システム監査技術者試験【午後Ⅰ解説】H21 問1
1
ERPパッケージの特性及びその利用環境から抽出されるリスク、コントロール及び監査手続について回答。
問題文[ERPパッケージの概要](4)より「管理者用IDは1ライセンス(1ユーザ)の契約で使用している。」より担当者3名が同時に利用できないようにする必要がある。
そのためには(3)多重ログイン禁止の設定機能が正しく設定されていることを確認する必要がある点に着目し回答を導く。
2
問題点[ERPパッケージの概要](1)より初期インストール時以外にはDB用IDを使用して作業しなく済むという、ERPパッケージ特有の状況を踏まえて回答を導く。
また、すでに記載されている表1①コントロールより、パスワードが変更されている点に着目し回答を導く。
3
申請がされないと元の部署で権限が削除されないことを読み取って、有効期限の設定などの予防的コントロールの必要性に着目し回答を導く。
発見的コントロールよりも予防的コントロールの方がより確実にリスクを低減できることを理解する。
ex)
発見的コントロール:異動から一定期間経過し権限の棚卸を実施(異動者が引継ぎ期間を終了しても削除申請を提出しない場合を発見するコントロール)
予防的コントロール:異動者の元の所属部署での権限に期限を設定し、延長には申請が必要な手続きにする。(解答)
4
外部保管データからリカバリできないというリスクに対するコントロールについて言及し回答を導く。
問題文[周辺システムとの連携]「販売管理システムから日時で売上実績データを受け取る」に着目。
①図より点線がERPパッケージの範囲
②バックアップリカバリが可能な範囲はERPパッケージの範囲内
③図より販売管理システムから売上実績データを取得(ERPの範囲外)
④障害発生時にはERPパッケージの範囲内のデータをリカバリ可能だが外部システムからのデータは保全できない点に着目
ERPパッケージの特性及びその利用環境から抽出されるリスク、コントロール及び監査手続について回答。
問題文[ERPパッケージの概要](4)より「管理者用IDは1ライセンス(1ユーザ)の契約で使用している。」より担当者3名が同時に利用できないようにする必要がある。
そのためには(3)多重ログイン禁止の設定機能が正しく設定されていることを確認する必要がある点に着目し回答を導く。
2
問題点[ERPパッケージの概要](1)より初期インストール時以外にはDB用IDを使用して作業しなく済むという、ERPパッケージ特有の状況を踏まえて回答を導く。
また、すでに記載されている表1①コントロールより、パスワードが変更されている点に着目し回答を導く。
3
申請がされないと元の部署で権限が削除されないことを読み取って、有効期限の設定などの予防的コントロールの必要性に着目し回答を導く。
発見的コントロールよりも予防的コントロールの方がより確実にリスクを低減できることを理解する。
ex)
発見的コントロール:異動から一定期間経過し権限の棚卸を実施(異動者が引継ぎ期間を終了しても削除申請を提出しない場合を発見するコントロール)
予防的コントロール:異動者の元の所属部署での権限に期限を設定し、延長には申請が必要な手続きにする。(解答)
4
外部保管データからリカバリできないというリスクに対するコントロールについて言及し回答を導く。
問題文[周辺システムとの連携]「販売管理システムから日時で売上実績データを受け取る」に着目。
①図より点線がERPパッケージの範囲
②バックアップリカバリが可能な範囲はERPパッケージの範囲内
③図より販売管理システムから売上実績データを取得(ERPの範囲外)
④障害発生時にはERPパッケージの範囲内のデータをリカバリ可能だが外部システムからのデータは保全できない点に着目
この記事へのコメント