資格部 📝

あらゆる資格の試験情報、対策方法、過去問題・模擬問題を解説

システム監査技術者試験 チートシート 令和3年度秋期版

 システム監査技術者試験を受験する方向けに、午前Ⅱ対策を中心としたチートシートを用意しました。
 こちらは、あくまで試験合格を目的とした内容になっていますので、きちんと学習したい方は、過去問題解説ページ等をご覧ください。

 

試験別

午前Ⅰ

 同時開催の応用情報技術者試験午前問題と同じ問題が出題されます。(80問中30問)
よって、対策は応用情報技術者のページを参考にしてください。
 なお、午前Ⅰは応用情報or高度区分の合格か、午前Ⅰの部分合格により、2年間の免除を受けられます。

 

午前Ⅱ

 重点分野、かつ出題可能性が低い問題(直近分・重複分)を除外した過去問題について、問題と答えのみを抜粋しました。

 例年通りであれば、問題の3割程度は、以下の約100問の中から出題されますので、直前の確認(詰め込み?)にご利用ください。

 

システム監査(問1〜10)

Q システム管理基準(平成30年)において,ITガバナンスにおける説明として採用されているものはどれか。

A EDMモデル

 

Q システム監査技法であるITF(Integrated Test Facility)法の説明はどれか。

A 監査対象ファイルにシステム監査人用の口座を設け,実稼働中にテストデータを入力し,その結果をあらかじめ用意した正しい結果と照合して,監査対象プログラムの処理の正確性を検証する方法である。

 

Q システム管理基準(平成30年)において,経営陣がITガバナンスを成功に導くために採用することが望ましい原則としているものはどれか。

A 責任,戦略,取得,パフォーマンス,適合,人間行動

 

Q 財務処理に係るクラウドサービスを委託している場合に委託元会社が入手することのある,日本公認会計士協会の監査・保証実務委員会実務指針第86号“受託業務に係る内部統制の保証報告書(平成23年)”に基づいて作成される文書と作成者の適切な組合せはどれか。ここで,受託業務の一部については再委託が行われており,除外方式を採用しているものとする。

  保証報告書 システムに関する記述書 受託会社確認書
A 監査人 被監査会社(受託会社) 被監査会社(受託会社)

 

Q システム管理基準(平成30年)に規定されたアジャイル開発において留意すべき取扱いとして,最も適切なものはどれか。

A プロダクトオーナー及び開発チームは,利害関係者へのデモンストレーションを実施すること

 

Q システム監査基準(平成30年)において,システム監査人が実施する予備調査の作業として,適切なものはどれか。

A 監査対象部門から事前に入手した資料を閲覧し,監査対象の詳細や業務分掌の体制などを把握する。

 

Q システム監査基準(平成30年)の説明はどれか。

A システム監査人の行為規範である。

 

Q システム監査基準(平成30年)では,監査計画の策定に当たり,監査対象として考慮する項目を,情報システムの“ガバナンス”,“マネジメント”,“コントロール”に関するものに分けて例示している。情報システムの“マネジメント”に関するものを監査対象とする場合に,考慮する項目としているものはどれか。

A IT投資管理や情報セキュリティ対策がPDCAサイクルに基づいて,組織全体として適切に管理されているか。

 

Q インプットコントロールの監査において,エディットバリデーションチェックが正しく機能しているかどうかを検証する方法として,適切なものはどれか。

A 実際に例外データや異常データの入力を行う。

 

Q システム監査チームが監査結果の評価を行ったとき,一部の項目について,調査不足から監査人の意見が分かれた。この場合の監査チームの対応として,適切なものはどれか。

A 意見の統一を図るために追加の監査手続を実施する。

 

Q 内部監査として実施したシステム監査で,問題点を検出後,改善勧告を行うまでの間に監査人が考慮すべき事項として,適切なものはどれか。

A 監査人からの一方的な改善策の提案は実行不可能なものとなるおそれがあるので,改善勧告の前に,改善策について被監査部門との間で協議する場をもつ。

 

Q システム監査人が行った監査業務の実施記録であり,監査意見表明の根拠となるべき監査証拠,その他関連資料などをまとめたものはどれか。

A 監查調書

 

Q 組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的として,システム管理基準(平成16年)に示されているものはどれか。

A 情報システムが,組織体の目的を実現するように安全,有効かつ効率的に機能すること

 

Q システム監査における,サンプリング(試査)に関する用語の説明のうち,適切なものはどれか。

A 許容誤謬率とは,監査人が受け入れることができる所定の内部統制からの逸脱率であり,サンプルの件数を決めるときに用いられる。

 

Q システム監査における監査証拠の説明のうち,適切なものはどれか。

A 監査人が収集又は作成する資料であり,監査報告書に記載する監査意見や指摘事項は,その資料によって裏付けられていなければならない。

 

Q システム監査基準(平成16年)の前文に記述されている基準の利用目的はどれか。

A 監査人の行為規範として,システム監査業務の品質を確保し,有効かつ効率的に監査を実施するために利用する基準である。

 

Q システム監査基準(平成16年)に基づいて作成されたシステム監査報告書に関する記述のうち,適切なものはどれか。

A 助言型報告書の場合,システム監査人と被監査部門の責任区別の存在は当然であるが,保証型報告書とは異なり,貴任区別にあえて言及する必要はない。

 

Q テストデータ法をシステム監査手続として使用する上での留意点はどれか。

A テスト対象プログラムのロジックが本番で稼働しているものと同一であるかを確認すること

 

Q システム監査における監査証跡はどれか。

A 監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録

 

Q 情報セキュリティ監査基準(Ver1.0)に基づく保証型監査の意見表明において,監査人が必要と認めた監査手続が制約され,保証意見の合理的な根拠を得ることができなかった場合の対応はどれか。

A 意見を表明しない。

 

Q “システム監査基準”で定めているシステム監査業務の品質管理の主な目的はどれか。

A システム監査結果の適正性を確保すること

 

Q “システム監査基準”における“監査の手順”はどれか。

A 予備調査→本調査→評価・結論

 

Q 表はコンピュータを利用して行うシステム監査技法についてまとめたものである。(1)〜(4)の組合せとして,適切なものはどれか。

技法 主な機能
システム
のテスト
⑴ ⑵ ⑶ ⑷ 稼働中オンラインシス
テムからのデータ抽出
テストデータ法 ◯          
汎用監査ソフトウェア法         ◯  
組込み監査モジュール法         ◯ ◯
ITF法 ◯ ◯        
並行シミュレーション法 ◯   ◯      
スナップショット法     ◯      
トレーシング法     ◯      
コード比較法       ◯    
  ⑴ ⑵ ⑶ ⑷
A 稼働中オンライン
システムのテスト
プログラムロジッ
クの分析
プログラム変更の
検証
データの抽出

 

Q JIS Q 19011:2012における第二者監査に該当するものはどれか。

A 業務委託先である子会社へのシステム監査

 

Q システム監査で利用する統計的サンプリング法に関する記述のうち,適切なものはどれか。

A サンプルの抽出に無作為抽出法を用い,サンプルの評価結果に基づいて母集団に関する結論を出す場合に,確率論の考え方を用いる。

 

Q インシデントの究明やシステム監査にも利用できる,証拠を収集し保全する技法はどれか。

A ディジタルフォレンジックス

 

Q システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップとして,適切なものはどれか。

A 改善勧告に対する被監査部門の改善実施状況を確認する。

 

Q システムの開発,運用及び保守を担当者が1人だけで実施している企業におけるシステム監査に関する記述のうち,最も適切なものはどれか。

A システム改修時の利用部門による動作確認及び責任者による承認の実施状況を確認できる監査手続にする。

 

Q システム監査の手順に関する記述のうち,適切なものはどれか。

A 本調査の作業は,予備調査結果の確認,監査証拠の入手,証拠能力の評価の順に行う。

 

Q 個人情報取扱事業者に対する監査において,個人情報の第三者提供の観点から指摘事項に該当するものはどれか。

A フランチャイズの本部から加盟店に,顧客の個人情報を,本人の同意を得ずに渡した。

 

Q 人事給与システムのシステム監査において,勤怠データの入力漏れを発見するコントロールの評価項目として,適切なものはどれか。

A 入力された内容がプルーフリストとして出力され人事部の管理者が入力原票と照合を行っていること

 

Q システム監査の個別計画書の記載内容を説明したものはどれか。

A 個別計画書に記述される監査時期,監査日程には,本調査だけでなく,予備調査や監査結果の報告会,フォローアップも含める。

 

Q “システム監査基準”におけるシステム監査業務の品質管理の主な目的はどれか。

A システム監査結果の適正性を確保すること

 

Q “システム管理基準”で定めている,運用業務におけるソフトウェア管理に該当するものはどれか。

A プログラムの違法コピーが発生しないよう教育する。

 

Q 受注管理システムのデータ入力に対するシステム監査の報告書において,指摘事項に該当するものはどれか。

A 営業担当者が起票した受注伝票が,直接,受注入力担当者に送られ,受注入力担当者が伝票内容をシステムに入力し,その入力データによって出荷指示が自動的に行われている。

 

Q 経済産業省の“営業秘密管理指針”に基づく営業秘密データの管理状況について監査を行うとき,秘密管理性のチェックポイントはどれか。

A 当該データの記録媒体に秘密を意味する表示をしていること

 

Q 外部委託管理の監査に関する記述のうち,最も適切なものはどれか。

A 請負契約においては,委託側の事務所で作業を行っている受託側要員のアクセス管理が妥当かどうかを,委託側が監査できるように定める。

 

Q 監査調書に関する記述のうち,適切なものはどれか。

A 必要に応じて被監査部門から入手した証拠資料を添付して保管する。

 

Q 個人情報の取得に関して,JISQ15001における個人情報取得時の要求事項への準拠性を監査した。指摘事項に該当するものはどれか。

A Webサイトから注文するシステムにおいて,利用者が注文申込みボタンを押し,注文受付完了画面が表示された時点で,個人情報の利用目的を表示している。

 

Q A社のシステム開発課長の指揮監督下でB社のプログラマが開発業務を担当する状況において,監査報告書に記載された指摘事項として,適切なものはどれか。

A 派遣契約であり,B社のプログラマがA社の著作権を侵害した場合の措置に関する規定を設けておく必要がある。

 

Q 給与計算業務を外部に委託している場合に,受託会社が提供する業務における,委託会社の財務報告に関わる内部統制の有効性が,外部の監査人によって保証されていることを確認できるものはどれか。

A 特別民間法人日本公認会計士協会監査・保証実務委員会実務指針第86号に基づく保証報告書

 

Q 外部委託に関するシステム監査において,経営破綻などによってソフトウェア資産のメンテナンスが受けられなくなることを防ぐために確認すべき契約項目はどれか。

A ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項

 

Q “ソフトウェア管理ガイドライン”への準拠性を確かめることを目的とした監査はどれか。

A ソフトウェアの違法複製を防止・発見する対策事項の監査

 

Q ソフトウェアパッケージ購入に関する監査において監査人自身が行う手続として,最も適切なものはどれか。

A ソフトウェアパッケージに適合するハードウェア性能の検討が行われていることを確認する。

 

Q “JISQ27001:2006"の管理策を参考にして設定した,ノート型PCに対する物理的セキュリティ対策の妥当性を確かめるための監査手続はどれか。

A オフィス内を視察し,不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する。

 

Q システム監査の予備調査の段階で行う作業はどれか。

A 監査対象の実態把握

 

Q システム監査人が予備調査で実施する監査手続はどれか。

A 監査対象に対する被監査部門の管理者及び担当者のリスクの認識について,アンケート調査によって情報を収集する。

 

Q “システム監査基準”の一般基準に規定するシステム監査人の精神上の独立性はどれか。

A 偏向を排し,常に公正かつ客観的に監査判断を行う。

 

Q 情報システムのコントロールの評価を整備状況の評価と運用状況の評価に分けたとき,ユーザのシステムへのログインパスワード管理について,運用状況の評価に該当するものはどれか。

A パスワードを管理しているファイルから抽出したサンプルについて,パスワードの設定状況を確認する。

 

Q “システム管理基準”でいうシステムテストの総合テストで使用するテストデータの作成に対する監査項目はどれか。

A テストチームが,業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか。

 

Q “システム監査基準”における監査業務のうち,適切なものはどれか。

A 監査目的に応じた監査報告書を作成し,遅滞なく監査依頼者に提出する。

 

Q システム監査の実施手順のうち,適切なものはどれか。

A 監査目的の設定→監査対象業務の把握→監査手続書の作成→証拠の収集→コントロールの評価・結論

 

Q 情報システムの可監査性を説明したものはどれか。

A コントロールの有効性を監査できるように,情報システムが設計・運用されていること

 

Q “情報セキュリティ監査基準”の位置付けはどれか。

A 情報セキュリティ監査業務の品質を確保し,有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。

 

Q アクセス権限を管理しているシステムの利用者IDリストから,退職による権限喪失者が削除されていることを検証する手続として,最も適切なものはどれか。

A 人事発令簿の退職者の全件について,利用者IDリストから削除されていることを確認する。

 

Q データベースのインテグリティの維持に関する監査ポイントはどれか。

A データベースのデータに不具合が発生した場合の障害回復手段が組み込まれているかどうか。

 

Q “システム監査基準”の定める予備調査に関する記述のうち,適切なものはどれか。

A 本調査に先立って,監査対象業務の実態を把握するために行う調査である。

 

Q 情報システムの可用性監査において,システム障害報告書に基づき再発防止策の効果をレビューする手続として,適切なものはどれか。

A 前期及び当期の障害原因別の障害発生件数と停止時間の比較

 

Q “情報セキュリティ監査基準”における保証型監査と助言型監査に関する記述のうち,適切なものはどれか。

A 保証型監査とは,監査手続を実施した限りにおいて,監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査のことである。

 

Q 情報戦略についてのシステム監査を行う場合,優先して監査すべき事項はどれか。

A 経営戦略との整合性を考慮しているか。

 

Q システム監査技法の一つである並行シミュレーション法はどれか。

A 監査人が用意した検証用プログラムと監査対象プログラムに同一のデータを入力して,両者の実行結果を比較する方法

 

Q 金融庁の財務報告に係る内部統制報告制度におけるITに係る全般統制に該当するものはどれか。

A 外部委託に関する契約の管理

 

Q システム監査に関する記述のうち,適切なものはどれか。

A 公認会計士が任意の業務としてシステム監査を実施する場合がある。

 

Q 固定資産管理システムに係るIT全般統制として,最も適切なものはどれか。

A 会計基準や法人税法などの改正を調査した上で,システムの変更要件を定義し,承認を得る。

 

Q 金融庁“財務報告に係る内部統制の評価及び監査の基準(平成23年)”における,内部統制の基本的要素である“統制活動”はどれか。

A 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続である。

 

Q 経済産業省が平成19年に策定した“システム管理基準追補版(財務報告に係るIT統制ガイダンス)”では,IT統制をIT全社的統制,IT全般統制及びIT業務処理統制に区分している。IT統制のうち,IT業務処理統制に区分されるものはどれか。

A 購買データの入力が,入力管理ルールに基づいて漏れなく,重複なく,正確に行われることを確保する。

 

Q 債権管理システムから出力された債権残高の集計処理結果を用いて,経理部門が事後的に実施できる,債権残高に関する異常の有無の検証に有効な方法はどれか。

A スプレッドシートを用いた売掛債権回転期間の前年同期比較チェック

 

Q 金融庁“財務報告に係る内部統制の評価及び監査の基準(平成23年)”における内部統制に関係を有する者の役割と責任に関する記述のうち,適切なものはどれか。

A 監査役は,独立した立場から,内部統制の整備及び運用状況を監視,検証する。

 

Q 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準(平成23年)”において,“全社的な内部統制”としての“ITへの対応”に該当する評価項目はどれか。

A 経営者は,ITに関する適切な戦略,計画などを定めているか。

 

Q 内部統制として効果的な職務の分離の説明はどれか。

A 開発部門のプログラマが運用部門のオペレータを兼務しない。

 

Q 金融庁の“財務報告に係る内部統制の評価及び監査の基準”では,内部統制の基本的要素の一つとして“ITへの対応”を示している。“ITへの対応”に関する記述のうち,適切なものはどれか。

A IT環境への対応と,ITの利用及び統制からなる。

 

Q 内部統制の基本的要素の一つである“統制活動”に該当するものはどれか。

A 受注から出荷に至る業務プロセスに組み込まれた処理結果の検証

 

Q 情報システムに対する統制を全般統制と業務処理統制に分けたとき,業務処理統制に該当するものはどれか。

A 販売管理システムにおける入力データの正当性チェック機能

 

Q 金融庁の“財務報告に係る内部統制の評価及び監査の基準”における,内部統制の固有の限界に当たる事象はどれか。

A ITの新技術の導入によって,従来のコントロールが効かなくなる。

 

法務(問13〜15)

Q 不正競争防止法において,営業秘密を保有者から示された者が複製を行い,不正の利益を得ようとした場合,営業秘密侵害罪として刑事罰の対象となるのはどの時点からか。

A 営業秘密を複製した時点

 

Q プログラムの著作物について,著作権法上,適法である行為はどれか。

A 処理速度を向上させるために,購入したプログラムを改変した。

 

Q 法人が作成し,公開,発売したソフトウェアの著作権の権利期間は公開から何年か。

A 50

 

Q 職務著作の要件のうち,プログラムの著作物の場合は満たす必要がなく,プログラム以外の著作物の場合は必要なものはどれか。

A 法人等が自己の著作の名義の下に公表していること

 

Q 不正競争防止法で保護されるものはどれか。

A 秘密として管理している事業活動用の非公開の顧客名簿

 

Q 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき,著作権の原始的な帰属はどのようになるか。

A 請負の場合は発注先に,派遣の場合は派遣先に帰属する。

 

Q 刑法の電子計算機使用詐欺罪が適用される違法行為はどれか。

A インターネットを経由して銀行のシステムに虚偽の情報を与え,不正な振込や送金をさせる。

 

Q 電子署名法に規定されているものはどれか。

A 電子署名には,民事訴訟法における押印と同様の効力が認められている。

 

Q 個人情報保護法の中で規定された,個人情報の取扱いに関する不正行為に対して用意されている仕組みはどれか。

A 苦情処理の制度及び主務大臣が個人情報取扱事業者に対して行う報告の徴収,助言,勧告又は命令

 

Q 不正アクセス禁止法に照らして違法となる行為はどれか。

A 社内の正規利用者でない者が,不正に入手したID・パスワードを用いて,LAN経由でサーバにアクセスした。

 

Q 個人情報保護法で保護される個人情報の条件はどれか。

A 生存している個人に関する情報に限られる。

 

Q インターネットのショッピングサイトで,商品の広告をする際に,商品の販売価格,代金の支払時期及び支払方法,商品の引渡時期,売買契約の解除に関する事項などの表示を義務付けている法律はどれか。

A 特定商取引法

 

Q 下請業者から納品されたプログラムに,下請業者側の事情を原因とする重大なバグが発見され,プログラムの修正が必要となった。このとき,支払期日を改めて定めようとする場合,下請代金支払遅延等防止法上認められている期間(60日)の起算日はどれか。

A 修正済プログラムが納品された日

 

Q 常時10名以上の従業員を有するソフトウェア開発会社が,社内の情報セキュリティ管理を強化するために,機密情報を扱う担当従業員の扱いを見直すこととした。労働法に照らし,適切な行為はどれか。

A 就業規則に業務上知り得た秘密の漏えい禁止の一般的な規定があるが,担当従業員の職務に即して秘密の内容を特定する個別合意を行う。

 

Q 公益通報者保護法に定められているものはどれか。

A 派遣労働者は,派遣先企業の違法行為について通報を行うことができる。

 

Q プロジェクトマネージャのP氏は,A社から受託予定のソフトウェア開発を行うために,X社から一時的な要員派遣を受けることを検討している。労働者派遣法に照らして適切なものはどれか。

A 派遣者への業務指示など,派遣に伴う各種業務をP氏が直接行うことをX社に伝えた。

 

Q 販売管理システム開発を受注したA社が,不足する開発要員(プログラマ)をB社からの派遣によって補うことにした。派遣先であるA社の行為のうち,労働者派遣法に照らして適切なものはどれか。

A システム開発期間が長期になるので,B社から派遣されるプログラマの派遣期間を3年とする契約を結ぶ。

 

Q 製造物責任法(PL法)によれば,製造業者の責任に関する記述のうち,適切なものはどれか。

A 製造物を顧客に引き渡した時における科学又は技術に関する知見によっては,欠陥があることを認識できなかったことを証明できれば,その製造業者の損害賠償責任は問われない。

 

Q 製造物責任法(PL法)において,免責と規定されているものはどれか。

A 製造物を引き渡した時点の科学又は技術では欠陥を認識できなかった場合

 

Q 製造物責任法(PL法)において,製造物責任を問われる事例はどれか。

A 機器に組み込まれているROMに記録されたプログラムに瑕疵があったので,その機器の使用者に大けがをさせた。

 

Q 電子帳簿保存法の要件に反しない事実関係はどれか。

A 自社内に会計システムをもたない会社が,委託先会計事務所の電子計算機を用いて,取引の最初の記録から一貫して国税関係の帳簿を作成している。

 

Q ヨーロッパで運用されているCEマークを説明したものはどれか。

A 対象となる製品がEUの定める必須要求事項に適合していることを示している。

 

Q JIS Q 9001(ISO9001)で内部監査について規定していることはどれか。

A 内部監査では,品質マネジメントシステムの効果的な実施と維持及び規格要求事項への適合を確認する。

 

 

午後Ⅰ

 3問中2問を選択します。最近の出題テーマは次のようになっています。

期 問 テーマ
令和2年度
秋期
問1 デジタルトランスフォーメーション推進プロジェクトの監査
問2 システム監査計画
問3 システムの有効性の監査
平成31年度
春期
問1 RPA(Robotic Process Automation)システムの監査
問2 システムの開発計画の監査
問3 基幹システムのオープン化の監査
平成30年度
春期
問1 システムの投資対効果の検証制度を対象とした監査
問2 データ分析システムの監査
問3 販売管理システムの監査
平成29年度
春期
問1 在庫管理システム統合計画の監査
問2 システム開発における品質管理の適切性の監査
問3 制御ネットワーク及び制御システムの監査

 

午後Ⅱ

 2問中1問を選択します。最近の出題テーマは次のようになっています。

期 問 テーマ
令和2年度
秋期
問1 AI技術を利用したシステムの企画・開発に関する監査
問2 IT組織の役割・責任に関するシステム監査
平成31年度
春期
問1 IoTシステムの企画段階における監査
問2 情報セキュリティ関連規程の見直しに関するシステム監査
平成30年度
春期
問1 アジャイル型開発に関するシステム監査
問2 リスク評価の結果を利用したシステム監査計画の策定
平成29年度
春期
問1 情報システムに関する内部不正対策の監査
問2 情報システムの運用段階における情報セキュリティに関する監査