うんぼぼwiki - CISA - C1
  1. アプリケーションへのアクセスをとりあげ、直近の10枚の「新規ユーザー」申請書が正しく承認されているかどうかを検証している。これは準拠性テストである。
  2. 情報システム監査人の監査手続きと監査技法の選定は発見リスクに影響を与える。
  3. 特定の脅威に対する総合的なビジネスリスクは発生可能性とその影響度によって評価される。
  4. 実証性テストは、実際のプロセスにおける整合性を確認するものである。実証性テストでは、テープ・ライブラリの記録が正しく記入されているかどうかを検証する場合がある。
  5. リスクベース・アプローチは、最もリスクの高い分野に監査時間を費やすことを目指している。
  6. ソフトウェア利用及びライセンスの利用状況のレビューを実施した中で多くのPCに未承認のソフトウェアが含まれていることを発見した場合、被監査部門の管理職に報告し、再発防止を求める。
  7. 監査規定とは監査機能全体の権限、範囲および責任の枠組みを示すものである。
  8. フルリスク評価アプローチは所与のリスクレベルに応じた最適な保護レベルを決定する。
  9. 属性サンプリングはサンプリング・モデルであり、母集団からの特定の品質(属性)の出現レートを評価、見積もる為に使用され、またその品質が存在するか否かを確認する準拠性テストでも使われる。
  10. 電子メールは複数世代のバックアップが残っていて利用可能なため訴訟における証拠の有用なソースになってきた。
  11. 情報システム監査人がアプリケーション・システムの開発、購入、および、導入に積極的に参加している、または参加したならば、その独立性は損なわれるであろう。
  12. 継続的監査技法は、大量トランザクションを扱うタイム・シェアリング環境において使われた時には、十分な紙ベースの証跡は残さないが実際にシステムセキュリティを改善できる。
  13. 監査証跡を得ることは、システムを通じてトランザクションをトレースし、処理されたトランザクションについての説明責任と責務を確立することを助ける。
  14. いろいろな情報システムの利用に関連したリスクを評価する場合に、考慮すべき重要な要素の1つは、(情報システム)資産に影響を及ぼす脅威と脆弱性である。
  15. 監査計画を立てる場合、監査すべき分野を決定するために、最も高いリスクのある分野を識別することが重要である。
  16. CSA(コントロール自己評価)は、即座に注意が必要な、あるいは徹底したレビューが後日必要な、リスクの高い領域のレビューに基づくものである。
  17. 情報システム監査でのデータ収集範囲は、監査の範囲と目的に直接的に関連していなければならない。
  18. リスク評価は、監査業務の間に重要な項目が適切にカバーされるであろうという合理的な保証を提供するために実施される。この評価は、存在する重要な問題の相対的にリスクの高い領域について識別する。
  19. 複数の重要なサーバーの監査を行う際、想定され得るユーザーおよびシステムの異例処理を発見するために、監査証跡を分析したい。このような場合傾向/差異分析ツールを用いるのが最も適している。
  20. 従業員による企業ネットワークへの侵入の可能性を見極めている場合、周知のユーザーIDとパスワードの利用は、技術的な知識をほとんど必要とせず、ネットワーク資源を不正利用にさらす。技術的な障壁は低いので、その影響は非常に大きくなりうる。
  21. 調査のためにコンピュータ司法解析ソフトウェアを使う最も大きな利点は、電子的な証跡としての書類受け渡し記録管理の保存。
  22. インポートされたデータの完全性を確かめるため、インポートしたデータのコントロール・トータルとオリジナル・データのコントロール・トータルを照合することが次にふさわしいステップである。
  23. 汎用監査ソフトウェアは、数学的な計算、階層化、統計的分析、順序検索、重複検索、そして再計算の機能を持つ。情報システム監査人は、汎用監査ソフトウェアを用いて、適切なテストを計画して給与支払額の再計算を行うことができ、それによって過払いがあるかどうか、誰に対して過払いされたかを判定できる。
  24. 情報システムのセキュリティ監査において、情報システム監査人は文章によるセキュリティ手続きがないことに気づいた。情報システム監査人は(セキュリティに関する)実態を識別し評価する。
  25. 潜在的な脅威および起こりえる影響が識別されたときには、情報システム監査人にとって既存のコントロールおよびセキュリティを識別し評価することが重要である。
  26. 進入を報告しないことは、悪意のある進入を隠す情報システム監査人と等しく、プロフェッショナルとしての誤りである。
  27. 監査人にとって、通常最も信頼できる監査証拠は、独立した第三者機関から得られた証拠である。
  28. プロセス内の予防的、発見的、または定性的コントロールの集合的な効果を評価するとき、情報システム監査人はシステムを流れるデータ・フローに従ってコントロールが働いているポイントに気づいているべきである。
  29. 作業を実行している情報システムスタッフを観察する事により、情報システム監査人は彼らが実施している業務に矛盾が無いか否かが識別可能であり、インタビューすることにより、実行されている作業の全体像を把握することができる。観察とインタビューに基づいて、監査人は職務の分離を評価することができる。
  30. 顧客マスター・ファイルのレビューにおいて、情報システム監査人は、ファースト・ネームだけが異なる顧客数が数多く存在していることを発見した。重複の範囲を判別する為に情報システム監査人は住所フィールドの重複を検索する汎用監査ソフトウェアを使用する。
  31. プログラム変更をテストする為のサンプルを抽出する場合の最適な母集団は本番ライブラリのリストである。
  32. 統合テスト法が有益な監査ツールと考えられるのは、独立的に計算されたデータを同じプログラムで処理し比較するからである。
  33. データ・フロー・ダイアグラムは、データ・フローと保管のグラフ化または図表化を支援するもとのして使用される。始点から終点までデータをトレースして、データの経路と保管場所を強調する。
  34. 通常、外部ソースから得られた証拠は、組織内部から得られたものよりも信頼できる。受取勘定の残高を確認するために使用されたものなど、外部組織から受け取った確認書は、通常は十分信頼できる。
  35. 組織図は、組織における個人の職責と権限に関する情報を提供する。これは、適切な機能分離があるかどうかを情報システム監査人が知るのに役立つ。
  36. ネットワークOSのユーザー機能には、ネットワーク・ドキュメンテーションのオンライン可用性を含んでいる。他の機能として、ネットワークホストの様々なリソースへのユーザーアクセス、関連する資源へのアクセス許可、そして特別なユーザーの操作あるいはコマンドなしに使用されるネットワークとホストコンピュータへのアクセスがあり得る。
  37. プログラムドキュメントへのアクセスが、許可された人物のみに制限されているかどうかを確認したいとき、現在行われている管理方法をプログラマに尋ねるのが有益である。
  38. 統合テスト法は定期的なテストにおいて、個別のテスト処理プロセスを必要としない。
  39. 支払額算出システムに対する変更テスト結果を評価し、算出処理の50パーセントが、事前に得られた合計額と合わないことを発見した。この後の監査のステップとして誤った計算が発生したケースを検査し、結果を確かめるべきである。
  40. シュミレーション用トランザクションデータを作成し、予め想定した結果と処理結果を比較するのが、税計算の正確性を証明する最も良い方法である。
  41. アプリケーション・コントロールのレビューは、アプリケーションによる自動的なコントロールと、コントロールの弱点に起因するあらゆる脆弱性の評価を含む。
  42. 最終報告に検出事項を入れることは、一般に容認された監査慣行です。もし監査開始から終了するまでに何らかの措置がとられたら、監査報告書には検出事項を識別し、実行された是正措置を記載すべきである。
  43. 単独では軽微な弱点であっても、複合すると全体的なコントロール構造を大幅に弱める可能性を秘めている。
  44. リスクベースの監査計画を策定する際、リスクと脆弱性が理解されている事が重要である。これにより、監査すべき領域と保証の範囲が決まる。
  45. 発見事項の影響について被監査人が合意しない場合、情報システム監査人がそのリスクと影響について詳しく説明し、明らかにすることは重要である。
  46. CSA(コントロールセルフアセスメント)の成功は、ライン管理職がコントロールに対してどの程度責任を担っているかに依存する。
  47. 監査資源が組織に対して最大の価値を提供することを確実にするための、最初のステップは詳細なリスクアセスメントに基づく監査計画を策定することである。
  48. 在庫管理アプリケーションの監査において、発注が適切であることの最も良い証拠を提供するアプローチは、適切でない社員がアプリケーションのパラメータを変更できないかテストすることである。
  49. 予想エラー率や信頼度が与えられる場合、統計的サンプリングは客観的なサンプリング方法である。
  50. 監査フック法は、特定の取引を検査するためにアプリケーションシステムにコードを組み込むことである。これにより、情報システム監査人はエラーや異常が手におえなくなる前に行動することができる。
  51. ネットワーク監視コントロールの設計を評価する最初のステップは、ネットワークの文章化、特にトポロジー図の適切性をレビューすることである。
  52. 情報システム監査人がウィルスを発見した場合に最初にするべきことは、その組織に対してウィルスがいることを警告することである。
  53. 情報システム監査の計画段階における情報システム監査人の主要な目標は、監査目標に対処することである。
  54. 情報システム監査人は監査手続きを選択する際に、専門家としての判断を用いて十分な証拠が収集されることを確実にすべきである。
  55. テープライブラリの在庫記録が正確であることを検証する実証性テストは物理的な勘定である。
  56. コンピュータ犯罪の科学捜査の実施において、情報システム監査人が収集された証拠に関して最も懸念すべきことは保存である。
  57. 情報システム監査人の質問に対する回答が、文章化された手順や職務記述書によって確認されない場合、情報システム監査人はコントロールのテストの範囲を拡大し、追加の実証性テストを入れるべきである。
  58. 情報システム監査人が特定のベンダーを推奨すると、それは専門家としての独立性を損なう。
  59. 情報システム監査人が監査業務の予備段階で機能的ウォークスルーを行う理由は、業務プロセスを理解するためである。
  60. プログラム変更管理の評価過程において、情報システム監査人は、情報システム要員から情報を得ることなくソース・プログラムの変更を調べるため、ソースコード比較ソフトウェアを使用する。