チェックリスト
予備調査において、監査対象の状況を把握するために作成し、回答を依頼するもの
監査調書
システム監査人が監査手続の実施過程や監査証拠などを記録した文書は、【a】と呼ぶ。
直接、根本
障害の引き金となった【a】原因の特定にとどまらず、【b】原因を究明し、再発防止策を講じることが必要
監査計画
実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲などを立案する
監査手続
十分な監査証拠を入手するための手続き。調査結果を裏付けるのに十分かつ適切な監査証拠を入手する。
監査報告書、指摘事項、改善勧告
実施した監査について【a】を作成し、監査の依頼者に提出する。実施した監査の対象や概要、保証意見または助言意見、制約などを記載する。実施した結果、【b】とその改善を進言する【c】について明瞭に記載する。
ITガバナンス
ITを有効活用するために、組織としてITの管理や統制を行う枠組みを【a】と呼ぶ。
機密性
情報セキュリティの3要素のうち、情報へのアクセスを許可された者に限定するものは【a】である。
完全性
3要素のうち、情報が正確で改ざんや破壊が行われていない状態を維持することは、【a】を確保することである。
独立性
監査人が独立した客観的な立場で監査を実施し、監査対象者に助言や指導を行わないことは、【a】の原則に基づく。
情報セキュリティ
システムの機密性、完全性、可用性の3要素を【a】の3要素と総称する。
職務分掌
不正の防止を目的として、一連の業務プロセスを複数の担当者で分担する仕組みを【a】という。
インシデント管理
システム障害や問い合わせが発生した際に、迅速にサービスを復旧させることを目的とした活動を【a】という。
問題管理
インシデントの根本原因を特定し、再発防止のための恒久的な対策を講じるプロセス
内部統制
組織の目標達成のために、業務を効率的に行い、法令を遵守し、資産を保全するための仕組み全般を【a】という。
開発
システムの企画や要件定義、設計、開発といった、システム構築のプロセスが適切に行われているかを評価する監査を【a】監査という。
運用
システムが稼働している期間における、運用体制やデータ管理、障害対応などを評価する監査を【a】監査という。
監査証拠
監査の過程で、監査対象から入手する文書、データ、口頭での陳述など、監査意見の根拠となる情報を【a】と呼ぶ。
ITIL(Information Technology Infrastructure Library)
ITサービス管理の国際的なベストプラクティスをまとめたガイドラインを【a】という。
コンプライアンス
企業が法令や社会規範を遵守して活動することを【a】という。
内部
監査対象組織の経営者によって任命され、その組織の内部から監査を実施する者を【a】監査人という。
リスクアセスメント
監査人が監査を実施するにあたり、リスクの大きさを評価し、監査対象を絞り込むプロセスを【a】という。
変更
システムの変更や新規導入が適切に行われているかを管理するプロセスは、【a】管理である。
監査基準
監査人が監査を実施する際の行動規範や判断基準を体系化したものは、【a】と呼ばれる。
監査計画
監査の目的、範囲、期間、体制などを定める、監査活動の全体像を示す文書は【a】である。
監査報告書
システム監査の結果を被監査部門や経営層に伝えるために、発見事項や改善勧告などをまとめた文書は【a】である。
予備調査
監査人がシステム監査の本格的な開始前に、監査対象の概要やリスクを把握するために行う調査を【a】という。
外部
監査人が被監査部門から独立した第三者の立場で監査を実施する監査を、【a】監査という。
全般
組織の情報システム全体に共通して適用される統制であり、開発、運用、セキュリティ管理など多岐にわたる統制を【a】統制と呼ぶ。
是正
監査の結果として、発見した不備やリスクに対して、その改善を求めるための要求を【a】勧告という。
サービスレベルアグリーメント(SLA)
組織がITサービスの利用者との間で合意した、提供されるサービスの品質レベルを定めたものは【a】である。
ログ
システムにログインしたユーザーや実行された操作など、システムの利用履歴を記録した情報を確認する監査を【a】監査という。
リスク分析
企業の事業活動における潜在的なリスクを特定し、その影響度と発生可能性を評価するプロセスを【a】という。
本調査
監査人が監査対象の部署やシステムに直接赴き、文書の閲覧やヒアリング、現地での観察を行う調査を【a】という。
キャパシティ
システム運用において、サービスレベルを達成するためのリソース(CPU、メモリ、ディスクなど)の計画を策定する管理活動を【a】管理という。
監査指摘
監査の過程で発見された不備や改善すべき点について、監査対象の部門に口頭や書面でその内容を知らせることを【a】通知という。
フォローアップ監査
監査報告書の作成後、被監査部門からの回答や改善計画をフォローアップし、その実施状況を確認する監査活動を【a】という。
突合
監査人が、被監査部門の作成した文書や記録の信頼性を確保するため、原本と写しを照合したり、関連文書との整合性を確認したりすることを【a】という。
CAAT(Computer Assisted Audit Techniques)
監査のツールとしてコンピュータを利用する監査技法の総称
コントロール
情報システムに対して、信頼性、安全性、効率性の【a】が適切に行われていることを実証すること
エディットバリデーション
画面上で入力した値が一定の規則に従っているかどうかを確認する
システム監査基準
システム監査人のための行動規範
システム管理基準
システム監査基準に従って判断の尺度に使う項目
知的財産権
システム監査では権利侵害行為を指摘する必要があるため、著作権法、特許法、不正競争防止法などの【a】に関する法律を参考にする
COSOフレームワーク
内部統制のフレームワークの世界標準
COBIT(Control Objectives for Information and related Technology)
ITガバナンスのベストプラクティス集
サンプリング、母集団
【a】:【b】からサンプルを抽出し、そのサンプルを分析して性質を統計的に推測する
監査モジュール
システム監査で監査対象のデータを分析・検証するために、システムに組み込む専用のプログラム
ITF(Integrated Test Facility)
稼働中のシステムにテスト用の架空口座(ID)を設置し、システムの動作を検証する
ウォークスルー法
データの生成から入力、処理、出力、活用までのすべてのプロセスや、組み込まれているコントロールについて、書面上または実際に追跡する技法
独立性、関与度合
監査人を選出する場合、監査人の【a】の観点から、過去に対象システムの開発、保守業務に対する【b】を確認する必要がある
承認記録
マスタ登録手続きに関して、権限の観点から、登録時に上長の【a】があること
登録権限がない
マスタ登録手続きに関して、権限の観点から、登録者に【a】ことを確認すること
入力権限がない
入力データを承認し登録する場合、職務の分離の観点から、承認者には【a】ことを確認すること
証跡
いつ、誰が、どのような操作(処理)を行ったのか等を時系列で記録したログデータのこと
X
LINE
はてな
アプリ
QRコード
URLコピー
AIによる要約・使い方の説明
AIによる分析のため、間違った解釈や説明をしている場合があります。
要約
本単語帳は、応用情報技術者試験の午後試験において頻出となる「システム監査」分野の重要用語と概念を網羅的にまとめたものです。
内容は、システム監査の基本的なプロセス(予備調査・本調査・監査報告・フォローアップ)、監査人の行動規範(独立性・客観性)、およびシステム管理基準に準拠した統制項目に大別されます。特に、機密性・完全性・可用性といった情報セキュリティの基本要素から、ITガバナンス、内部統制、職務分掌といったマネジメント層の概念、さらにはインシデント管理や問題管理といったITILに基づく運用プロセスまで、試験対策上不可欠なキーワードが体系的に整理されています。
また、CAAT(コンピュータ利用監査技法)やサンプリング、ウォークスルー法、ITFといった具体的な監査手法についても触れられており、専門的な実務知識を問う記述式問題への対応力を高める構成となっています。
使い方
本書は、応用情報技術者試験の午後試験対策として、用語の暗記と概念の定着に活用することを推奨します。
対象者は、午後試験で「システム監査」を選択予定の受験生や、情報システムの統制・管理に関する実務的な理論を整理したいエンジニアに適しています。
効果的な学習方法としては、まず用語と定義の一致を確認した後、単なる用語の暗記に留まらず、その用語が「なぜ監査において重要なのか」という文脈を意識してください。例えば「職務分掌」や「承認記録」の項目では、単に言葉を覚えるだけでなく、「不正を防止するために、誰と誰の権限を分けるべきか」といった具体的なシステム運用のフローを頭の中で再現しながら学習すると、記述式問題での得点力に直結します。一通り学習した後は、実際の過去問演習と並行して本単語帳を辞書的に活用し、間違えた概念を重点的に復習するのが最も効率的です。
#応用情報技術者試験 #システム監査 #情報システム管理 #内部統制 #ITガバナンス #情報セキュリティ