やルールに準拠しているかどうかを確認するだけでは，プロジェクトごとに特有のリスクを低減するためのコントロールが機能しているかどうかを判断できないおそれがある。
　システム監査人は，このような点を踏まえて，情報システムや組込みシステムの開発におけるプロジェクト管理の適切性を確かめるために，プロジェクトに特有のリスクに重点をおいた監査を行う必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった情報システムや組込みシステムの概要と，そのシステム開発プロジェクトの特徴について，800字以内で述べよ。
■設問イ
　設問アで述べたシステム開発のプロジェクト管理において，どのようなリスクを想定すべきか。プロジェクトの特徴を踏まえて，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたリスクに対するプロジェクト管理の適切性について監査する場合，どのような監査手続が必要か。プロジェクト管理の内容と対応付けて，700字以上1,400字以内で具体的に述べよ。

📗H22:2010

【AU-H22-1-PM2-Q1】情報システム又は組込みシステムに対するシステムテストの監査について

　ITの進展に伴い，情報システムの役割はますます大きくなり，影響範囲も広がっている。例えば，生産システム，受発注システムなどの基幹系情報システムに不具合があると，自組織だけではなく，取引先などの業務にも影響が及ぶおそれがある。
　また，産業機器，家電製品などは，機器や製品を制御するための組込みシステムが搭載されており，高機能化している。このような状況で，例えば，自動車やエレベータなどの機器の組込みシステムに不具合が発生すると，社会生活に影響が及ぶだけでなく，人命を脅かすような深刻な事態を招くおそれもある。
　したがって，情報システム又は組込みシステムの稼働前に，システムが要件どおりに機能するか十分に検証し，品質や性能を確保しなければならない。特に，稼働時，利用時の様々な状況を想定し，不具合を事前に見つけ出すテスト工程(以下，システムテストという)は，システムの安全性を確保する上で重要な位置付けとなる。
　システム監査人は，このような点を踏まえて，情報システム又は組込みシステムについてシステムテストが適切に行われ，品質や性能が確保されていることを確かめなければならない。また，既に稼働している情報システム又は利用している組込みシステムについても，十分な品質や性能が確保されていることを確かめるために，開発段階で実施したシステムテストの内容をさかのぼって確認する場合もある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係した情報システム又は組込みシステムの概要と，そのシステムの不具合が業務・社会に及ぼす影響について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システム又は組込みシステムに対するシステムテストの内容について，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで述べたシステムテストの適切性を確かめるために必要な監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-H22-1-PM2-Q2】電子データの活用にかかわるシステム監査について

　組織が保有する電子データの量は，多様なアプリケーションシステムの導入，情報システムの組織間連携，内部統制の整備やハードウェアの価格性能比の向上などによって，飛躍的に増大した。
　このような状況で，組織は膨大な電子データを有効活用するために，電子データへの組織横断的なアクセスと効率の良い検索を可能にする企業内情報検索プラットフォーム(エンタープライズサーチ)や，複合的なデータ分析を可能にするBI(ビジネスインテリジェンス)ツールなどの導入を進めている。また，ノウハウの蓄積や共有を促進するため，ナレッジマネージャと呼ばれるデータ管理者を任命する組織も珍しくはなくなった。
　その一方で，多くの組織では，電子データの保護を重視し，顧客の個人情報や組織の営業秘密などの漏えいを防止するため，従業員がアクセスできる電子データの範囲，及び利用できる情報システムの機能を制限している。しかし，過度なセキュリティ対策は，技術情報，顧客情報，営業ノウハウなどの適切な共有を妨げ，付加価値の創出を阻害するおそれがある。
　システム監査人はこの点を踏まえ，電子データの活用と保護のバランスに留意して監査を実施しなければならない。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織で保有している電子データの主な内容，及びそれらを活用するために整備されている仕組みについて，組織の業務内容との関係を含め，800字以内で述べよ。
■設問イ
　設問アに関連して，電子データを活用する仕組みの有効性を監査する場合の監査手続について，具体的な監査証拠を例示しながら，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，電子データの活用を推進する組織において，電子データの保護が不十分にならないよう，監査人はどのような改善案を提言できるか，700字以上1,400字以内で具体的に述べよ。

【AU-H22-1-PM2-Q3】IT保守・運用コスト削減計画の監査について

　景気変動が激しく，国際競争が厳しい経営環境において，無駄なコストを減らして収益性を高めることは，組織にとって重要な経営課題の一つである。ITは，今日の経営に不可欠なものである一方で，そのコストは年々増加傾向にある。組織が全社的にコストを抑制していく中で，ITコストについても削減に向けた適切な取組が必要になっている。
　ITコストは，ハードウェア，ネットワークなどのインフラ構築や業務システムの開発などの導入コストと，構築したシステムを維持するための保守・運用コストに分けられる。導入コストは当初だけ発生するのに対して，保守・運用コストはその情報システムが廃棄されるまで継続的に発生する。したがって，ITコストの削減においては，保守・運用コストをいかに削減するかが重要なポイントになる。
　しかし，IT保守・運用コストの削減がシステム障害，情報漏えい，利用者の満足度低下，及びIT部門の技術力・管理能力の低下につながることがある。また，取組の結果，削減額や削減達成時期などの当初目標を達成できないこともある。
　システム監査人は，IT保守・運用コスト削減計画の策定・実行プロセスについて監査するだけでなく，削減によって生じるリスク，将来的な影響，目標達成の可能性など，削減計画の内容の妥当性についても監査する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係した組織や業務におけるIT保守・運用コスト削減の取組の概要について，削減対象及び対象とされた理由を含め，800字以内で述べよ。
■設問イ
　設問アに関連して，削減計画の内容の妥当性を監査する場合の監査項目について，監査項目とした理由を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イに関連して，監査で発見された問題点とその改善案について，700字以上1,400字以内で具体的に述べよ。

📗H21:2009

【AU-H21-1-PM2-Q1】シンクライアント環境のシステム監査について

　近年，シンクライアントを導入する組織が増えている。これまで，PCには，ハードディスクが搭載され，端末本体にデータを格納するのが一般的であった。しかし，ノートPCの紛失や盗難によって，格納されているデータが外部に流出する事件が相次いだこともあり，情報セキュリティ対策の一つとして，シンクライアントが注目されるようになった。
　シンクライアントを導入すると，利用者のデータはすべてサーバ上で集中管理されることになる。最近では，ハードディスクが搭載された既存のPCでも，擬似的にシンクライアント環境を構築できる技術が開発され，以前に比べてシンクライアントへの移行が容易になっている。
　しかし，シンクライアント環境においては，データの保管や通信負荷，勤務形態などに関して，特有のリスクがある。そのため，組織は，シンクライアントを導入する前にリスクを明確にし，十分な対策を講じる必要がある。
　このような状況を踏まえ，システム監査人は，シンクライアント環境においてリスクが十分に低減されているかどうかを監査しなければならない。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係する組織において，シンクライアントを導入している場合，又は導入を検討している場合，その目的及び期待する効果を，800字以内で述べよ。
■設問イ
　設問アに関連して，シンクライアント環境にかかわるリスクを，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，シンクライアント環境におけるリスク対策によって，想定するリスクが十分に低減されているかどうかについて監査する場合に必要な監査手続を，700字以上1,400字以内で具体的に述べよ。

【AU-H21-1-PM2-Q2】システム監査におけるログの活用について

　情報システムの運用においては，処理の正確性・効率性，セキュリティなどを確保するために，システムの運用状況，データなどへのアクセス状況，トランザクションデータなどをログとして記録し，監視・分析する必要がある。ログとして記録する内容やタイミングは，OS，データベース，ネットワーク，アプリケーションシステムなどによって異なる。ログを適切な内容やタイミングで記録し，監視・分析することによって，障害発生時や情報漏えい時の原因究明が容易になるとともに，それらの防止にも役立つ。
　システム監査においても，ログの役割はますます重要になってきている。ログの活用によって，コントロールの有効性の評価が容易になるとともに，効率よく監査を実施できるようになる。例えば，本番環境のプログラムについて，アクセス権限をもたない者が変更を行っていないかどうかを検証する場合に，ログを活用すれば，一定期間における本番環境のプログラムに対するすべてのアクセス状況を迅速に確認することができる。
　一方で，ログの選定や入手方法が適切でない場合には，誤った監査結果を招く可能性がある。したがって，システム監査人は，ログを活用して監査を実施する場合には，監査目的に合ったログを選定し，それを適切な方法で入手して活用する必要がある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが携わった情報システムについて，その運用に関するシステム監査の監査目的及びログを含むシステム環境について，800字以内で述べよ。
■設問イ
　設問アに関連して，監査目的を達成するために，どのようなログを活用すべきか。そのログを監査証拠とする上でのログの選定や入手方法にかかわる留意事項を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，当該ログの活用によるメリット及びその監査手続について，700字以上1,400字以内で具体的に述べよ。

【AU-H21-1-PM2-Q3】企画・開発段階における情報システムの信頼性確保に関するシステム監査について

　組織が業務やサービス提供などをより効果的かつ効率よく行う上で，情報システムの果たす役割はますます広がってきている。その結果，情報システムの不具合や障害による業務・サービスの停止や機能低下の影響度は大きくなり，社会問題にまで発展するおそれもある。このような状況から，情報システムに対する信頼性確保の要請が高まっている。
　企画・開発段階における情報システムの信頼性確保とは，情報システムが期待どおりの機能やサービスを提供できるように，設計・構築することをいう。そのためには，情報システムの不具合や障害などを未然に防止し，万が一，発生した場合にも影響範囲を最小限に抑えるためのハードウェアやアプリケーション，ネットワークなどのIT環境を構築することが重要となる。
　また，情報システムに求められる信頼性の水準は，業務やサービス提供などの重要度，情報システムの不具合や障害による影響度などによって異なる。例えば，決済システムと人事システムとでは，ディスク障害によって業務が中断した場合の影響度や範囲に違いがあるので，それぞれの対応策は異なってくる。
　このような点を踏まえて，システム監査人は，企画・開発段階における情報システムの監査において，当該情報システムの信頼性が確保されていることを確かめなければならない。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが関係した情報システムの概要と，業務やサービス提供において，当該情報システムに求められる信頼性について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの信頼性を確保するに当たり，企画・開発段階においてどのようなリスクと対応策を想定したか。関連する業務やサービス提供の重要度及び情報システムへの影響度を含め，700字以上1,400字以内で具体的に述べよ。
■設問ウ
　設問イで想定したリスクと対応策に対して，どのような点に留意して監査すべきか。IT環境の特徴などを踏まえて，700字以上1,400字以内で具体的に述べよ。

📗H20:2008

【AU-H20-1-PM2-Q1】アイデンティティマネジメントに関するシステム監査について

　今日，社内で取り扱われる情報の大部分は電子化され，情報システムで共有されるようになってきた。また，雇用形態の多様化や外部委託の増加に伴い，派遣社員やアルバイト，外部委託先の関係者が正社員と同様に社内のデータにアクセスし，利用することが多くなってきた。その結果，情報システムにアクセスするためのIDの管理が複雑になり，管理業務の負荷が増えたり，不適切な権限が付与されていたりすることが問題となっている。
　このような状況において，社内の情報システムやデータに対するアクセス権限の付与を適切かつ効率よく管理する，アイデンティティマネジメントが重要になっている。
　アクセス権限は，職務上の権限に応じて付与し，退職，異動，契約の終了などに伴って，速やかに抹消しなければならない。また，内部統制上必要な職務分離を確保する必要がある。管理すべきIDや情報システムが多い場合には，ID及び権限の申請，承認，登録，削除，及び登録状況の監視などを行うための管理システムや，複数の情報システムへのアクセスの認証を一元化するためのシングルサインオンシステムが導入されることもある。
　このような状況を踏まえて，システム監査人は，アイデンティティマネジメントに関する監査を実施する必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが関係する組織におけるアイデンティティマネジメントの状況と課題について，800字以内で述べよ。
■設問イ
　設問アに関連して，アイデンティティマネジメントを適切かつ効率よく実現するためのシステムを導入することによって，新たに発生したり，増加したりするリスクについて，具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，アイデンティティマネジメントの運用状況を監査する場合の監査手続について，具体的に述べよ。

【AU-H20-1-PM2-Q2】内部統制報告制度におけるシステム監査について

　適切な財務報告の要請や利害関係者への説明責任の高まりなどに伴い，経営者に対して，財務報告の信頼性を確保するための内部統制の整備・運用とともに，その有効性の評価及び報告が求められている。特に，多くの業務プロセスにおいて情報システムが利用されていることから，ITにかかわる内部統制の整備・運用の状況を評価し，その有効性を確かめることはますます重要になっている。
　金融商品取引法に基づく内部統制報告制度では，入出力データの完全性・正確性・正当性を確保するためのIT業務処理統制が重要となる。このIT業務処理統制は，情報システムの開発・保守時の変更管理や外部委託管理，アクセス管理などのIT全般統制に不備があると，有効に機能しなくなることがある。例えば，開発環境と本番環境が分離されていなかったり，ライブラリが適切に管理されていなかったりすると，プログラムの変更や本番移行が適切に行われず，結果として入出力データの処理エラーや不正なプログラム実行などが生じるおそれがある。
　したがって，IT業務処理統制を有効に機能させるためには，コンピュータ及びネットワークの構成や外部委託の有無などの，情報システムの運営上の環境や特徴を踏まえたIT全般統制が適切に整備・運用されていなければならない。
　このような状況を踏まえて，システム監査人は，ITにかかわる内部統制の有効性について監査を実施する必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムにおいてIT業務処理統制が有効に機能しない場合，その業務にどのような影響を及ぼすか。800字以内で述べよ。
■設問イ
　設問アで述べた情報システムについてIT全般統制の有効性を監査する場合の監査手続を，情報システムの運営上の環境や特徴と関連付けて，具体的に述べよ。
■設問ウ
　設問イのIT全般統制に不備が発見された場合に，システム監査人が設問アのIT業務処理統制の有効性を確かめる上で留意すべき点を，具体的に述べよ。

【AU-H20-1-PM2-Q3】外部組織に依存した業務に関する事業継続計画のシステム監査について

　組織が自然災害やシステム障害などに見舞われ，事業を平常どおり運営できなくなると，財務面に影響が出たり，社会的な責任を果たせなくなったりすることがある。多くの組織は，このようなリスクによる影響を最小限に抑えるため，業務手続を代替手段や遠隔地の別組織に切り替えられるように，体制や手順を準備している。不測の事態に陥った際，速やかに対応するための手順をまとめたものが，事業継続計画である。
　今日，多くの組織では，業務の大部分が情報システムによって運営されている一方，事業の運営形態に目を向けると，業務の一部を外部に委託したり，材料や部品を他社から調達したりするなど，様々な形で外部組織に依存している。
　したがって，事業継続にかかわる情報システム部門の責務は，自組織の情報システムに障害が発生した際に迅速に復旧させることだけにとどまらない。重要業務の委託先や業務上密接な関係にあるサプライチェーンなど，依存度の高い外部組織の業務が中断した場合には，電話やネットワークの通信経路を切り替えたり，システム上の処理量の配分を調整したりするなどの対策を講じて，自組織への影響を最小限に抑えることも情報システム部門の責務である。そのために，情報システム部門は組織の事業範囲を正確に認識し，自部門として対応すべき事業継続のための手順を確立しなければならない。
　このような状況を踏まえて，システム監査人は，事業継続に関する情報システム部門の役割を十分に理解し，事業継続計画の実効性について監査を実施する必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが関係する組織全体の事業継続計画の概要について，委託先や調達先など，依存度の高い外部組織との関係を踏まえ，800字以内で述べよ。
■設問イ
　情報システム部門の事業継続計画を策定する際，設問アで述べた外部組織の業務が中断することを想定して，確認すべき事項を具体的に述べよ。
■設問ウ
　設問イに関連して，外部組織の業務中断を想定した場合の情報システム部門の事業継続計画について，その実効性を監査する場合の監査手続を具体的に述べよ。

📗H19:2007

【AU-H19-1-PM2-Q1】システム監査におけるITの利用について

　システム監査における監査技法は，これまでは関係者に対するインタビューや資料の閲覧が中心であった。しかし，監査対象の拡大や複雑化に伴って，監査ソフトウェアやシステムのユーティリティ機能などのITを利用した監査技法(以下，IT監査技法という)が必要になってきている。
　例えば，サーバ管理の適切性について監査する場合，システム監査人は，サーバ管理者がサーバのOSのバージョンアップや利用者権限の更新などを適切に実施し，また，その適切性を定期的に検証しているかどうかを確かめる必要がある。数多くのサーバが複数の拠点で運用されているような環境においては，複数の管理者にインタビューを実施したり，資料を閲覧したりするよりも，IT監査技法を用いる方が効率が良い。また，IT監査技法を用いることによって，インタビューや資料の閲覧よりも証拠能力の高い監査証拠を入手することが可能になる。
　このような状況において，システム監査人は従来の監査技法に加えて，IT監査技法についても習熟しておく必要がある。一方，システム監査人は強力なアクセス権限をもつことになるので，監査ソフトウェアやシステムのユーティリティ機能の利用は監査目的の達成に限定される必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わったシステム監査において，IT監査技法が有効と思われる事例について，監査対象の概要と監査目的を，800字以内で述べよ。
■設問イ
　設問アに関連して，効率よく，効果的に監査目的を達成するためには，どのようなIT監査技法を用いるべきか。具体的な監査手続を述べよ。
■設問ウ
　設問ア及び設問イに関連して，システム監査人がIT監査技法を用いる場合に，組織としてどのような点に留意すべきか。具体的に述べよ。

【AU-H19-1-PM2-Q2】情報システムの調達管理に関するシステム監査について

　企業が競争優位を獲得し，維持するためには，新たなサービスの提供や品質の向上，業務の効率向上などを絶えず行わなければならない。これらを実現するに当たって，情報システムの果たす役割は大きく，ビジネススピードに合わせた情報システムの構築や機能追加，ハードウェアの更改などを行い，運用していくことが求められる。
　情報システムに対するこのような要請に，自社だけで迅速に対応するのは難しく，情報システムの一部又は全部を外部から調達することが多い。したがって，限られた予算の中でいかに適切かつ効率よく情報システムを調達するかが，ますます重要になってきている。
　情報システムの調達においては，調達先を選定し，契約すれば終わりというわけではない。例えば，調達する情報システムの開発や運用の業務内容や品質を確認しないと，調達の目的が達成されないおそれがある。また，調達結果を評価しないと，調達したことによる効果や調達コストの妥当性を確かめることができず，以降の改善に結び付かない。さらに，部門ごとに調達を行うと，情報システムの機能や調達した人員が重複して，無駄なコストがかかるおそれがある。
　情報システムの調達にかかわるこのようなリスクを踏まえて，システム監査人は情報システムの調達における計画から評価までの調達プロセスが適切に管理されているか，全社的に見て効率よく調達が行われているかどうかを評価する必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった組織において，情報システムの調達がどのように行われているか。調達の目的や内容，方法などを含めて，800字以内で述べよ。
■設問イ
　設問アに関連して，情報システムの調達プロセスにおけるリスクを低減するためには，どのようなコントロールが必要か。リスクと対応付けて，具体的に述べよ。
■設問ウ
　設問イに関連して，情報システムの調達管理の適切性や調達の効率性を監査する場合の監査手続について，具体的に述べよ。

【AU-H19-1-PM2-Q3】情報システムを利用したモニタリングとシステム監査について

　情報システムを用いて従業員の行動など組織内の事象をモニタリングする組織が増えている。モニタリングの目的は，情報漏えいの未然防止，問題発生時の状況把握，リソースを効率よく配分するための情報収集，業務プロセスを最適化するための従業員の行動パターン分析など，様々である。
　多くの組織において情報システムを利用したモニタリングが行われるようになった背景には，ネットワークやストレージなどの情報通信技術の進歩がある。例えば，従業員がアクセスしたインターネットサイトに関するシステムログ，送受信した電子メールの内容，特定の区画に入退室した際の映像などは，以前に比べて容易に記録し，蓄積できるようになった。また，カーナビゲーションシステムを活用すれば，営業車両の現在位置をリアルタイムに把握することができる。
　組織によるモニタリングは，不祥事を防止し，内部統制に関する説明責任を果たす上で効果がある。しかし，モニタリングに用いる情報システムのセキュリティや記録の管理が不適切であれば，その効果は半減してしまう。さらに，関係者との間で事前に適切な手続を踏まなければ，プライバシの問題になりかねない。また，リソース配分や業務プロセスの最適化のために従業員の行動などをモニタリングする場合，その内容が適切でなければ，期待した効果は得られない。
　システム監査人は，組織が従業員の行動などをモニタリングする際，情報システムの利用が適切であるかどうかを確認しなければならない。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが関係する組織において，情報システムを用いて従業員の行動などをモニタリングしている場合，どのような目的，手段で行っているか。その背景を含めて，800字以内で述べよ。
■設問イ
　設問アに関連して，情報システムを用いて従業員の行動などをモニタリングする場合，体制，規則などの運用面でどのようなことが整備されるべきか。具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，組織がモニタリングに用いている情報システムを対象にシステム監査を実施する場合，必要な監査手続について具体的に述べよ。

📗H18:2006

【AU-H18-1-PM2-Q1】監査手続書の作成について

　監査手続書は，システム監査において確認すべき監査項目や，システム監査に用いる監査技法などを記載したものである。監査手続書の作成に当たって，“システム管理基準”，“情報セキュリティ管理基準”などの基準や社内規程などが用いられる。
　これらの基準や社内規程などを基に，監査目的を踏まえて，監査項目の追加や変更などを行って監査手続書を作成する。したがって，システムが有効に活用されているかどうかを監査目的とする場合と，情報セキュリティが確保されているかどうかを監査目的とする場合とでは，監査項目は異なる。
　また，監査対象となるアプリケーションシステム，ネットワーク，組織体制，業務プロセス，外部委託の範囲・内容，ソフトウェアパッケージの利用状況などを考慮して，監査手続書を作成することも必要である。
　監査手続書に記載する監査技法には，インタビュー，現場の視察，各種資料の査閲など様々なものがあるので，監査項目と監査対象の状況に適した監査技法を選択することが重要になる。例えば，アクセス管理が適切に行われているかどうかを監査するためには，アクセスログの分析などの監査技法がある。しかし，分析に必要なアクセスログが取得されていなければ，アクセスログの分析を監査技法として選択することはできない。そのような場合には，アクセス権限付与リストの査閲やパスワードの強制変更機能の検証など，ほかの監査技法を選択することになる。
　システム監査人には，各種基準や社内規程などの目的及び内容を理解し，監査対象の状況を踏まえて監査手続書を作成する能力が求められる。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わったシステム監査の目的と概要について，あなたの立場や役割を含めて，800字以内で述べよ。
■設問イ
　設問アのシステム監査の目的を達成するために，監査手続書の作成に当たって利用した基準や社内規程などと，設定した監査項目や選択した監査技法に関する工夫について，具体的に述べよ。
■設問ウ
　設問イに関連してシステム監査を実施した結果，設問イで述べた工夫によってどのような効果及び課題があったか。具体的に述べよ。

【AU-H18-1-PM2-Q2】文書類の電子化とシステム監査について

　従来，法令によって保存が義務付けられている書類や帳票などの文書類は，書面(紙媒体)で保存する必要があった。しかし，企業における情報化の進展や電子政府の推進を背景に，e-文書法などの法令が施行され，文書類を電子的記録(以下，電子文書という)として保存することが認められるようになった。これによって，文書類の保管コストの大幅な削減や，検索能力の向上による効率的な業務の実現などが期待されている。
　一方，電子文書に対する適切なコントロールを確立しなければ，消失や改ざん，不正アクセスによる漏えいなど，電子文書の完全性及び機密性を確保できなくなるリスクがある。また，ハードウェア障害などによって，必要なときに電子文書の表示や書面への出力ができないなど，電子文書の見読性を確保できなくなるリスクもある。
　このようなリスクに対して，法令では電子文書の保存などに関する要件を定めている。しかし，法的要件を満たすだけでは不十分である。保存対象となる電子文書に求められるビジネス要件を明確にして，適切なコントロールを確立し，それに基づいて電子文書の管理体制や規程などを整備する必要がある。
　システム監査人は，このような状況を踏まえて，電子文書の取扱いがもたらすリスクを低減するためのコントロールが適切かどうかを確認しなければならない。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった業務では，どのような文書類を電子化したか。また，電子化の際の目的や期待したメリットについて，書面の場合と比較して800字以内で述べよ。
■設問イ
　設問アで述べた文書類の電子化において想定したリスクについて，法的要件とビジネス要件の違いに関連付けて，具体的に述べよ。
■設問ウ
　設問イで述べたリスクを低減することを目的に監査を実施する場合，どのような監査手続が適切か。具体的に述べよ。

【AU-H18-1-PM2-Q3】情報漏えい事故対応計画の監査について

　個人情報をはじめとして情報漏えい事故が多発している。最近では，漏えいした個人情報が悪用されて詐欺被害に発展するなど，個人や社会に与える影響はますます大きくなっている。また，個人情報だけではなく，営業秘密などの情報が漏えいした場合も，企業は大きな損失を被る可能性がある。
　情報漏えい対策では，予防対策が必要不可欠である。しかし，予防対策だけで情報漏えい事故の発生を完全に防ぐことは難しく，費用対効果の面からも予防対策には限界がある。また，情報漏えい事故が発生したときの不適切な対応や対応の遅れによって被害が拡大したり，信用を失ったりする場合もある。したがって，情報漏えい対策においては，予防対策と並んで，情報漏えい事故が発生したときの事故対応計画を策定しておくことが重要である。
　情報漏えい事故が発生したときに迅速かつ適切な対応を行うためには，事故発生直後に初期対応として行うべき事項やその手順，初期対応が完了した後に行うべき事項やその手順などを事故対応計画としてまとめておかなければならない。事故対応計画には，実際に事故が発生したときに，関係者が事故対応計画に従って迅速かつ適切に対応でき，対応策が十分に機能するといった実効性が求められる。
　システム監査人は，このような状況を踏まえて，情報漏えい事故が発生したときの対応計画の実効性について監査を実施する必要がある。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが関係する企業などにおいて，情報漏えい事故が発生したとき，組織や社会に重大な影響を及ぼす情報にはどのようなものがあるか。その情報が漏えいした場合の影響も含め，800字以内で述べよ。
■設問イ
　設問アに関連して，事故発生直後に行う初期対応として，事故対応計画に盛り込むべき事項について，具体的に述べよ。
■設問ウ
　設問イに関連して，システム監査人が事故対応計画の実効性を監査する場合の監査手続について，具体的に述べよ。

📗H17:2005

【AU-H17-1-PM2-Q1】システム監査の品質確保について

　情報システムの企業内における役割の拡大，更には社会にもたらす影響の拡大に伴って，情報システムに関する経営者の管理責任が強く求められるようになっている。例えば，情報漏えいや重大なシステムトラブルが発生した場合には，経営者の管理責任が問われることがある。そこで，経営者の管理責任を果たす上で，システム監査が重要な意味をもつことになる。
　システム監査の役割は，独立した立場にある監査人が，情報システムに関するリスクに対して，適切なコントロールが構築・維持されているかどうかを客観的に点検・評価するとともに，コントロールの有効性や効率性を高めるための改善勧告を行うことといえる。このような役割を果たすためには，システム監査の品質を確保し，高めていくことが重要になる。
　システム監査の品質の確保及び向上においては，監査手順の遵守，適切な監査手続の実施，監査調書の作成・保存などの対応だけではなく，経営にとって有益な監査報告を行うことが重要である。そのためには，システム監査人の育成及び教育，監査業務プロセスの継続的な改善，監査部門内での品質チェック，外部の第三者による品質評価などが必要になる。
　情報システムに対するコントロールを高めていく上で重要な役割を担うシステム監査人は，システム監査の品質を確保し，向上させるように努めなければならない。また，実施したシステム監査の品質確保の状況について，経営者や第三者に明確に説明できるようにしておくことも大切である。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わったシステム監査の目的と概要について，システム監査の品質確保の重要性と関連付けて，800字以内で述べよ。
■設問イ
　設問アに関連して，システム監査の品質が十分でない場合に，どのような問題が発生すると考えられるか。具体的に述べよ。
■設問ウ
　設問イで述べた問題について，システム監査の品質を確保し，高めるために必要な取組について，具体的に述べよ。

【AU-H17-1-PM2-Q2】サービスレベルマネジメントの監査について

　情報システムの運用・保守業務をアウトソーシングする企業が増えている。加えて，データ入力，帳票の印刷・発送業務，コールセンタ業務などを一括して委託する，ビジネスプロセスアウトソーシングと呼ばれる形態も現れてきた。
　このような状況において，提供側と利用側との間で，サービスの提供時間や障害時の復旧時間などの品質保証項目とその値を定めたサービスレベルを明確にして，確保・維持することが重要な課題になっている。このことは，サービスの提供企業と利用企業との間だけにとどまらず，企業内の情報システム部門とユーザ部門との間でも同じことがいえる。
　しかし，利害の対立するサービスの提供側と利用側の間で，サービスレベルについて合意することは，容易ではない。また，サービスレベルに関して合意し，明文化しても，それだけではサービスレベルを確保・維持することはできない。例えば，合意したサービスレベルの定義や前提条件があいまいな場合，サービスの提供側と利用側との間で認識が食い違ってしまったり，時間の経過とともに，当初合意したサービスレベルを維持できなくなったりすることもある。したがって，サービスの提供側と利用側の双方において，サービスレベルを適切に確保・維持するためのサービスレベルマネジメントを確立する必要がある。
　システム監査人は，監査を通じて第三者的な立場から，サービスレベルマネジメントの確立・維持に重要な役割を担っている。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが関係した情報システムの運用・保守サービスの概要，及びそのサービスにおいて重要となるサービスレベルについて，800字以内で述べよ。
■設問イ
　設問アに関連して，サービスレベルの合意が容易でない理由，及び合意の形成過程において内部監査人や外部監査人が果たす役割について，具体的に述べよ。
■設問ウ
　設問アに関連して，サービスレベルマネジメントが適切に確立・維持されているかどうかを監査する場合の監査手続について，具体的に述べよ。

【AU-H17-1-PM2-Q3】情報システムの全体最適化とシステム監査について

　企業を取り巻く経営環境の変化に伴い，企業では新たなビジネスモデルの構築，事業や組織の再編などの経営戦略によって企業価値を高め，競争優位を獲得・維持しようとしている。情報システムは，これらの経営戦略を迅速かつ効果的に実行するための基盤としてとらえられている。
　しかし，情報システムの多くは，それぞれの業務を支援する目的で，個別に検討され，構築・導入がなされるとともに，ビジネス要件や情報技術の変化などに伴い，機能の追加や変更が繰り返されてきた。その結果，企業全体としてみた場合，情報システム群が複雑になり，全体像を把握できなくなったり，情報システム間でデータや機能などが重複し，整合性がとれなくなったりしている。例えば，在庫管理や販売管理のシステム化に際して，企業としての在庫の定義やデータ構造を統一せずに個別に構築したことから，物流拠点の出庫データと販売店の入庫データが一致しなかったり，在庫データの整合性を図るために新たな処理が必要になったりする場合がある。
　このような状況から，企業全体の統一された目標や方針に従って，業務プロセス，データ，適用処理，IT基盤などを整理・体系化して，情報システム全体を改善する全体最適化が求められている。
　システム監査においても，個々の情報システムを対象とした信頼性，安全性，効率性などの点検・評価のほかに，企業全体としてみた情報システムの全体最適化の視点から，情報システムを点検・評価すべき場合がある。この場合，システム監査人には，個々の情報システムの範囲に限定される部分最適化とのトレードオフを踏まえて，情報システムの全体最適化について監査することが求められる。
　上記に基づいて，設問ア～ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの概要について，企業全体としての情報システムからみた場合の問題点と関連付けて，800字以内で述べよ。
■設問イ
　設問アで述べた内容を踏まえて，情報システムの全体最適化の計画，又は実施状況を監査する場合の監査項目について，具体的に述べよ。
■設問ウ
　設問イで述べた監査項目に基づいて監査を実施する場合の手法について，具体的に述べよ。

📗H16:2004

【AU-H16-1-PM2-Q1】取引先などの利害関係者への開示を目的としたシステム監査について

　これまでのシステム監査は，企業などの経営者や管理者などに対して助言を行うという目的で実施されることがほとんどであった。しかし，情報システムの社会的な役割が増大する中，システム監査には新たな役割が求められてきている。
　経済活動や社会活動の多くにおいて情報システムが利用されている今日では，一企業の情報システムの停止や誤作動が，他の企業や個人などに多大な影響を与える場合がある。このような状況においては，情報システムにかかわる安全性や信頼性について，個々の企業などが自己評価を行うだけでは必ずしも十分とはいえない。独立した第三者が客観的に企業などの情報システムを監査し，取引先などの利害関係者がその結果を利用できる外部監査の仕組みが，今日の社会において必要になっている。
　例えば，企業などが情報システムの運用を外部に委託する場合には，委託業務の信頼性や安全性について評価する必要がある。
　また，受託企業が多くの委託元から個別に評価を受けるのも非効率的である。この場合，受託企業が第三者の外部監査を受け，利害関係者に監査報告書を開示することによって，委託元の内部監査人などは，その結果を利用することができる。
　一方，利害関係者への開示を目的とした監査においては，助言を目的とした監査とは異なった注意が必要になる。監査報告書を開示する企業は，利害関係者が報告書を適切に利用できるように，監査報告書の開示内容を考慮しなければならない。同時に，監査報告書を利用する利害関係者においても，監査範囲や監査内容を適切に理解した上で，報告書を利用することが求められる。
　上記に基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが関係した組織における業務及び情報システムの概要，並びにその安全性や信頼性が利害関係者に及ぼす影響について，800字以内で述べよ。
■設問イ
　設問アに関連して，利害関係者が監査報告書を適切に利用できるように，監査報告書の開示内容に盛り込むべき事項を具体的に述べよ。
■設問ウ
　設問イに関連して，開示された監査報告書を利害関係企業などの内部監査人が利用して，監査を実施する場合の留意点について具体的に述べよ。

【AU-H16-1-PM2-Q2】情報システムの統合とシステム監査について

　事業規模の拡大や事業領域の再編を背景として，様々な形で企業の合併や買収などの企業統合が増えている。これに伴いそれぞれの企業の事業活動を支えてきた情報システムの統合も行われている。
　企業統合においては，統合を計画どおり実施して，統合によるメリットを最大限に享受できるようにしなければならない。そのためには，情報システムの統合を円滑に行うことが企業統合の重要な成功要因の一つとなる。一方，情報システムの統合が円滑に進まないことから，企業統合の目的を十分に達成できない状況や，統合後のシステム障害の発生によって事業活動に支障を来す状況も発生している。
　情報システムの統合においては，ある企業の情報システムを統合相手となる企業がそのまま利用したり，新たに情報システムを構築したりするケースがある。さらに，既存の情報システムを残して統合相手企業の情報システムと連結させるためのシステム機能を付加したりするケースもあり，対応は様々である。
　情報システムの統合を進める際には，情報システムだけではなく，情報システムと密接な関係をもつ業務プロセスや内部統制機能など様々な視点から検討する必要がある。例えば，情報戦略，情報システムの管理・運用，社内手続などが統合相手企業と異なることから生じる問題にも適切に対応しなければならない。
　システム監査人には，情報システムの統合に当たって幅広い視点から監査を実施することが求められる。また，統合目的の達成に向けた情報システムの統合が行われているかどうかを監査するためには，統合企業が合同で設置した企業統合委員会などの下にシステム監査チームを設置し，統合後の新体制を踏まえた監査を実施することが必要になる。
　上記に基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの統合について，その目的と概要を，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの統合の適切性について監査する場合の監査項目を，想定されるリスクと関連付けて具体的に述べよ。
■設問ウ
　設問イに関連して，企業統合委員会などの下にシステム監査チームが設置される場合，それぞれの企業のシステム監査部門は，どのような点に留意すべきか具体的に述べよ。

【AU-H16-1-PM2-Q3】IT投資計画の監査について

　企業などでは，顧客サービスの向上や企業競争力の強化，競合他社との差別化などを図るために戦略的なIT投資を行ってきている。例えば，インターネット通信販売の実現によって，24時間販売による売上増加や，人件費及び店舗運営などのコスト圧縮だけではなく，インターネット利用者を対象とした新たな販路の拡大が期待される。
　また，電子帳簿保存法やIT書面一括法など法制度面での整備も進んできている。取引記録や帳票などの電子的な保存によって，伝票類の印刷や保管などにかかわるコストの圧縮や，受発注から決済までの事務処理の効率の向上などを図ることができる。
　一方，IT投資計画の策定においては，システム化によって生じるリスクを低減するための対応策を計画するとともに，システム化以前の業務手続との整合性を保ちつつ，新たな証跡を確保する仕組みの整備が重要となる。例えば，インターネット通信販売システムでは，個人情報の漏えい，決済処理ミスによる二重請求，システム障害によるサービス停止などのリスクを低減するための対応策や，受注データなど取引の成立要件となる電子データの証跡確保，電子的に保存される帳簿類の真実性・見読性の確保などを含めた計画が必要となる。
　このような状況を踏まえて，システム監査人は，IT投資による利便性や効率性などの効果だけではなく，関連法制度への準拠性の確保や，新しいビジネスモデルに伴うリスクを低減するための対応策及び必要なコストの検討など，総合的にIT投資計画が策定されているかどうかを確かめる必要がある。
　上記に基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった業務の概要と，その業務にかかわるIT投資の目的及び期待される効果について，経営戦略と関連付けて，800字以内で述べよ。
■設問イ
　設問アで述べたIT投資において，リスクを低減するための対応策や法制度面での準拠性確保に関して，計画段階で考慮すべき点を具体的に述べよ。
■設問ウ
　設問ア及び設問イで述べた内容を踏まえて，IT投資計画の適切性を監査する場合の監査ポイントを具体的に述べよ。

📗H15:2003

【AU-H15-1-PM2-Q1】ソフトウェアパッケージの導入に伴うシステム監査について

　システム構築にかかわる期間の短縮やコスト低減，ビジネスプロセスの改革による管理レベルや効率の向上などを目的として，ERPパッケージ(統合型業務パッケージ)を中心としたソフトウェアパッケージ(以下，パッケージという)を導入する企業が増えている。パッケージは，一般的に業界標準と考えられているビジネスプロセスに基づいて設計され，当該業務に必要な業務機能やコントロール機能が組み込まれている。
　パッケージで想定されているビジネスプロセスについては，導入する企業が必要とするものと差異を生じることが多い。そこで，企業では，パッケージをカスタマイズするか，パッケージに適合したビジネスプロセスに変更することなどによって，導入を進めることになる。特に，大規模なパッケージ導入を行う場合には，全社的なビジネスプロセスの見直しが行われることが少なくない。この結果，ビジネスプロセスに組み込まれるコントロール機能について，現行レベルより向上したり低下したりする部分が発生する。
　したがって，パッケージ導入によって変更されるビジネスプロセスにおいて，必要なコントロール機能や水準が確保されているかどうかの検討が不可欠になる。具体的には，ビジネスプロセスの設計段階で，新旧のビジネスプロセスにおけるコントロール機能のギャップを分析し，企業のコントロール水準に関する方針，リスク評価などを踏まえて，その企業が必要とするコントロールの確立を図ることが求められる。
　システム監査人は，このような状況を踏まえて，パッケージ導入を前提とした場合のコントロールの適切性について監査を実施しなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わったパッケージ導入の概要と，導入に当たって実施したパッケージのカスタマイズやビジネスプロセスの変更について，800字以内で述べよ。
■設問イ
　設問アに関連して，パッケージ導入によってコントロールの低下をもたらすリスクと監査の必要性について，具体的に述べよ。
■設問ウ
　設問イに関連して，パッケージ導入に当たっての設計段階で，コントロールの適切性に関する監査を実施する場合の留意点を具体的に述べよ。

【AU-H15-1-PM2-Q2】事業継続計画(ビジネスコンティニュイティプラン)の監査について

　情報技術の進展に伴い，情報システムの役割は，企業の事業活動とますます密接なつながりをもつようになってきている。また，企業合併に伴う情報システム統合や情報システム間の相互接続などによって，システムの大規模化と複雑化も進んでいる。
　一方，情報システムのグローバル化や24時間稼動によって，障害などによる情報システムの許容停止時間は短くなりつつある。障害，事故，災害，犯罪，テロなどを原因とする情報システムの機能停止によって，企業にとって重要な事業活動が長時間にわたって中断するリスクを無視することができなくなってきている。このようなリスクは，社会的に大きな影響を及ぼす可能性もある。そのため，経営上の最優先課題の一つとして事業継続計画を策定しておくことが必要である。
　事業継続計画を策定する際には，事業活動の重要度や情報システムへの依存度などを踏まえて総合的に検討する必要がある。例えば，かつては情報システムが停止しても，紙の伝票などの代替手段によって業務を継続できていた。ところが，取り扱うデータ量の増加や情報システム間のデータ連携の広がりなどによって，現在では情報システムの利用なくして業務を継続できない場合がある。したがって，事業継続という観点からは，緊急時対応計画を策定するだけではなく，企業は，事業戦略に基づいた情報システムのサービスレベルを定義し，コストとの関係において適正な情報システムの可用性を確保しなければならない。
　システム監査人は，このような情報システムの役割やリスクの変化を踏まえて，事業継続計画の策定状況と，その実効性について監査を実施する必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの概要と，その情報システムのリスクが事業活動の継続にどのような影響を及ぼすかについて，800字以内で述べよ。
■設問イ
　設問アに関連して，事業継続計画を策定する場合の留意事項と，円滑に事業活動を継続するためのコントロールを具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，事業継続計画の実効性について監査を実施する場合のポイントと留意点を具体的に述べよ。

【AU-H15-1-PM2-Q3】情報セキュリティマネジメントシステムにおけるシステム監査について

　今日，セキュリティ事故によって被る直接的及び間接的な損害，並びにその対策費用は，経営的な観点からも無視できなくなっている。また，技術面，設備面の対策だけでセキュリティ事故を防ぐことは難しく，組織体制や教育などの運用面での対策を適切に組み合わせて対応する必要がある。このため，経営者はセキュリティを経営上の課題として認識し，セキュリティ対策に取り組んでいかなければならない。
　情報セキュリティマネジメントシステムは，企業活動を適切に運営するために必要なマネジメントシステムの一つである。情報セキュリティマネジメントシステムとは，個別のセキュリティ問題ごとの技術対策に加えて，事業戦略やリスク評価によって必要なセキュリティレベルを定め，それを継続的に維持するための組織的な仕組みをいう。また，情報セキュリティマネジメントシステムは，セキュリティ目標を達成する上で，効率的かつ効果的なセキュリティ対策を実現するためにも必要な仕組みである。
　経営者は，組織の情報セキュリティマネジメントシステムを構築するとともに，それによって組織のセキュリティ目標が実際に達成されているかどうかについても検証していくことが必要である。システム監査は，経営者に代わって，情報セキュリティマネジメントシステムの実効性について監査を実施するという重要な役割を担うことになる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが関係した組織におけるセキュリティの現状と情報セキュリティマネジメントシステムの必要性について，800字以内で述べよ。
■設問イ
　設問アに関連して，情報セキュリティマネジメントシステムの構築や維持において，どのような組織体制が必要になるか，それぞれの役割とともに具体的に述べよ。
■設問ウ
　システム監査人が情報セキュリティマネジメントシステムの実効性について監査を実施する場合の主要な監査項目と監査手続を具体的に述べよ。

📗H14:2002

【AU-H14-1-PM2-Q1】システム監査における監査調書の作成と整備について

　監査調書とは，システム監査の実施内容を記録した資料であり，システム監査人が作成したものや，被監査部門から入手した資料などを取りまとめたものである。システム監査人は，監査調書に基づいてシステム監査報告書を作成する。したがって，監査調書は，システム監査人が専門家としての相当な注意をもってシステム監査を実施し，監査目標に適合した監査意見を表明するために不可欠な資料である。例えば，監査調書に記録されていない事項をシステム監査報告書に記載することは，監査証拠の裏付けのない監査意見を述べることになり，システム監査報告書の正確性を損なう原因となる。
　さらに，監査調書は，監査報告書に記載された改善勧告に基づいて適切な措置が講じられているかどうかをフォローアップするときにも，その改善効果を具体的に分析するための資料になる。また，次回以降のシステム監査を合理的に実施するための参考資料としても重要である。
　このように，監査調書は，システム監査を実施する上で監査人と被監査部門双方にとって重要なものである。システム監査人は，監査意見を表明するために十分な監査調書を作成するとともに，次回以降の監査で有効活用できるように監査調書を整備しておく必要がある。また，システム監査責任者は，客観的な立場で監査調書を査閲して，予備調査や本調査での監査手続や監査判断が適切であったかどうかを評価しなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった業務の概要と，その業務にかかわる情報システムを対象として監査を実施する場合の監査目的及び監査目標について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの監査において，その監査報告書における監査意見の根拠を明らかにするために，監査調書を作成する上で留意すべき点を具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，次回以降の監査に向けてどのように監査調書を作成しておくべきか。留意すべき点とその理由を具体的に述べよ。

【AU-H14-1-PM2-Q2】アウトソーシングの企画段階におけるシステム監査について

　今日，情報システムのアウトソーシングを実施する企業が増えている。他社との激しい競争の中で，情報システムの運用などの定型的な業務をアウトソーシングして資金や人といった資源をより戦略的な分野に集中させる企業や，新しい情報技術を迅速に採り入れるために，アウトソーシングを実施する企業もある。また，インターネットビジネスに代表されるように，高い可用性と，高度なセキュリティ管理を必要とする情報システムの運用に関してもアウトソーシングサービス利用のニーズは高まっている。
　一方，このような企業のニーズを反映し，大手情報処理サービス業者に加えて，ベンチャ企業，外資系企業，異業種企業など，様々な企業がアウトソーシングビジネスに参入してきている。
　しかし，アウトソーシングを実施したすべての企業がそのメリットを享受できるわけではない。当初想定していたアウトソーシングの目的を達成できなかったり，逆に想定していなかったリスクに見舞われたりする企業もある。また，事業戦略を実現する手段としてアウトソーシングが適切でない場合もある。したがって，アウトソーシングを実施するに当たっては，アウトソーシング実施の意思決定からアウトソーシング先との契約までの企画段階において十分な検討が必要になる。
　システム監査人は，アウトソーシングの企画段階でシステム監査を実施することによって，アウトソーシングのリスクが適切に管理されているかどうかを確認する必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムで，現在行われているアウトソーシング，又は将来行われる可能性のあるアウトソーシングについて，そのアウトソーシングの目的及び概要を800字以内で述べよ。
■設問イ
　設問アに関連して，企業がアウトソーシングを実施する場合に，考慮すべき重要なリスクの概要，及びそれらのリスクを適切に管理するために企画段階で実施すべき内容について述べよ。
■設問ウ
　設問ア及び設問イに関連して，アウトソーシング実施の意思決定の合理性に関して，システム監査を実施する場合の監査要点について述べよ。

【AU-H14-1-PM2-Q3】ITガバナンスとシステム監査について

　企業では，ITを活用した新たなビジネスモデルの構築や，ITを駆使した効率的な経営の推進など，ITの進展を積極的に採り入れた情報戦略によって，市場における競争優位を獲得しようとしている。例えば，CRM(Customer Relationship Management)を導入し，顧客の属性や取引内容などを一元的に管理し活用することによって，顧客との関係を強化し，競合他社との競争に勝ち抜こうとしている。また，他社に先駆けてインターネットを活用したビジネスモデルを創造し，新たなビジネスチャンスを獲得しようとしている。
　ITの進展は著しいので，情報戦略の策定・実行に際しては，市場での競争優位の獲得に有効か，投資採算性はどうか，サービスレベルは達成できるか，リスクマネジメントに問題はないかなど，多面的かつ迅速な経営判断が求められている。また，ITを活用して競争優位を獲得するためには，企業には，情報戦略の策定・実行をコントロールし，あるべき方向へ導く能力が必要になる。さらに，企業全体としての情報リテラシも不可欠である。このような企業が備えるべき組織能力は，ITガバナンスと呼ばれる。
　今日，企業にとってITガバナンスを確立することが重要な課題のひとつとなっている。ITによる競争優位を獲得する組織能力が企業に備わっているか，それが有効に機能しているかどうかの判断がシステム監査人に求められている。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　競争優位の獲得に関してITに期待される役割を，あなたが携わった事業の概要と関連付けて，800字以内で述べよ。
■設問イ
　設問アで述べた内容を踏まえて，ITガバナンスの視点からどのような課題があると考えられるか。情報戦略の目的達成にかかわるリスクと関連付けて，具体的に述べよ。
■設問ウ
　設問イに関連して，企業の組織能力としてのITガバナンスの状況を監査する上でどのような点に留意すべきか，システム監査人の立場と関連付けて，具体的に述べよ。

📗H13:2001

【AU-H13-1-PM2-Q1】リスクを重視したシステム監査の実施について

　今日，企業経営の情報システムへの依存度が高まる中，情報システムに関連する経営上のリスクはますます大きくなっている。情報システムに関連する経営上のリスクとは，情報システムに起因して企業などが経済的又は社会的な価値を失う可能性，あるいは獲得できなくなる可能性をいう。このようなリスクは，情報システムに対する脅威とその情報システムなどがもつぜい弱性が結びついて顕在化する。
　リスクは，企業経営を行っていく上で避けることのできないものであるが，適切なリスクコントロールを行っていくことでそのリスクを低減することができる。そして，システム監査人は，情報システムに適切なリスクコントロールを確保する上で重要な役割を担うことになる。
　一方，情報技術の利用拡大に伴う監査対象領域の拡大や情報技術の高度化によって，システム監査人には，今まで以上に高度かつ幅広い知識が要求されるようになった。しかし，多くの企業において，そのようなシステム監査人を十分確保することは難しく，システム監査の実施において，重要な問題点を発見できず，監査の目的を達成できないという監査実施上のリスクが増大していることも考慮しなければならない。
　このような状況においてシステム監査人は，監査対象のリスクに加えて監査実施上のリスクについても考慮しながら，年度監査計画や個別監査計画を策定していく必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった組織において，経営上のリスクが大きいと考える情報システムについて，そのリスクとリスクコントロールの概要を800字以内で述べよ。
■設問イ
　設問アに関連して，システム監査人が監査計画を策定する場合に，監査対象のリスク及び監査実施上のリスクをどのように考慮すべきかについて，具体的に述べよ。
■設問ウ
　設問イに関連して，監査実施上のリスクを低減するための方法について，具体的に述べよ。

【AU-H13-1-PM2-Q2】新しい企業価値の創造を実現する情報システムの監査について

　情報システムの目的は，業務の効率化やコスト削減，営業活動支援による販売拡大，顧客サービスの向上など様々である。最近では，インターネットなどを利用して新しいビジネスモデルを構築し，従来の市場にない新しい企業価値の創造を実現する情報システムの構築に取り組む企業が増えつつある。このような情報システムの構築に当たっては，情報システムが企業変革を視野に入れた経営戦略に沿って構築され，その目的が達成されているかどうかがトップマネジメントにとって大きな関心事になる。
　システム監査人は，新しい企業価値の創造を実現する情報システムを監査する場合，新しいビジネスモデルがもつ戦略的インパクト，その中で果たす情報システムの役割などを把握する必要がある。また，経営目標の達成度合を測定する指標の有無，指標の内容及び目標値についても確かめなければならない。このような測定指標を把握した上で，具体的な監査目標を設定することが，監査の実施に際してカギとなる。
　さらに，監査目標を達成するためにいかなる監査手続を適用するかは，限られた監査スタッフや監査期間内で監査の成果を着実にあげるために重要な意味をもつ。システム監査人は，経営目標を踏まえて，適切な監査手続を選択しなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムのシステム化の背景と目的，又は今後の新規開発の可能性を，新しい企業価値の創造や情報戦略と関連付けて，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムに関連して，新しいビジネスモデルの構築や新しい情報戦略の実現を目的とした情報システムを監査するために，どのような監査目標を設定すべきか，具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，監査目標を効果的かつ効率的に達成するための監査手続について，具体的に述べよ。

【AU-H13-1-PM2-Q3】企業間連携を支援する情報システムの監査について

　近年，インターネットをはじめとする情報技術を活用して，取引先との連携を図る企業が増え始めている。例えば，取引先を含めた効率的な生産計画の策定や正確かつ迅速な納期の実現，在庫削減の推進など，業務プロセス全体の最適化を図るサプライチェーンマネジメントの考え方が導入されるようになっている。
　効果的かつ効率的な企業間連携を実現するためには，取引企業間で生産や在庫，販売などの業務プロセスを標準化し，情報の共有化を図ることが重要になる。情報システムの可用性を確保するためには，取引企業の情報システムがそれぞれ正常に稼働しているだけではなく，企業間で必要な情報を，必要なときに，適切なインタフェースで利用できることが必要である。また，この企業間連携を支援する情報システムのいずれかにおいて，システム障害が発生したり，データのエラーや不整合などが生じると，連携する企業の業務全体に大きな影響を与える場合がある。
　システム監査人は，このような企業間連携の特徴を踏まえて，企業間連携を支援する情報システム全体の可用性や情報の整合性の確保にかかわるコントロールが適切であるかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった業務の概要と，企業間連携を支援する情報システムの導入状況又は導入可能性について，800字以内で述べよ。
■設問イ
　設問アに関連して，企業間連携を支援する情報システムにおいて考慮すべきリスク，及びそのリスクを低減するためのコントロールを具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，企業間連携を支援する情報システムの可用性，及び情報の整合性を確かめるための監査手続について，具体的に述べよ。

📗H12:2000

【AU-H12-1-PM2-Q1】セキュリティポリシの監査について

　今日，情報漏えいやネットワークへの不正アクセスといった情報セキュリティにかかわる事件の増加に伴い，セキュリティポリシ策定の重要性が指摘されている。セキュリティポリシとは，組織が保有する情報資産を適切に保護するために，セキュリティ対策に関する統一的な考え方や具体的な遵守項目を定めたものである。
　適切なセキュリティ対策を実施するためには，単にセキュリティポリシを策定するだけでは不十分であり，策定したセキュリティポリシを適切に運用する必要がある。そして，策定したセキュリティポリシの実効性を確保するためには，システム監査が重要な役割を果たすことになる。
　セキュリティポリシに関連したシステム監査では，運用段階におけるセキュリティポリシの遵守状況を調査することが重要であるが，単にそれだけではセキュリティポリシの実効性を高めるためには不十分である。システム監査人は，セキュリティポリシの策定段階におけるプロセスの適切性や，運用段階における環境の変化に伴うセキュリティポリシの妥当性についても調査を実施する必要がある。例えば，システム監査人が運用段階の監査において，不正アクセスなどのセキュリティ上の問題が実際に発生している状況を発見した場合には，その状況によってはセキュリティポリシ自体の改定を行うように提案することも必要になる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが所属する組織におけるセキュリティポリシの必要性とその策定状況について，800字以内で述べよ。
■設問イ
　システム監査人がセキュリティポリシの策定段階で監査を実施することの必要性及びその監査目標について述べよ。
■設問ウ
　セキュリティポリシの運用段階において，セキュリティポリシが遵守されているにもかかわらずセキュリティ上の問題が生じる場合がある。このような状況が発生する理由及びシステム監査人の対応について述べよ。

【AU-H12-1-PM2-Q2】システム監査における証拠収集について

　電子帳簿保存法の施行や，電子商取引の拡大を背景として，ディジタル化された資料を調査対象とする機会が増加している。例えば，会計帳簿が紙からディジタルデータになり，電子商取引においては，注文書や請求書などの紙の書類による取引データの授受がディジタルデータによる送受信へと代わる。したがって，システム監査人は，監査実施時にディジタルデータを取り扱う機会が多くなってきている。
　紙の文書や資料を対象とする場合には，押印，署名，筆跡，紙質，インクなどで事実の確認が可能であった。しかし，ディジタルデータにおいては，収集したディジタルデータやそれを出力したものだけで発見した事実を明確に説明することが難しくなる。例えば，被監査部門から，システム監査人が収集したディジタルデータの内容について異議の申立てがあった場合，システム監査人がディジタルデータやそれを出力したものを被監査部門に示しただけでは十分に納得させられないおそれがある。
　監査証拠は監査意見の基礎となるので，システム監査人は，監査証拠の収集の過程を明確にして，被監査部門や関係者に十分な説明ができるようにしなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの概要と，その情報システムを監査する場合に調査対象となる資料のディジタル化の状況について，800字以内で述べよ。
■設問イ
　設問アで述べた状況に関連して，システム監査人は，ディジタル化された監査証拠の収集に当たって，どのような点に配慮しなければならないか，具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，システム監査人には，どのような知識，技術及び能力が必要になるか，具体的に述べよ。

【AU-H12-1-PM2-Q3】データウェアハウスの監査について

　近年の消費者ニーズの多様化や製品ライフサイクルの短縮化，グローバル化の進展などによって，企業の経営を取り巻く環境は大きく変化している。経営者は，この経営環境の変化の中で，競争優位を獲得し維持するために，経営状況を的確に把握して迅速な判断を行うことが求められている。
　このような背景のもと，意思決定に必要となる情報を適時に提供することを目的としてデータウェアハウスを構築する企業が増えている。データウェアハウスとは，業務プロセスで発生する情報を，それぞれの業務システムから抽出・変換し，データベースに一元的に格納することによって，経営判断に必要な情報の提供や様々な視点からの検索・分析を支援する情報システムである。しかし，システム化の目的や構築時期が業務システムごとに異なっていることから，それぞれの業務システムで持つデータの定義や意味，生成タイミングなどが異なる場合がある。また，過去からの推移分析に備えて，データを刻々とデータベースに追加・蓄積していく必要があるとともに，新たな視点からの分析を可能にするためのデータを追加することも想定しておく必要がある。このため，あらかじめデータ量の増加を考慮した設計も必要とされる。
　このような状況を踏まえて，システム監査人は，データウェアハウスの監査に当たっては，各業務システムとの関係が検討され，経営環境の変化に柔軟に対応し，しかも正確で内容の一貫した情報が適時に提供され，適切な判断を支援しているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった業務の概要と，データウェアハウス導入のねらい，及び導入状況又は導入可能性について，800字以内で述べよ。
■設問イ
　設問アで述べたデータウェアハウスについて，想定されるリスク，及びそのリスクを低減するためのコントロールを，有効性・可用性・機密性などの視点から具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，データウェアハウスの有効性を確かめるための監査手続について，それぞれの監査目標と対応させて具体的に述べよ。

📗H11:1999

【AU-H11-1-PM2-Q1】電子商取引のシステム監査について

　受発注や決済をディジタルデータで行う電子商取引は，インターネットの普及に伴って，特定の企業間を対象とするものから不特定多数の企業や個人を対象とするものへと拡大している。
　電子商取引は，取引にかかわる事務処理の効率化を実現するだけではなく，新たな取引先の開拓や調達コストの低減，個々の顧客ニーズに応じたサービス提供や商品販売を可能とする新しいマーケティングの展開など，ビジネス活動に及ぼすメリットも大きい。
　しかし，その一方で，取引データの破壊・改ざん・漏えいなどのリスクは，企業活動に大きな影響を及ぼすので，企業では，システムの可用性確保，取引データの機密保持やインテグリティ確保の対策に加えて，監査証跡への配慮などが必要になる。
　システム監査人は，電子商取引のリスクを認識した上で，システム監査を実施しなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった電子商取引にかかわる情報システムの概要を，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムに関連して，電子商取引の導入に伴ってビジネス活動上新たに生じるリスク，及びリスクを低減するためのコントロールを具体的に述べよ。
■設問ウ
　設問ア及び設問イに関連して，取引にかかわる書類のディジタル化によって監査手続がどのように変化するか，その特徴を述べよ。

【AU-H11-1-PM2-Q2】分散開発環境におけるコントロールの監査について

　近年の情報・通信技術の発達に伴い，企業はLANやインターネットなどのネットワークを利用したコミュニケーション環境を整備しつつある。情報システムの開発プロジェクトにおいても，コミュニケーション環境を利用し，物理的に離れた場所で同時・並行的に行う開発方式が増えてきている。
　このような分散開発環境においては，関係者の間で十分な意思疎通が図れなかったり，システム開発標準が徹底されなかったり，又はこれらの原因によって，開発しているシステム構成間で不整合が生じたりするなどのリスクが高まる傾向にある。開発業務を円滑に遂行するためには，これらのリスクを低減することが必要であり，適切なコントロールが求められる。
　システム監査人は，このような状況を踏まえ，分散開発環境におけるコントロールが適切であるかどうかを確かめなければならない。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの概要を，分散開発環境を必要とする背景やねらいと関連させて，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムの分散開発環境におけるリスクを挙げ，それを低減させるためのコントロールを具体的に述べよ。
■設問ウ
　設問イで述べたコントロールの適切性を確かめるための監査手続を具体的に述べよ。

【AU-H11-1-PM2-Q3】システムの保守に関する監査について

　システムが完成し稼働を開始した後においても，ユーザの新たなニーズや動作環境の変化に対応するために，ソフトウェアの保守が必要になる。
　ソフトウェアの保守とは，情報システムを新しい動作環境下や，より望ましい状態で運用するために，ソフトウェアを変更・修正・追加していく継続的な作業である。具体的な保守作業としては，ユーザの変更要求又は新要求に対応するソフトウェアの変更や，ソフトウェアに内在する不整合の修正に加えて，オペレーティングシステム，DBMS，ミドルウェアのバージョンアップへの対応などがあり，迅速かつ適切な対応が求められる。
　保守の実施に際して，事前の調査・分析が十分に行われない場合には，ユーザ要求への対応が完全に実施されなかったり，新たな不整合が発生したり，保守コストが増大するといったリスクが生じる。また，保守を円滑に実施するためには，保守段階に限らず，企画及び開発段階から保守体制の確立や拡張性の高いシステム設計を行うなど，保守に対する十分な配慮も大切である。
　ソフトウェアの保守を対象とした監査では，以上のような保守状況を十分に考慮した上で監査を行う必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが携わった情報システムの概要と，そのソフトウェアの保守を必要とする主たる要因，保守を行う上で重視すべき点を，800字以内で述べよ。
■設問イ
　設問アで述べた保守作業を円滑に実施するために，システムの企画・開発・保守の各段階において，それぞれ考慮すべき事項を述べよ。
■設問ウ
　設問イの“保守段階”で述べた事項について，コントロールの適切性を確かめるための監査手続を具体的に述べよ。

📗H10:1998

【AU-H10-1-PM2-Q1】システム監査人のコミュニケーション能力について

　システム監査人は，情報システムの信頼性，安全性及び効率性を確保するコントロールの妥当性を点検・評価する為に，ヒアリング，閲覧，現地調査など様々な監査技法を利用し，各種情報の収集と分析を行う。
　情報システムのコントロールの実態を正しく把握する為の情報収集，指摘事項の伝達やフォローアップの為の情報提供などにおいて，システム監査人には優れたコミュニケーション能力が求められる。
　システム監査人は，必要な情報を効率的に収集する為に，被監査部門における業務分掌や職務権限など，個々の担当者のおかれた立場や背景を理解し，より正確な情報が収集できるように適切な方法を選択する必要がある。また，収集した情報に齟齬が発見されたり，情報の正確性に疑問が生じたりした場合には，より正確な心証を得るために，新たな情報の収集と分析が必要になる。
　すなわち，システム監査人のコミュニケーション能力によって，システム監査がもたらす効果は大きく左右される事になる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要と，その情報システムのコントロールにかかわる問題について，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムを監査するに当たって，監査目的を具体的に設定した上で，どのような情報を収集すべきかについて述べよ。また，収集した情報を分析し，正確性を確かめるための手続きについて述べよ。
■設問ウ
　設問イに関連して，情報の収集，指摘事項の伝達及びフォローアップのための情報提供におけるコミュニケーション上の留意点について具体的に述べよ。

【AU-H10-1-PM2-Q2】個人情報保護に関するシステム監査について

　インターネットに代表されるネットワークの広範な普及に伴って，WWWを利用した新製品に関するアンケート調査，商品の購入や申込みの受付など，個人から直接収集される情報に基づいた新たな企業戦略が展開されつつある。従来から収集・蓄積・利用している個人情報とともに，このような新しい仕組みを利用して収集した個人情報は，企業の重要な資産となり，様々な戦略に活用され始めている。
　一方，欧州連合が採択した“個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令”(1995年)，わが国の“民間部門における電子計算機処理に係る個人情報保護に関するガイドライン”(1997年)の内容を見ると，個人情報の収集・蓄積・利用を適切に行うこと，また，第三者への提供に関する留意事項が定められている。
　情報システムが個人顧客と直接にかかわりを深めていくことに従い，これらのガイドラインを参考にして，個人情報の保護に関するコントロールの適切性を監査することが必要になる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要を，その情報システムにおける個人情報の取扱いと関連させて，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムに関して，個人情報保護の観点から想定されるリスクと組み込むべきコントロールの内容について，個人情報の収集・蓄積・利用・提供のそれぞれの視点から整理して述べよ。
■設問ウ
　設問ア及び設問イの解答を踏まえて，個人情報にかかわるコントロールの適切性を監査する場合の留意点について，個人情報の収集・蓄積・利用・提供のそれぞれの視点から述べよ。

【AU-H10-1-PM2-Q3】情報システムの災害復旧対策の監査について

　情報システムを取り巻く重大な脅威の一つに災害がある。災害による情報システムの損壊は，ビジネスの広範囲にわたって深刻な被害をもたらす可能性があるので，十分な対策を講じる必要がある。
　情報システムの災害対策としては，災害による被害の未然防止又は被害を軽減する対策，及び情報システムを速やかに正常な状態に復旧するための対策がある。具体的には，耐震強度の高い建物への入居，バックアップシステムの構築，データの定期的な分散保管，更に災害対応マニュアルの整備などがある。
　情報システムが災害に遭遇した場合には，損害の状況を把握し，災害対策マニュアルに沿って早期に業務の復旧を図る必要がある。しかし，災害はあらかじめ想定した規模や範囲で発生するとは限らないので，災害対策マニュアルには，被災状況に柔軟に対応できるような工夫と，災害対策マニュアルに準拠した復旧訓練の実施が重要である。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムのシステム構成と，情報システムが果たしている役割の重要性について，災害のリスクを踏まえて，800字以内で述べよ。
■設問イ
　設問アで述べた情報システムに関して，災害に備えた復旧対策の適切性について監査ポイントを述べよ。
■設問ウ
　設問イで述べた監査ポイントに対応して，具体的な監査手続きについて述べよ。

📗H09:1997

【AU-H09-1-PM2-Q1】情報システムを取り巻く環境変化を踏まえた監査対象領域の選定について

　経済のグローバル化や規制緩和などを背景として，情報システムの適用範囲が拡大している。また，ネットワークの普及によって，例えばエクストラネットと呼ばれる一企業の枠を越えた情報システムが出現している。このような経営環境の変化に対応するための情報システムは，組織内部の効率化を主な目的とするだけでなく，他企業の情報システムとの連携や，更には広く一般市民を含めたコミュニケーションを目的として，社会的基盤となったネットワークも利用することが求められる。その結果，情報システムのリスクも変化し，増大することが想定される。
　システム監査人は，このような社会的な広がりをもつようになった情報システムの特質を認識するとともに，経営戦略を踏まえて，監査対象領域を適切に選定することが求められている。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要と，そのシステムが経済のグローバル化，規制緩和，ネットワークの普及などによって変化した，又は今後変化すると思われる点について，経営戦略と対応させて800字以内で述べよ。
■設問イ
　設問アで述べた情報システムについて，想定されるリスクと，それに基づく監査対象領域にはどのようなものがあるか。他企業の情報システムとの連携や，一般市民とのコミュニケーションをも視野に入れたネットワークとの関係を踏まえて述べよ。
■設問ウ
　設問ア及び設問イの解答を踏まえ，社会的な広がりをもつようになった情報システムを監査する場合の監査ポイントを述べよ。

【AU-H09-1-PM2-Q2】モバイルコンピューティングを対象とした監査について

　携帯可能なコンピュータの普及や移動体通信基盤の充実に伴い，コンピュータ端末を通信手段と組み合わせ，公衆回線網を通じて外部から組織内データを活用する“モバイルコンピューティング環境”が出現している。
　モバイルコンピューティング環境では，端末を利用する場所が一定ではなく，利用時に管理者が身近にいないなど，利用者に対するけん制機能が働きにくい状況となる。また，端末の盗難，置き忘れによって，第三者に端末が渡る可能性も生じる。その結果，端末上のデータの漏えい・改ざんや，第三者からの不正なアクセスなどのリスクが増大する。
　一方，モバイルコンピューティング環境での通信品質は，利用場所の影響を受けやすいので，データの信頼性や安全性について，注意を払う必要がある。
　モバイルコンピューティング環境におけるシステムを対象としたシステム監査は，技術的背景や利用環境の特性などを踏まえて実施する必要がある。とりわけ，セキュリティ対策の妥当性を慎重に評価し，利便性とのバランスのとれた提言を行うことが望まれる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった業務の概要と，その業務へのモバイルコンピューティングの適用状況又は適用可能性について，800字以内で述べよ。
■設問イ
　設問アで述べた業務を，モバイルコンピューティング環境で運用した場合，生じるリスクについて述べよ。
■設問ウ
　設問イで述べたリスクを軽減するために必要となる統制機能とその監査ポイントを述べよ。

【AU-H09-1-PM2-Q3】システム監査結果のフォローアップについて

　システム監査の結果は，情報システムの信頼性・安全性・効率性，更には経営戦略との整合性などの観点に照らして報告される。
　監査の結果，情報システムが必ずしも経営戦略と合致しない場合や，信頼性・安全性・効率性の面から課題が浮き彫りになる場合がある。システム監査人は，これらの課題に対する指摘事項，改善勧告を経営者に報告するとともに，講評の場などを通じて被監査部門及び関連部門の理解を深める必要がある。
　更に，システム監査人は，監査結果に基づく改善状況をフォローアップし，作業範囲，作業方法及び実施時期などが，経営者の意図に従ったものであるか否かを確かめておくことが重要である。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要と，システム監査人の立場からそのシステムについて改善すべき課題を，システム構成や業務特性を踏まえて，800字以内で述べよ。
■設問イ
　あなたはシステム監査人として，設問アで述べた課題に関する改善勧告の妥当性を，被監査部門及び関連部門に対し，どのような論拠と方法で理解させるかについて述べよ。
■設問ウ
　あなたはシステム監査人として，設問イで述べた改善勧告に対する改善状況をフォローアップするに当たり，被監査部門及び関連部門の対処状況を客観的に判断するための留意点を述べよ。

📗H08:1996

【AU-H08-1-PM2-Q1】情報技術の有効性の監査について

　コンピュータネットワークの広範な進展によって，バーチャルコーポレーションと呼ばれる新しい事業形態が出現するなど，情報技術を効果的に利用した事業基盤をもとに，企業は新しい経営構造への展開を迫られつつある。このような経営環境の変化に適合し，経営構造を革新するためには，組織風土や経営組織に与える影響及びその対応も考慮し，全社的な観点に立って情報技術の導入を立案することが重要である。また，情報技術の導入効果を最大限に発揮するためには，経営組織を再検討するとともに，企業を取り巻く関係者(例えば，調達先，納入先企業など)との協業構造を分析し，合意形成に向けた効果的なコミュニケーションを図ることも必要とされる。
　システム監査人は，このような状況を踏まえ，情報技術の導入と適用に際して，変貌しつつある経営環境への適合性，又は経営戦略との整合性という視点から，情報技術の有効性を確かめるとともに，先進事例も踏まえて提言することが求められつつある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要と導入のねらい，及びその情報システムに適用した情報技術について800字以内で述べよ。
■設問イ
　設問アの解答を踏まえ，情報技術の有効性を確かめる監査目標について，理由を付して述べよ。
■設問ウ
　設問イで述べた監査目標を確かめるための監査手続を述べよ。

【AU-H08-1-PM2-Q2】ペーパーレスを指向した業務システムの監査について

　ネットワークの進展や大容量記憶媒体の低価格化に伴い，業務効率の向上や情報共有化の促進をねらいとしたペーパーレスを指向した業務システムが普及しつつある。従来，取引・決済や意思決定などにおいては，主要な記録は書面によっていた。現在ではこれらの局面においても，電磁的記録に置き換えられる場合が生じている。このような業務システムにおいては，監査を遂行するために必要な証跡が電磁的記録でしか存在しない場合も増えつつある。また，これらの電磁的記録そのものも，各種方式で暗号化されたり，ICカードに記録された情報など専用の入出力装置でしか内容を確認できなかったりする場合が出現している。
　電磁的記録は，内容を直接視認することができないので，監査証跡としての信頼性を確保し，その証拠能力を高めるためには，十分な配慮が必要となる。また，ネットワークの進展とともに，第三者がアクセスできる機会が増えたため，監査証跡自体が改ざんされる可能性も高まっている。
　こうした，いわゆるペーパーレスシステムにおける種々の特性にかんがみ，システム監査人は，監査の各局面において，監査証跡の特性や内部統制の実現の仕組みを考慮して，的確に取り組む必要がある。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたが現在従事している業務の概要と，その業務システムにおけるペーパーレスへの取組みについて800字以内で述べよ。
■設問イ
　設問アで述べた業務システムにおいてペーパーレス化に起因するリスクと，それを回避するための内部統制について述べよ。
■設問ウ
　設問イで述べた内部統制の有効性を確かめるための監査手続を述べよ。

【AU-H08-1-PM2-Q3】情報システムのアウトソーシングの監査について

　情報システムの投資額と運用コストの削減，委託先企業の専門的能力の効果的利用などを目的として，情報システムの開発・運用・保守などの業務の一部又は全体をアウトソーシングする企業が増加しつつある。
　情報システムの運用業務をすべてアウトソーシングする場合，委託元企業にとっては，情報システム技術の空洞化及び情報システムの安全性・信頼性・効率性などの確保に対する新たな課題が生じてくる。特に，情報システムの安全性・信頼性・効率性は，委託先企業の提供するサービス品質に依存する比率が大きく，委託元企業の直接的なコントロールが及び難いという制約がある。
　情報システムの運用業務をアウトソーシングした場合に，その情報システムの安全性・信頼性・効率性を監査するためには，システム監査人は委託元企業での内部統制に加えて，委託先企業のサービス品質を含めた監査を実施して，目標と現実の差異を明確に把握，指摘し，改善への提言を行うことが必要とされる。
　あなたの経験と考えに基づいて，設問ア，イ，ウについてそれぞれ述べよ。

■設問ア
　あなたがかかわった情報システムの概要と，その情報システムの運用業務をアウトソーシングする場合に予想される効果と制約について，800字以内で述べよ。
■設問イ
　情報システムの運用業務をアウトソーシングした場合，情報システムの安全性・信頼性・効率性を確保するために，委託元企業として内部統制上留意すべき点について述べよ。
■設問ウ
　設問イで述べた内部統制の有効性を監査する場合の，監査目標と監査手続について述べよ。

📗H07:1995

【AU-H07-1-PM2-Q1】業務革新に伴う情報システムの内部統制の監査について

　近年，景気の停滞，規制緩和による競争の激化などにみられるように，企業を取り巻く経営環境は厳しさを増している。このような状況に対応するために，従来の業務プロセス，組織などを根本的に見直す業務革新が推進されつつある。その結果，現行業務を支援してきた情報システムが業務の見直しを契機に統廃合・再構築されたり，逆に，高度な情報技術の導入によって，業務プロセスが再編されたりすることがある。
　しかし一方では，業務プロセスと情報システムの整合を図り，業務革新を推進したにもかかわらず，情報システムの内部統制が不十分なために，新たな問題を引き起こすおそれもある。また，業務の見直しによって，特定の担当者に権限が集中する可能性があるので，承認行為が適切に行われているかどうかを確認できる仕組みを情報システムに組み込むことも必要である。更に，高度な情報技術を十分に評価しないまま導入すると，情報システムの運用段階で問題が発生し，業務を円滑に遂行できなくなるおそれがあるので，情報技術の管理についても適切な内部統制が求められる。
　そこで，業務革新に伴う情報システムの統廃合・再構築について，システム監査人は想定される様々なリスクを識別するとともに，それらに対する情報システムの内部統制が有効に機能しているかどうかを評価する必要がある。
　あなたの経験と考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務にあなたがどのような立場，役割でかかわってきたかを，800字以内で述べよ。
■設問イ
　業務革新に伴って統廃合・再構築される情報システムについて具体例を挙げ，想定されるリスク及び必要とされる情報システムの内部統制を述べよ。
■設問ウ
　設問イの具体例について，情報システムの内部統制が有効に機能していることを評価するための監査手続を，監査目標を明確にして述べよ。

【AU-H07-1-PM2-Q2】情報システムの災害対策の監査について

　災害によって情報システムが被害を受けたとき，企業活動の停滞又は停止が社会に大きな混乱を招くことがある。このため企業にとっては，災害から情報システムを守り，情報システムの運用を継続することが，経営上の大きな課題である。
　災害によって，電気，水道，ガス，通信，交通などが途絶してしまう場合などを考慮すると，単一センタだけで情報システムの運用を維持することには限界がある。社内又は社外の，現センタから離れた場所にバックアップセンタを確保することが，情報システムの災害対策として有効である。その際，バックアップセンタでは，すべての業務を処理する場合と，一部の業務に絞り込んで処理する場合とが考えられる。
　災害時にバックアップセンタへ安全かつ速やかに切り替えるためには，現センタで稼働中の情報システムやデータ及び運用体制などに，切替えを可能とする種々の機能や手順を組み込んでおく必要がある。更に，現センタが被災した場合，現センタを復旧して業務を再開するか，バックアップセンタに切り替えて業務を再開するかの適切かつ迅速な判断体制の整備が必要である。
　システム監査人に対しては，情報システムが災害によって被る可能性のある被害の程度すなわちリスクと，それに対する種々の機能や手順の効果とを対比して，バックアップセンタを含む情報システム全体の安全性，信頼性，効率性を適正に評価する能力が求められる。
　あなたの経験と考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務にあなたがどのような立場，役割でかかわってきたかを，800字以内で述べよ。
■設問イ
　あなたがバックアップセンタを組み込んだ情報システムの災害対策を監査する場合，情報システムのリスクと対応するリスクコントロールの着眼点を述べよ。
■設問ウ
　設問イで挙げたリスクコントロールに対し，各々の具体的な監査手続について述べよ。

【AU-H07-1-PM2-Q3】デザインレビューの実施状況に関する監査について

　ソフトウェアの品質を確保するためには，デザインレビューが重要な役割を果たす。
　デザインレビューの目的は，システム開発の各フェーズで作成される設計書などの成果物を通して，次のような項目をチェックすることである。
　・ユーザが要求する機能・性能を実現するためにどのような設計がされているか
　・ソフトウェアに要求される品質の特性に対する目標がどの程度達成されているか
　・移行・運用・保守に対してどのような配慮がなされているか
　システム開発担当者やシステムの利用者によって実施されるデザインレビューは，目標となる品質が事前に具体的に明確にされ，開発作業工程にその実施方法・時期が盛り込まれている必要がある。更に，デザインレビューの進め方が適切に設定され，関係者に周知されていることも必要となる。
　デザインレビューの実施に際してはソフトウェアの品質を客観的に計測するための尺度や評価方法を事前に設定しておき，対象システムと比較検討する方法が用いられる。また，チェックリストを用いる方法や，プロトタイピングによる方法を採用する場合もある。
　開発段階に行われるシステム監査においては，こうしたデザインレビューが適切に計画され，実施されているかどうかを評価することが必要となる。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務にあなたがどのような立場，役割でかかわってきたかを，800字以内で述べよ。
■設問イ
　ソフトウェアに要求される品質の特性について述べよ。また，ソフトウェアの品質を確保するために，開発局面において実施されるデザインレビューの進め方について述べよ。
■設問ウ
　デザインレビューが適切に計画され，実施されているかどうかを監査する場合の監査手続を述べよ。

📗H06:1994

【AU-H06-1-PM2-Q1】監査手続書の作成について

　システム監査は，情報システムの信頼性，安全性及び効率性を確保する内部統制の有効性を高めることを目的とする。
　システム監査の実施に当たっては，個別計画書に基づいて監査手続書を作成し，実施内容の客観性を確保し，実施内容に漏れがないようにすることが重要である。
　個別計画書を詳細化した監査手続書を用いることによって，
　・監査手続がより具体的になる。
　・監査目的の達成上必要な証拠が入手できる。
　・監査業務の進捗管理が可能となる。
　といった効果が期待される。
　したがって，監査手続の必要十分性・客観妥当性を確保し，かつ効率的に監査を実施するため，監査手続書においては，事前に実施した予備調査の結果を踏まえ，詳細で具体的な手続の記述が必要となる。特に，利用者の問題意識や前回の監査結果などを勘案して設定された個々の監査目的に対して，限られた時間で有効な監査を実施するためには，監査手続書の充実が一層重要となる場合が多い。
　あなたの経験に基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが実施したシステム監査業務及び監査対象とした情報システムの概要と，あなたがどのような立場・役割でかかわったかを，800字以内で述べよ。
■設問イ
　監査手続書の意義について，必要性，目的，役割などの面から述べよ。また，監査手続書に記載されるべき項目を具体的に挙げよ。
■設問ウ
　あなたは設問アで述べたシステム監査業務について，どのような監査目的を設定したか，具体的に述べよ。また，その監査目的を実現するための監査手続書について，その作成手順及び作成するうえで留意した点を述べよ。

【AU-H06-1-PM2-Q2】分散処理環境下におけるシステム監査について

　近年，適用業務システムがクライアントサーバ型のような分散処理環境において運用されるようになってきた。その結果，例えばネットワーク化によって多数のユーザが関与するため，データインテグリティの欠如，又は不正アクセスなどが発生しやすくなっている。したがって，システム監査においても，従来のホスト集中型とは異なる分散処理環境下での適用業務システムの運用について，その全般統制及び業務処理統制を評価することが求められるようになってきている。
　一方，公認会計士監査においても，情報システム化の進展に伴い，財務諸表の適正性を立証するうえで，情報システムの監査を重視する必要がでてきた。特に，分散処理環境下においては，外部監査人が分散処理されている適用業務システムすべてについて，自ら監査することは難しくなっている。そこで，外部監査人は内部監査としてのシステム監査が適切に実施されているという心証をもてば，その成果を有効に援用し，効率的に財務諸表監査を行うことができる。これらの背景をもとに，分散処理環境下における適用業務システムの内部統制の評価について，内部監査としてのシステム監査に対する期待が高まりつつある。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを，800字以内で述べよ。
■設問イ
　システム監査人が分散処理環境下における適用業務システムの内部統制を評価する場合，どのような項目が評価対象となるかを，全般統制及び業務処理体制についてあげ，その理由を合わせて述べよ。
■設問ウ
　システム監査人は，分散処理環境下における適用業務システムに関するシステム監査の結果を，公認会計士が有効に援用できるようにするために，どのような監査要点を設定し，システム監査を実施する必要があるか。具体的な監査手続を述べよ。
　なお，監査要点は設問イで挙げた全般統制及び業務処理統制に関するものとする。

【AU-H06-1-PM2-Q3】情報システムの運用環境の変更について

　情報システムの運用環境は，企業活動の進展や新技術の適用などに合わせ，次第に変化していく。例えば，オペレーティングシステムのレベルアップや新機能の追加，機器構成やネットワーク構成の変更に伴うシステムテーブルの変更などがある。運用環境を変更する必要性やその方法及び緊急度は，情報システムの経営戦略上の位置づけや，システムの性能及び安全性・信頼性への要請の強さなどによっても異なってくる。
　新規にシステムを構築する場合には，一般に，必要な手続が制定され，そのためのテスト環境も新たに準備される。これに対し，稼動中のシステムの運用環境を変更する場合には，システムの稼動開始時に定められた運用規定や手続が現実にそぐわなくなっていたり，守られなくなっていたりすることが多い。更に，既にシステムが稼動していることから時間的制約・資源的制約も大きく，環境を変更するためのテスト環境が確保できないか，又は不充分な場合が見受けられる。このような事情から，運用環境の変更は，運用中の情報システムにトラブルを発生させることが多い。
　運用環境の変更を実施するに当たっては，既に稼動しているシステムの運用を妨げないよう，システムそのものの技術面からの検討に加え，運用環境の変化を前提とした組織・制度の整備が必要である。
　あなたの経験と考えに基づいて，設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務にあなたがどのような立場・役割でかかわってきたかを，800字以内で述べよ。
■設問イ
　システムの運用環境の変更作業を行おうとするとき，既に稼動しているシステムに対して想定されるリスクにはどのようなものがあるかを述べよ。
■設問ウ
　設問イで述べたリスクを回避するために，システムの運用環境の変更に当たって，監査実施時期及び運用規定，手続，体制などについてのシステム監査上の着眼点を述べよ。

📗H05:1993

【AU-H05-1-PM2-Q1】情報システム運用におけるコンティンジェンシブランの監査について

　コンティンジェンシプランは，ネットワークが使えなくなった場合，コンピュータが動かなくなった場合，又は，コンピュータシステムにアクセスできなくなった場合，業務処理の能力を迅速に復旧するための手順を立案したものである。
　コンティンジェンシプランが対象とする災害又は障害は，発生した場合に企業全体の運営に大きな影響をもたらすレベルのものであり，通常時に発生するレベルのものではない。したがって，これを作成する場合の主要な目標は，重要な業務処理の継続性を保証すること，復旧所要時間を最小にすること，企業活動の全面的な復旧を支援すること及び法制上の義務を満たすことにある。
　コンティンジェンシプランの妥当性を評価するに当たっては，その内容が業務処理サービスを適正なオペレーションのレベルまで許容される時間の枠内で復旧できるものであるかどうかが評価の基準となる。
　また，コンティンジェンシプランをレビューする場合は，その作成段階における調査，分析，評価及び意思決定が，企業全体の支援に基づいて，適切な手順で実施されたかどうかを評価することも必要である。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　コンティンジェンシプランの作成手順が妥当であったかどうかを評価する場合の監査ポイントを述べよ。
■設問ウ
　コンティンジェンシプランが，業務処理サービスを許容時間の枠内で復旧できる内容のものであるかどうかを評価するためには，どのような事項をレビューすべきかを述べよ。

【AU-H05-1-PM2-Q2】ソフトウェア品質の監査について

　近年，企業における情報システムの役割が増大し，開発あるいは保守する情報システムは大規模化，複雑化してきている。これに伴って，目標とするソフトウェア品質を確保するためのプログラムテスト及びシステムテスト工程が長引き，やむを得ずシステムの本稼働時期を延期する事例がある。一方，不十分なテストあるいはソフトウェアの品質を十分に見極めないままシステムを稼働させた結果，業務の運用が一時中断したり，処理に時間がかかったりする事例も見受けられる。
　このようなトラブルを未然に防ぐため，システム監査基準では，開発業務における作業手順の標準化，正確なプログラミングの重要性及び計画的なシステムテストの必要性などを述べている。ソフトウェアの開発部門は，品質向上活動を組織的に実施する必要がある。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　システムの開発業務において，ソフトウェアの品質を高めるために実施すべき事項を，設計・製造工程とシステムのテスト工程の二つに分けて述べよ。
■設問ウ
　ソフトウェア品質の監査を行う場合，設問イで解答した実施事項のうち，それぞれの工程で重要と思うものについて，監査上の留意点と監査方法を述べよ。

【AU-H05-1-PM2-Q3】情報資産保護規定の制定及び運用における監査について

　コンピュータの利用に際しては，従来情報システム部門の支援が不可欠であったが，最近では端末設置の拡大とともに企業内ネットワークが構築され，多くの部門から直接データベースにアクセスできるようになってきている。しかし，他方で，プライバシの侵害，顧客リストの漏えい，コンピュータウィルスの侵入による情報の破壊などの機会が増大し，社会的な問題も発生している。また，営業機密情報の漏えいによる企業競争力への影響も考えられる。そこで，企業においては，コンピュータで処理，蓄積された情報資産を保護するための内部規定を制定し，適切に運用することが重要な経営課題の一つとなってきた。システム監査人は，情報資産保護規定の制定段階からその適切性について監査を行うとともに，運用段階においてはその遵守状況を監查する必要がある。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　情報資産保護規定についての監査の着眼点を三つ挙げ，それぞれの留意点を具体的に述べよ。
■設問ウ
　情報資産保護規定が適切に運用されていることを確認する監査方法を，設問イで解答したそれぞれの着眼点について述べよ。

【AU-H05-1-PM2-Q4】分散処理システムへの移行における企画段階の監査について

　近年，コンピュータのコストパフォーマンスの大幅な改善に伴って，従来情報処理部門に限られていたコンピュータが，ユーザ部門にも広く導入できるようになってきた。そして，エンドユーザの使いやすさを改善する目的で，従来のホスト集中処理システムから部門データベースを中心とする分散処理システムに移行することが増加している。
　ホスト集中処理から分散処理への移行の主眼は，“必要な情報を必要とする人が，必要なとき，いつでも取り出せる”ことにある。したがって，公開ファイルの設定，任意の検索加工を可能とするための標準ツールの選定などが必要となり，従来のシステム設計とはかなり異なった検討を要する。また，エンドユーザの役割が増加することから，エンドユーザと情報処理部門との役割分担の明確化がより一層必要となる。したがって，分散処理システムへの移行企画段階におけるシステム監査が一段と重要な意義をもつようになる。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　ホスト集中処理システムから部門データベースを中心とする分散処理システムに移行する際に，運用段階で発生が予想される問題点を述べよ。
■設問ウ
　設問イで述べたシステムについて，企画段階におけるシステム監査の留意点及び監査項目を具体的に述べよ。

📗H04:1992

【AU-H04-1-PM2-Q1】マルチベンダ方式による情報システム開発の企画段階における監査について

　近年，情報処理技術においては，異なるベンダから提供される製品間の相互接続が容易になりつつあり，情報システム構築に当たっての製品選択の幅が広がってきている。
　また一方では，ユーザニーズが多様化してきており，システム開発においても，機能，費用，サービスなどについてのきめ細かな対応が必要とされている。
　このため，昨今の情報システムは，汎用機にとどまらず，ワークステーション，パーソナルコンピュータ，ローカルエリアネットワーク，構内交換機など広範囲に，マルチペンダ化の対象が広がってきている。このようなマルチベンダ方式による開発の場合，完成したシステムを計画どおりに機能させるには，異なる製品間のインタフェースの信頼性・効率性の確保が重要である。また，インタフェースの部分は，開発に着手した後では修正・変更が困難な場合が多く，開発着手前での十分な検討が必要となっている。したがって，従来にも増して企画段階のシステム監査が重要な意義をもっている。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　マルチベンダ方式による情報システム開発を企画するに当たって，開発段階で発生が予想される問題点を述べよ。
■設問ウ
　設問イで述べたシステムについて，実際の企画段階でのシステム監査の留意点及び監査項目を具体的に述べよ。

【AU-H04-1-PM2-Q2】情報システムの効果目標設定に関する企画段階における監査について

　従来の情報システム開発は，主として部門ごとあるいは業務ごとの効率化や省力化を目的に進められてきた。しかし，最近になって情報システムが経営の多角化や顧客満足度の向上などの経営戦略を達成する武器としてとらえられるようになり，情報システムの構築いかんでは企業競争力に差が生じるようになっている。かつ，従来に比べて多額の投資を要するようになっている。したがって，情報システムが経営戦略と整合性がとれていること，経営改善上情報システムの効果目標が具体的になっていること，それを実現するための体制が確立されていることなどが重要になってきている。
　そこで，情報システムの企画段階において，効果目標の設定や実現体制の検討状況について，システム監査人として十分に注意を払う必要がある。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　経営戦略との整合性がとれた情報システムの効果目標設定及びその実現体制確立に当たり，留意すべき事項について述べよ。
■設問ウ
　設問イで論述した内容について，企画段階において監査する方法を述べよ。

【AU-H04-1-PM2-Q3】ユーザ部門が業務の情報処理を自ら行うシステムの企画・開発の監査について

　パーソナルコンピュータ，ワークステーション，オフィスコンピュータ(以下パソコンなどという)の普及によって，ユーザ部門が適用業務を自らパソコンなどで処理し，またそのプログラムもユーザ部門が開発又は購入する事例が多く見受けられる。
　システム監査基準では，企画業務の開発検討課題に，“システム全体として信頼性・安全性・効率性が確保されるように，機種及び個々の技術が選択されているか”という留意事項を示している。
　ユーザ部門において独自性をもってパソコンなどを利用しているシステムの監査でも，経営上及び技術上のコンピュータ利用環境の変化に即しながら，このような留意事項を考慮すべきである。
　具体的には，事業体全体の情報処理及び情報管理が経営目的に沿って適切に行われているかという観点からの検討が必要であり，システム監査では，データ管理及びプログラム管理などをも含めてこれらの留意事項を検討することが求められているといえよう。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　ユーザ部門において独自性をもったパソコンなどの利用が進んでいることの理由として，企業の経営上及びコンピュータ利用技術上どのようなことが挙げられるかを明らかにせよ。
■設問ウ
　ユーザ部門が業務処理のためパソコンなどを直接管理・運用する場合に，情報処理形態にどのような変化が起きているか。それについて，システム監査上留意すべき事項を述べよ。

【AU-H04-1-PM2-Q4】情報システムの保守業務の監査について

　近年，企業における情報システムの役割が増大し，その規模も大きくなってきている。このようなシステムではソフトウェア保守も多くの工数を要する作業となり，変更対象サブシステムあるいは変更機能の範囲をあらかじめ決めて，段階的に実施している状況である。保守作業は，新たな情報システム開発の場合と異なり，テスト環境(ハードウェア構成，テストツールなど)や要員の制約から十分なテストを行えないのが現状である。反面，本番システムへの組込み作業のトラブルは，即座に稼働システムのサービスの低下につながるため，計画的にかつ効率よく実施しなければならない。
　このようなシステムの保守業務のテスト及び移行作業においては，修正プログラムのテスト以外にユーザの操作訓練や移行データの作成なども実施しなければならない。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　上記のように大規模化したシステムを保守する場合，新システムのテスト，本番システムへの組込み(移行)及び本番システムの監視作業に関して実施しなければならない項目を挙げ，その内容を述べよ。
■設問ウ
　保守業務のうち，設問イの作業について監査を実施する場合の監査方法及び留意点について述べよ。

📗H03:1991

【AU-H03-1-PM2-Q1】情報システム運用時のユーザマニュアルについて

　経営環境の変化の激しい今日，情報システムはそのニーズに対応するために，ますます高度化，複雑化する傾向にある。それにもかかわらず，情報システムの開発は短期間で完了することを要求されることが多く，当該システムに関係するハードウェアの選定やソフトウェアの開発手法などに注意が集まりがちである。
　しかし，どのような状況で開発された情報システムであっても，ユーザマニュアルなしに適切なシステムの運用を期待することは難しい。特に，業務処理に関するユーザマニュアルの重要性は高いといわれている。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　業務処理を行う情報システムの端末側で使用するユーザマニュアルについて，その必要性及び同マニュアルに織り込むべき事項を述べよ。
■設問ウ
　上記情報システムのユーザマニュアルを監査するに当たって留意すべき事項について述べよ。

【AU-H03-1-PM2-Q2】運用を考慮した情報システムの開発について

　情報システム部門では，開発と運用の機能が分化し，組織的にも開発，運用のセクションが，それぞれ分離，独立する傾向にある。その結果，開発部門の担当者は運用の経験，理解が乏しくなり，開発したシステムの運用段階で運用部門に必要以上の負担がかかるトラブルが発生することがある。システム開発に際して運用面に配慮することは，システムの効率上欠くべからざる要件といえる。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　システムが支障なく，効率的に運用されるためには，システムの設計の段階で，運用面についてどのような配慮をすべきかについて述べよ。
■設問ウ
　システムの開発と運用の接点における設問イの問題点について，どのように監査すべきか，その方法と留意点について述べよ。

【AU-H03-1-PM2-Q3】システム監査の内部統制上の機能について

　システム監査は，事業体の情報システムの全般を対象としており，監査計画に基づいて適切な監査実施時期を選んで計画的に実施される。
　そして，監査終了後，被監査部門及び関係部門に対する説明会などで問題点及び改善案についての説明を積極的に行うことによって相互理解を図り，システム監査報告書に記載された改善勧告を実現させるための努力を払う。また，改善勧告に基づく措置を次回監査においてフォローアップする。このように，システム監査は，情報システムが事業体の経営に寄与するようにその評価と改善のための活動を継続的に行っていくものである。
　これによって，システム監査は，事業体経営における各種の内部統制上の諸制度とともに重要な内部統制の一環としての役割を担うことになる。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　事業体の中でシステム監査が継続的に行われることによって，経営にどのような効果をもたらすかを述べよ。
■設問ウ
　内部統制の一環としてのシステム監査の機能を効果的に発揮するために，システム監査人が問題点の指摘，改善勧告及びフォローアップに当たって留意すべき諸点について述べよ。

【AU-H03-1-PM2-Q4】情報システムにおける監査証跡の確保について

　業務処理にコンピュータが導入されたとしても，内部統制の目的は手作業のときと変わらない。しかし，コンピュータによる業務処理では，データが見読不可能な形態で記録されたり，処理結果だけが出力され処理過程が残っていなかったりするケースが多く，後でその取引が追跡できなくなることがある。このように，内部統制の構成要素の一つである監査証跡が不十分であると，業務手続に支障をきたすばかりでなく，場合によっては内部及び外部監査を実施できなくなる可能性がある。したがって，情報システムの企画，開発及び運用の各段階で監査証跡のあり方を考慮しなければならない。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　監査証跡についてのあなたの考え，情報システム全般の運用及び業務システムの企画・開発・運用段階における監査証跡の内容を述べよ。
■設問ウ
　一般に監査証跡を確保する場合，業務の効率化と相反するケースがあるが，あなたはどのようにしてこの点を解決したか，又はあなたの考え方を述べよ。

📗H02:1990

【AU-H02-1-PM2-Q1】情報処理システムの開発部門の監査について

　新しい情報処理システムを開発する際，監査部門は，企画・開発の全過程を監査することが必要とされる。また，稼働中のシステムの修正・機能追加などにおいても標準化・文書化の状況，対象システムのコントロール機能の充足状況など監査する項目が多い。
　加えて，システムの設計者・プログラマなど開発関係者の不正防止を主眼とする監査も重要である。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　システムの企画・開発・修正などを自社内で実施し，また，本番用のコンピュータに開発用の端末機を接続してテストも行うような開発環境の場合，システム開発関係者の不正防止を主眼とした監査項目を挙げ，その内容を述べよ。
■設問ウ
　設問イの監査を実施する場合の手順及び留意点を述べよ。

【AU-H02-1-PM2-Q2】情報処理システムの企画・開発業務の監査について

　企業にとって，経営環境の変化及び市場動向を正しくとらえ，積極的な経営を展開していくことが必要である。したがって，情報処理システムの企画・開発に当たって，企業の経営戦略に即応したシステム作りを心がけることが求められているといえよう。
　ユーザニーズは，各ユーザ部門が企業の経営戦略に沿って合理的に活動するに当たって必要な情報を，情報処理システムから適時に適切な方法で提供されるよう求めているものである。
　システム監査では，システムの企画業務の監査で留意すべき事項の一つに，ユーザニーズ調査の対象，範囲，方法は適切かということが挙げられている。システム監査人は，情報処理部門が企画業務において，企業の経営戦略について十分な理解をした上で，各ユーザ部門の新システムについての具体的なニーズを正しくとらえているかどうかを明らかにすることとなる。
　あなたが，情報処理システムの企画・開発業務を監査するものとして，あなたの実際の経験又は考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　システムの企画・開発が企業の経営戦略に即応して行われているかどうかを監査する場合に，ユーザニーズの調査についての上記の留意点は具体的にどのような内容をもつことになるかについて述べよ。
■設問ウ
　あなたが経営戦略に即応したシステムの企画・開発であるかどうかを明らかにするシステム監査を行うとき，企画業務におけるユーザニーズの調査が適切であるかどうかを確かめるための監査の方法を述べよ。

【AU-H02-1-PM2-Q3】情報処理システムの運用部門の監査について

　情報処理システムの発展に伴い，システムの運用部門が提供してきた従来のデータ処理サービスに加え，ワークステーションやホスト計算機に接続したパーソナルコンピュータをユーザが直接使って関連のデータベースを加工する，いわゆるエンドユーザコンピューティングが徐々に増加してきて，センタシステムの運用に種々の影響を与える場合がある。
　運用部門は，本来，エンドユーザ部門及びシステム開発部門に対し，データ処理サービス，コンピュータリソースの要求を充足することを任務とするが，有限資源の適正運用の視点から，運用部門が取り扱うスケジューリングされたジョブの生産性・効率性の追求と，エンドユーザコンピューティングに対するサービス提供とのジレンマに陥ることが多く，その調整には苦慮するところである。
　このような状況下において，システム監査の面からみて，運用部門はエンドユーザ部門にどのように対処するのが妥当であるか。
　あなたの実際の経験又は考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　エンドユーザコンピューティングのサービス向上と，運用部門の生産性・効率性の追求に関し，どのような考え方に基づいて対処するのが妥当であるかについて，あなたの見解を述べよ。
■設問ウ
　エンドユーザコンピューティングについて，システム監査を実施する場合の着眼点を列挙し，その理由を述べよ。

【AU-H02-1-PM2-Q4】情報処理システムの運用における外部委託の監査について

　情報処理システムの運用業務においては，外部委託が割合に多く利用されているが，中でもオペレーション業務では全面委託されるケースが多い。
　情報処理システムの対象業務が幅広くなり，内容も複雑化するにつれて，安定した運用がますます重要になり，オペレーションには特に十分な注意を払う必要がある。オペレーションを外部要員に委託する場合，委託先の都合による要員の交替が多いなど，システムの安定稼働に影響を及ぼすようなケースも少なくない。
　あなたが情報処理システムの運用に関する監査を行うとして，あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　社内で運用中のコンピュータのオペレーション業務を全面的に外部要員の委託に切り替える場合，どのような点に留意すべきかについて述べよ。
■設問ウ
　外部要員の委託によるオペレーション業務を監査する場合のシステム監査のポイント及び監査方法について述べよ。

📗H01:1989

【AU-H01-1-PM2-Q1】情報システムの企画業務の監査について

　企業の競争力強化のための企業戦略は昨今ますます重視され，また情報システム及び通信関連技術の急速な進展によって，情報システムが企業経営に果たす役割は一層重要となってきている。他方，多くの企業では，既開発システムが増えるに従い，その保守・改造に人手を取られることもあり，いわゆるバックログを多く抱え，上中級システムエンジニアの不足も相まって，新規システム開発の要請には容易に応じ切れない状況になっている。これらの事情から，情報システム部門の計画策定は，企業戦略実現との関連で従前にも増して重要な意味をもってきている。
　このような環境下で，あなたが，中規模企業又は大規模企業の情報システム部門全般の企画業務の監査を依頼されたとして，あなたの実際の経験及びこれまでに得た知識に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要，及びあなたの業務とあなたが関係しているか又は属している情報システム部門の計画や方針とのかかわり方を，800字以内で簡潔に述べよ。
■設問イ
　中規模企業又は大規模企業の情報システム部門の計画に，一般的にどのような事項が検討記載されるのが望ましいか，システム監査の立場から述べよ。
■設問ウ
　中規模企業又は大規模企業の情報システム部門の計画が，一般的にどのように策定承認されるのが望ましいか，システム監査の立場から述べよ。

【AU-H01-1-PM2-Q2】情報処理システムの保守業務の監査について

　情報処理システムの運用開始後，環境の変化をはじめとするいろいろな要因によって，システムの修正，変更等の保守が行われる。これらのシステムの保守業務が累積すると，いわゆるバックログが増大することにもなり，新規システムの開発が阻害されるなど，影響するところは大きい。
　また，保守作業の不完全さが，各種のトラブルを引き起こすことも，しばしば見受けられる。保守業務にどのように対応していくかは，情報システム部門にとって大きな問題になっている。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　開発時に，情報処理システムの修正，変更等の保守業務の負担を軽減するための方策が，あらかじめとられなければならない。この方策について述べよ。
■設問ウ
　情報処理システムの修正，変更等の保守業務を監査するに際して，留意すべき事項及び監査方法について述べよ。

【AU-H01-1-PM2-Q3】情報処理システムのオペレーションの監査について

　情報処理システムの運用業務は，企画・開発業務に比較して，仕事の処理手順や職務分掌事項，執行権限・責任の範囲などが明確に定められている場合が多いが，実態としては，派遣労働者や，一括請負の要員で運用されていることが多く，要員の目的意識や問題意識に差異が生じたり，指示が不徹底になるなどの問題が生じやすい。
　このような背景から，情報処理システムの運用業務の中核を占めるオペレーションの信頼性を保持するためには，オペレーションに関する各種規定の整備に加え，管理，統制が重要な課題であるといわれている。
　あなたが情報処理システムのオペレーションの監査を実施するに当たり，あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　情報処理システムのオペレーションの管理状況を監査するに当たり，次の作業に関し，監査のポイントについて述べよ。また，その作業が管理規定をどの程度遵守して行われているかを検証する有効な方法を説明せよ。
　(1)
　例外処理
　(2)
　オペレータの交替時における業務引継ぎ
■設問ウ
　情報処理システムにおける，データの入力から出力にいたるオペレーションの正確性を保証するための要件を述べよ。

【AU-H01-1-PM2-Q4】オンライン個別業務処理システムの開発段階における監査について

　個別業務処理システムの開発段階における監査は，開発要員の管理，開発手順の遵守状況等の監査と，当該個別業務処理システムの機能内容の監査に大別することができる。
　後者のシステムの機能内容の監査は，一般にシステムの企画・設計段階で実行されるのがよいと言われている。
　あなたの実際の経験又は考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを，800字以内で簡潔に述べよ。
■設問イ
　オンライン個別業務処理システムの開発段階で行うシステムの機能内容の監査に必要な監査項目を挙げ，その内容を述べよ。
■設問ウ
　オンライン個別業務処理システムの開発段階で行うシステムの機能内容の監査について，期待する効果及び実施する場合の留意点を述べよ。

📗S63:1998

【AU-S63-1-PM2-Q1】情報処理システムの開発業務の監査について

　情報処理システムの開発に際して，既存の開発組織によらず，対象となるシステムの規模に応じ，弾力的に必要な人員を必要な期間確保したプロジェクトを編成して開発を進めることが多い。この場合，プロジェクトマネジメントの善し悪しによってシステムの成否が左右されることにもなる。システム監査は監査対象の形態，特質等実態を考慮しながら行う必要がある。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを簡潔に述べよ。
■設問イ
　情報処理システムの開発がプロジェクト制によって行われる場合，プロジェクト制の特質及び管理上の留意点について述べよ。
■設問ウ
　上記の開発においてシステム監査をする際の監査のポイント及び監査方法について述べよ。

【AU-S63-1-PM2-Q2】情報処理システムの内部統制とシステム監査の実施について

　情報処理システムの内部統制は，企画業務・開発業務・運用業務の全体に関連して，人的組織の編成と運用の管理，コンピュータ資源・通信回線等及びソフトウェアの管理，適用業務処理の管理，経営証跡の確保等にわたり幅広く構成されている。
　このような情報処理システムの内部統制を対象としてシステム監査を実施する場合，内部統制の実情を的確に評定し，必要な指摘及び改善勧告を行うことになる。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを簡潔に述べよ。
■設問イ
　幅広く構成されている情報処理システムの内部統制について，システム監査の計画に基づく具体的な監査手続をどのように行っていけば合理的であるかについて述べよ。
■設問ウ
　設問イのような監査手続を行った場合に，システム監査は，情報処理システムの内部統制の中でどのように位置づけられるかについて述べよ。

【AU-S63-1-PM2-Q3】情報処理システムの運用業務におけるシステムの異常終了に関する監査について

　情報処理システムの稼働中に，種々の原因によってシステムが異常終了することがあるが，異常終了が発生した場合の対処の手順をあらかじめ定めておくか否かは，情報処理システムの信頼性と安全性に大きく影響する。
　システム監査の立場から，これらの対処の手順を，どのように定めておくのが適切であるか。次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを簡潔に述べよ。
■設問イ
　システムの異常終了が発生する原因を列挙し，あなたが最も重要と考える一つについて対処の手順及びその他の取るべき措置をどのように定めておくべきか具体的に述べよ。
■設問ウ
　システムの異常終了に関する監査を実施するに当たって，効果的な監査方法及び手続について述べよ。

【AU-S63-1-PM2-Q4】情報処理システムの有用性の監査について

　経営環境の変化の厳しい今日，企業の情報処理部門は，経営環境の変化に伴う新たなニーズをいち早くとらえて，情報処理システムの適切な改善・保守を行うことが必要である。また日進月歩している新しい情報処理関連機器を活用して，経営に役立たせるより高度な機能をもつ情報処理システムとする努力が必要である。
　システム監査人は，情報処理システムを総合的に点検，評価し，関係者に対して助言，勧告を行う。その監査の目的の一つに情報処理システムの有用性の監査がある。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを簡潔に述べよ。
■設問イ
　情報処理システムの有用性を監査するに当たって，あなたはどのような項目を評価するか述べよ。
■設問ウ
　情報処理システムの改善・保守の体制はどうあるべきか述べよ。

📗S62:1987

【AU-S62-1-PM2-Q1】情報処理システムの開発部門の監査について

　情報処理システムの開発部門は，企業の経営方針に基づいて，長期的な展望のもとに設備，要員などの関係資源を有効に活用し，信頼性，安全性及び効率性の高いシステムの実現を図るとともに，経営環境又は適用業務の変化に即応できる体制でなければならない。その活動の良否は，企業の経営に大きな影響を及ぼすほどの重要な任務を担っているといえる。したがって，情報処理システムの開発部門に対する監査は，前述の視点に立って，適切な助言と勧告を行うべきである。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかを簡潔に述べよ。
■設問イ
　情報処理システムの開発部門に対する監査項目と，監査手順，方法について述べよ。
■設問ウ
　助言，勧告を含む監査報告書を作成するために開発部門と意見交換する上での留意事項を述べよ。

【AU-S62-1-PM2-Q2】情報処理システムに関する部門間の内部統制の監査について

　情報処理システムの内部統制制度の整備と運用は，情報処理システムの信頼性，安全性及び効率性を確保するに当たって重要な課題である。特に情報処理システムの開発部門，運用部門とユーザ部門との間には，十分な連携とともに相互牽制が求められている。しかし，現実には，例えばいずれの部門の責任に帰属するかも不明のまま情報処理システムがつくられ運用されている場合もある。
　システム監査は，情報処理システムの点検・評価を総合的に実施するものであるから，部門間の内部統制についても十分に監査することが必要である。
　あなたの経験又は考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかについて簡潔に述べよ。
■設問イ
　情報処理システムに関する部門間の内部統制制度はどのようにあるべきかを述べよ。
■設問ウ
　情報処理システムの対象業務内容に変更があった場合に，システム監査人が情報処理システムの変更内容が適切であるかどうかを確かめるに当たり，部門間の内部統制制度の運用状況について留意すべき事項を述べよ。

【AU-S62-1-PM2-Q3】情報処理システムの障害管理の監査について

　情報処理システムの運用上発生する障害には種々の現象があるが，その原因，規模，影響範囲等によっては，システム運用上の支障にとどまらず，企業経営自体に多大の損失を生じることになる。
　システム監査でも，システムの信頼性，安全性及び効率性を維持・向上させる上でシステムの障害管理についての監査が重要である。
　あなたの実際の経験又は考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかについて簡潔に述べよ。
■設問イ
　情報処理システムの運用上で発生する可能性のある一般的な障害を数項目に区分し，それぞれについて監査項目を挙げて述べよ。
■設問ウ
　発生した障害について，運用部門が行った措置及び事後の対策の実施内容を監査するための監査手順について述べよ。

【AU-S62-1-PM2-Q4】オンラインリアルタイムシステムの運用の監査について

　近年情報処理機器の性能向上及びデータ通信技術の発達により，情報処理システムの運用形態として，オンラインリアルタイムシステムが一般的になりつつある。
　情報処理システムの監査では，システム監査人は，対象となるシステムの形態，規模，特性を考慮しながら，弾力的に監査を行う必要がある。特にオンラインリアルタイムシステムでは，システムのぜい弱性に対する安全性の確保などに十分に留意しなければならない。
　あなたの実際の経験又は考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システム又は監査業務に，あなたがどのような立場，役割でかかわってきたかについて簡潔に述べよ。
■設問イ
　運用中のオンラインリアルタイムシステムを監査するに当たっての監査のポイント，留意点について述べよ。
■設問ウ
　設問イの監査を効果的に行うための監査手順，方法について述べよ。

📗S61:1986

【AU-S61-1-PM2-Q1】情報処理システムの企画，開発業務の監査について

　情報処理システムの企画，開発業務の監査は，最近の調査によると我が国においてはまだ実施例が少ない。しかしながら，今後情報化の進展に伴い，システム監査実施企業の増加，運用業務監査の浸透につれて，情報処理システムの企画，開発業務の監査の重要性が認識され，監査が実施される傾向にある。
　あなたの実際の経験あるいは考えに基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，情報処理システムあるいは監査業務に，あなたがどのような役割，立場でかかわってきたかについて述べよ。
■設問イ
　情報処理システムの企画，開発業務における監査の必要性，特に留意すべき監査上のポイント及び効果的に監査を行うための実施手順について述べよ。
■設問ウ
　上記の監査を実施することにより期待される効果について述べよ。

【AU-S61-1-PM2-Q2】情報処理システムの運用管理の監査について

　情報処理システムの運用管理に当たっては，システムの開発が完了し，稼働に入った後に発生する経営環境の変化，取扱業務内容の変更，処理手続の変更等に起因するシステムの修正・変更・改善をあらかじめ考えておくことが必要である。情報処理システムの運用管理に関するシステム監査では，このような配慮が十分に払われているか，また，システムの修正・変更・改善の実際の処理手続が正当な承認手続を経て行われているか，更に，その後の運用管理の信頼性・安全性・効率性がいかに確保されているかなどを確かめることが大切である。この場合，システム監査人は，システムの運用管理にどのような要件の充足を求めるかを明らかにすることが必要である。
　あなたが情報処理システムの運用管理に関する監査を行うとして，あなたの経験や考え方に基づいて，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，あなたがどのような立場にあるかについて述べよ。
■設問イ
　システム監査の立場から見て，情報処理システムの修正・変更・改善に関する運用管理の信頼性と効率性を確保するための要件は何かについて述べよ。
■設問ウ
　設問イの要件に沿った監査手順と監査報告書のまとめ方について述べよ。

【AU-S61-1-PM2-Q3】オンライン端末操作の正当性監査について

　オンラインシステムの適用範囲の拡大に伴い，システムに従事する要員も増加し，システムの不正使用を防止することが重要となってきている。
　現在稼働しているシステムについて，不正使用防止のためにとられている対策を評価し，改善提言することがシステム監査に求められる重要な役割の一つである。あなたがオンライン端末操作の正当性を監査するとして，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが現在従事している業務の概要と，どのような立場にあるかについて述べよ。
■設問イ
　オンライン端末操作の正当性を監査する場合の監査要点について，端末の正当性，端末使用者の正当性，プログラム使用の正当性等のチェックを考慮して述べよ。
■設問ウ
　上記の監査要点が守られていない場合に起こりうる危険性について述べよ。

【AU-S61-1-PM2-Q4】情報処理システムの内部統制について

　監査を実施する場合には，監査対象組織の内部統制システム(internal control system)の内容，その整備や運用状況を調査し，その調査結果から監査範囲や監査方法を決めるのが一般的である。システム監査は情報処理システムを対象とするものであり，この場合の内部統制システムの体系，対象範囲，項目はどのようなものであるべきか，次の設問ア～ウに従って論述せよ。

■設問ア
　あなたが今日までに従事してきた，また現在従事している業務の概要とシステム監査とのかかわり，その立場，経験について述べよ。
■設問イ
　情報処理システムにおける内部統制システムの意義及び特質について述べよ。
■設問ウ
　上記内部統制システムの体系，対象範囲，項目はどのようなものか。また，それを整備，運用する場合の留意点について述べよ。