平成28年秋季 午後 問11 (応用情報処理技術者試験ドットコムさんのページはこちら)
設問1.
<俺の解答>管理者自身が不正な更新を行った場合は検出できない
<解答例>承認済みID申請書がなく更新される場合
⇒ 俺の解答も解答例もなのだが、よくよく考えると「利用者IDの不正な更新を検出できない場合がある」理由になっているか本当に理解できない。
問題となっている監査手続き(1)-①については「承認済みID申請書に対応する権限マスタデータが当該ID申請書の内容と一致しているかどうかを確かめる」とあるが、仮に承認済みID申請書がない場合でマスタデータに承認されていない権限が付与されていた場合、その時点で不正だとわかると思われるのだがひょっとすると申請書とマスタの不一致があった場合、それが不正と判別する術がないとでも言いたいのだろうか。
問題文をよくよく読んでみても、支店でも営業管理部でも利用者ID申請書の手続きを経ずに申請しているケースについては触れられておらず、正直この設問については全くの謎である。
設問2.
<俺の解答>a. ア.
<解答例>a. エ
⇒ これも設問をよく読んでなかったことからの間違いと言える。。。
『a」のある表中1-項番(1)-②は「削除申請については、ID申請書の網羅性を検証するために、『a』の情報に基づいてID申請書の有無を確かめる。」とあり、データ削除と付き合わせて最も網羅性を担保できるのは「人事異動及び退職」であることは間違いない。
かなり集中して問題を見なければ正解に行きつかない。試験中超人的な読解力が求められる。
設問3.
<俺の解答>更新を行った証跡が書面に残っておらず確認できない
<解答例>利用者ID棚卸を実施した証跡が残らないから
⇒ 初めて書いてあることが間違いなく正解と言える解答を書いた気分だ。ほぼ一致している。。。 うれしい(*´▽`*)
設問4.
<俺の解答>
b. 利用者ID棚卸リスト
c. ID申請書
<解答例>
b. 権限マスタ
c. ID管理台帳
⇒ 問題文では「営業管理部の利用者ID棚卸の手続が不十分なので、監査人が自ら何を何を照合し、一致しているかどうかを確かめる」とある。この問題の場合、普通に考えると何の手続が不十分か?というところから回答を求めようとするだろう。
では、実際に行っているところを見てみると「営業管理部では、システム管理者がID管理台帳のコピーを利用者ID棚卸リストとして各課に配布する。各課の課長は、利用権限などの各項目にチェックマークを付けながら訂正事項があれば記載し、承認印を押してシステム管理者に返している。システム管理者は回収した利用者ID棚卸リストの訂正事項に基づいてID申請書に修正事項を記入し、営業管理部長の承認を得てID管理台帳及び権限マスタデータを更新している。」となっている。
解答例にある「権限マスタ」と「ID管理台帳」を照合することで確認できるのは、おそらく「システム管理者が「ID管理台帳」通りに権限マスタを更新しているか否か?というところだろうか。
俺の解答では「利用者ID棚卸リスト」と「ID申請書」を照合するようにしているか、そこで確認できるのは「システム管理者が『棚卸リスト』で発見された訂正事項通りに『ID申請書』を起票しているか否か」ということになるが、システム管理者がその後、「ID申請書」をさらに「ID管理台帳」に転記した上で「権限マスタデータ」を更新しているので、確認するとしたら最終的なマスタデータの更新とそれに付随する者にした方が確かに確認は効率的である。
マスタデータの更新は俺の仕事でも日常的に発生しているが、手続がどの部分で不足しているか?という点では全ての項目をダブルチェックしたくなるところだが、監査を行うという立場では「より成果物に近い部分でのチェックを行う」方が効率的だとも思うし、第一転記しているだけのものを照合したところで得られるものは少ない気がする。
この手の問題は手続きをフローチャートにして最終的な更新物が何か?何をチェックするのが監査する側として効率が良く、且つ最終成果物が正しい形で実態を不正なく反映できているか?という視点を持つべきなのだろうと考える。
設問5.
d. エ.
⇒ 正解。
問題文中「出力対象が何を満たしているか」を問うているので、それだけでも「網羅性」を選択できると思うが、監査ということで「機密性」との二択で悩んだ(0.5秒程)。そこについては(4)利用者IDの監視:②「システム管理者は、住宅販売システムのアクセスログから情報のダウンロード用メニューの利用ログを選択肢て”月次ログリスト”として出力し、内容のレビューを行い、確認印を押している。」とあるため、この作業に機密性を求めてしまうと逆に対象が絞られてしまい、不正の検出が適切に行えない可能性があるため「機密性」は選択肢からは外れると考える。
「可用性」、「効率性」に関しては監査要点が「利用者IDの監視が有効に実施されているかという観点で見ているはずなので適切とは言えないと思う。
設問6.
<俺の解答>システム管理者自らが不正を行った場合は報告できる主体がいない
<解答例>システム管理者の不正なアクセスが報告されない
⇒ 多分、正解だと思う。今回の問題全体を通して、突っ込みどころが多すぎて解答を書くのが紛らわしいと思ったのは俺だけだろうか。
ただ、実際のところ監査の作業はかなりの部分で妥協点を見出さなければならない仕事のようにも思えるので、妥協するならば一番重要な部分は何か?を考え、そこに重点を置いた改善勧告と改善提案を考えなければならないのだろうなぁ・・・という意味ではとてもいい問題だと言えるのだろうと納得してみる。
平成28年春季 午後 問11 (応用情報処理技術者試験ドットコムさんのページはこちら)
設問1.
a.オ
d.エ
⇒ 正解。
a.は監査要点の②に「新規案件に抜け、漏れがないことを確認・・・」とあるので、網羅されていることが求められている。
d.は同じく監査要点に「権限のあるものが営業案件データを適切に承認・・・」とあるので、営業担当が適当に入れるのではなくてしっかりとした根拠を求めている、つまり正当性が求められている。
以上のように解釈している。
設問2.
b.入力と更新
c.受注確度
e.データ変換表
⇒ b.のみ不正解。解答は「入力期限」
確かに入力期限が正しいと思う。本文中「入力期限は毎週末であるが・・・」とあるので、ここを見逃さないようにしたい。
c.については「業績見通しに必要な信頼できる営業案件データが入力されない」とあり、さらに「部門業績サブシステムでは・・・受注確度別に定めた確率を掛け合わせて業績データ(・・・見通しなど)を作成している」とあるため、受注確度の精度を上げないと業績の見通しにぶれが生じるという意味と解釈。
e.は変換表を基に事業部データへの変換を自動で行っているので、ここを間違うと正確なデータ取り込みができないと解釈した。
設問3
①システム業務記録簿
②事業部案件一覧表
⇒ 順不同で「作業手順書」と「システム業務記録簿」となっていて、確かに監査要点に「取り込み作業が正しく実施されているか」となっているので実施されているか否かであれば手順書と業務記録簿を突き合わせるのが正しいと答えを見たから思えるw
ここも問題文などをしっかりと読みこなせば正解できる・・・と信じたい。
設問4.
実績と業績見通しの差異
⇒ 文句なしの正解。うれしい。
問題文の[業績管理システムの概要]の項目に「・・・実績が業績見通しと大きく異なることがあった。そこで、昨年度、業績見通しの精度の向上を図るため・・・」とあるので穴あき部分と見比べると、まあ正解して当たり前かw
でもうれしい。
全体的に見て、慣れると正答率が上がりやすいような問題のような気がする。それと、正解はそこまで難しい言葉を書かなくても問題文に書いてあったり、一般的な言葉が解答になるみたいなので、ここはしっかりと集中して取っていきたいと思う。
0 件のコメント:
コメントを投稿