問題一覧
1
A1-1.組織の内部監査部門によって、ある情報システムの継続的監査用のスクリプトが作成された。IT部門から、主なシステムの継続的モニタリングプロセスをセットアップするために、スクリプトのコピーが要求された。IT部門にこれらのスクリプトを共有することは、情報システム監査人が独立的かつ客観的にIT部門の監査を行うことに影響はあるか?
C.IT部門が、スクリプトがカバーしていない分野に対して監査が行われる可能性があることを承知している限り、スクリプトの共有は許容される。
2
A1-2.情報システムコンプライアンス監査の計画段階で、必要なデータ収集範囲を決定するための最適な要素は次のどれか?
C.監査の目的、目標および範囲
3
A1-3.情報システム監査人が新しいシステムを含む環境の監査計画を作成している。その組織の経営陣は、情報システム監査人に最近導入したシステムに重点を置いてほしいと考えている。情報システム監査人はどのように対応すべきか?
C.リスクが最も高いシステムを特定し、それに応じて計画を立てる。
4
A1-4.情報システム監査人は、重要なウェブベースシステムのセキュリティコントロールを、その導入に先立ち監査している。侵入テストの結果の結論が出ず、導入前に最終結果を出すことができない。情報システム監査人にとって最善のオプションは次のどれか?
A.利用できる情報を元に、潜在的なセキュリティの弱点および該当するフォローアップの監査テストの要件を強調した報告書を公表する。
5
A1-5.職務の分離が適切に行えない環境において、情報システム監査人は次のどのコントロールを探すべきか。
D.補完的コントロール
6
A1-6.コントロール・セルフ・アセスメント(CSA)の主な利点とは次のどれか?
A.経営陣のビジネス目標をサポートする内部統制のオーナーシップが補強される。
7
A1-7.データマイニングと監査ソフトウェアツールが満たすべき第一要件は何か。ソフトウェアツールが満たすべき要件:
B.過度のパフォーマンス問題を生じさせずに組織のシステムからデータを正確に取り込む。
8
A1-8.高度な専門知識と幅広い管理職経験を有する、勤続年数の長いIT従業員が情報システム監査部門の空きポストに志願した。この職務にこの人物を雇用するか判定するに際し、第一に基準にすべきは、この人物の経験と次のどの要素であるか。
D.情報システム監査人として既存のIT部門との関係から独立する能力。
9
A1-9.多くの取引を行う小売業務による緊急リスクへの積極的対処に対して、最も適切な監査技法は次のどれか?
D.継続的な監査
10
A1-10.情報システム監査人が、最近追加されたアカウントが適切に権限付与されているかを識別するためにアプリケーションへのアクセス履歴を調べている。これは次のどれに当てはまるか。
C.準拠性テスト
11
A1-11.情報システム監査人の判断および行動は、次のどのタイプのリスクに影響を与える可能性が最も高いか?
B.発見リスク
12
A1-12.情報システム監査を計画するにあたり、最も重要なステップは次のどれか?
D.リスクアセスメントを実施する
13
A1-13.情報システム監査人は、サービス指向型アーキテクチャの原則に基づいて開発されたソフトウェアアプリケーションをレビューしている。一番最初のステップは次のどれか?
A.サービスリポジトリのドキュメントをレビューし、サービスおよびそのビジネスプロセスへの割り当てを理解すること。
14
A1-14.情報システム監査人がソフトウェアの使用およびライセンスをレビューしていると、複数のPCに許可されていないソフトウェアがインストールされていることを発見した。情報システム監査人が行うべきことは次のどれか。
C.許可されていないソフトウェアの使用、および再発を防ぐ必要性を報告する。
15
A1-15.監査規定では、次の項目を義務付けるべきである。
D.監査機能全体の権限、範囲および役割の要点を記述する。
16
A1-16.情報システム監査人は、通常の事前定義されたワークフローのステップおよびエスカレーションルールの過程で、管理者から認可されていない少数のアクセス要求を発見した。情報システム監査人が行うべきことを次の中から選びなさい。
A.追加分析を行う。
17
A1-17.準拠性をテストする際に最も有益なサンプリング方法は次のどれか?
A.属性サンプリング
18
A1-18.リモートシステム用のプログラム変更依頼をテストしている際に、情報システム監査人はサンプリングに対して利用できる変更の数が適切な保証レベルを確保しないことを発見した。情報システム監査人が取るべき最も適切な行動は次のどれか?
A.代替テスト手順を開発する。
19
A1-19.情報システム監査人の独立性を損ねる可能性がある状況は次のどれか?情報システム監査人が:
A.アプリケーションの開発時に特定の機能を導入した。
20
A1-20.継続的監査アプローチの第一の利点は次のどれか?
B.情報システム監査人がタイムリーに監査に関する問題をレビューおよびフォローアップできること。
21
A1-21.品質保証チームの独立性を損ないかねないものは次のどれか?
C.テストプロセス中にコーディングエラーを正すこと
22
A1-22.情報システム監査を計画する中で、最も重要なステップは次のどれを識別することであるか?
A.重大なリスクのある領域
23
A1-23.コントロールの運用上の有効性がトランザクション処理に正確に適用されているか判断する際、最も効率的な監査実践手法は次のどれか?
B.実証性テスト
24
A1-24.情報システム監査時に収集されるデータの範囲は、次のどれによって決定されるべきか?
D.実行中の監査の目的および範囲
25
A1-25.情報システム監査の計画中にリスクアセスメントを行うのは、次のどれを提供するためであるか。
A.監査が重要な項目をカバーするという合理的な保証
26
A1-26.共有ユーザーアカウントを見つけた場合、情報システム監査人が取るべき最も適切な行動は次のどれか?
C.発見事項を文書化し、共有IDの使用のリスクを説明する。
27
A1-27.情報システム監査人は、コントロールが経営陣のポリシーおよび手順をサポートしているかどうか識別するために準拠性テストを行っている。このテストは、情報システム監査人が何を判断することに役立つか。
B.コントロールがデザインされた通りに運用されていること
28
A1-28.人事部のバイスプレジデントが、情報システム監査で前年の給与過払いを識別するよう要求している。この状況において最良の監査技法は次のどれか?
B.汎用監査ソフトウェア
29
A1-29.ITプロセスのセキュリティ監査時、情報システム監査人は文書化されたセキュリティ手順が存在しないことに気が付いた。情報システム監査人が行うべきことを次の中から選びなさい。
D.既存実践手法を識別し評価する。
30
A1-30.リスク分析中、情報システム監査人は脅威および潜在的な影響を発見した。情報システム監査人が次に行うべき行動はどれか?
D.既存コントロールを識別し評価する。
31
A1-31.一般的に、情報システム監査人にとって最も信頼性の高い証拠は次のどれか?
A.口座残高を確認する第三者から受け取った確認書
32
A1-32.プロセス内の予防的、発見的および是正的コントロールの集合効果の評価時、情報システム監査人は次のどれを承知していなければならないか?
A.システム内でデータが送受信される際に、コントロールが実施されるポイント。
33
A1-33.情報システム部門において、職務の分離に関する最良の証拠を提供できるのは次のどの監査技法であるか。
C.観察とインタビュー
34
A1-34.組織の災害復旧計画プロセスを確認した後、情報システム監査人は結果を話し合うために組織の経営者とのミーティングを要請した。このミーティングの主な目的を最もよく表しているのは次のどれか?
B.発見事項の事実の正確性を確認する。
35
A1-35.情報システム監査人は、オンライン電子送金システムの照合手順のレビューに次のどれが含まれることを保証するべきか。
D.トレース
36
A1-36.情報システム監査人が、システム構成レビューを実行している。現在のシステム構成設定を支援する上で、最善の証拠は次のどれか?
B.情報システム監査人によってシステムから読み出された構成値が記載されている標準報告書
37
A1-37.金融取引の電子データ交換通信における金額フィールドのチェックサムの目的は、次のどれを保証することであるか。
A.整合性
38
A1-38.情報システム監査人が最も信頼できる証拠の種類は次のどれか?
B.外部の情報システム監査人によって実行されたテスト結果
39
A1-40.情報システム監査人は、システムによって生成された例外事項報告書のレビューを含むコントロールを検証している。コントロールの有効性を示す最善の証拠は次のどれか?
C.レビュー期間にシステムによって生成された例外事項報告書のサンプル(レビューアーに指摘されたフォローアップ措置の項目を含む)
40
A1-39.電子データ交換(EDI)をレビューしている際に不正なトランザクションを発見した情報システム監査人は、次のどれを改善することを提案する可能性が最も高いか。
C.メッセージを送受信するための認証技術
41
A1-41.ある会社では先頃、電子データ交換(EDI)伝送を取り入れるために、購買システムをアップグレードした。効率的なデータマッピングを実現するために、EDIインターフェイスに導入すべきコントロールは次のどれか?
D.機能的受領通知
42
A1-42.ベンダーに対して発行した発注書が承認マトリックスに従って承認されたかどうかの判定に最も効果的なのは、次のどのサンプリング法か?
C.属性サンプリング
43
A1-43.システムの税計算の正確さを確認するための最も良い方法はどれか。
C.事前定義された結果を処理および比較するために模擬取引を準備する。
44
A1-44.アプリケーション・コントロールのレビューを行う情報システム監査人が評価しなければならないものとは次のどれか?
B.発見されたリスクの影響
45
A1-45.報告対象となる発見事項を識別した後、被監査人によって直ちに是正処置が行われた。情報システム監査人が行うべきことを次の中から選びなさい。
A.情報システム監査人は、すべての発見事項の正確な報告をする義務があるため、発見事項を最終報告書に記載する。
46
A1-46.内部の情報システム監査チームが売上返品に関するコントロールを監査しており、不正を懸念している。監査人にとって最も役立つのは、次のどのサンプリング法か?
C.発見抽出法
47
A1-47.リスクベースの監査戦略を開発する際、情報システム監査人は次のどれを保証するためにリスクアセスメントを行うべきであるか?
B.脆弱性および脅威が識別されている。
48
A1-48.退職者面接の際に発見事項の影響に関する不一致がある場合、情報システム監査人は次のどの対応を取るべきか?
B.発見事項およびそれが訂正されないリスクの重要性を説明する。
49
A1-49.監査資源が組織に最高の価値を提供することを保証するため、監査プロジェクトで行わなければならない最初のステップは次のどれか?
C.詳細なリスクアセスメントに基づいて監査計画を立てる。
50
A1-50.監査の発見事項に関し部門長と論議が生じた際に、情報システム監査人が最初に取るべき措置は次のどれか?
D.監査結果を補強する証拠を再検証する。
51
A1-51.情報システム監査人は、次のどの状況において判断(非統計的)サンプリングではなく統計的サンプリングを使用するべきか?
A.エラーの確率を客観的に定量化する必要がある場合。
52
A1-52.外部委託したリモートアクセスのモニタリングプロセスが不十分で、侵入検知システム(IDS)とファイアウォールが整備されていることを理由に経営陣と意見が合わない場合、情報システム監査人が取るべき最も適切な行動は次のどれか?
D.特定された発見事項を監査報告書に記載する。
53
A1-53.ある組織は、銀行を介して毎週の給与を処理している。タイムシートと給与調整フォーム(時給の変更や契約解除など)が作成、銀行に送付され、銀行は配布のための小切手およびレポートを準備する。給与データの正確性を保証するのに最適なのは次のどれか?
A.給与レポートを入力フォームと比較する必要がある。
54
A1-54.電子データ交換(EDI)環境において、次のどれに最も重大な潜在的リスクが存在するか。
A.トランザクション権限の欠如
55
A1-55.情報システム監査の計画段階における情報システム監査人の主要目標は次のどれか?
A.監査の目的に対処する。
56
A1-56.監査手続を選択する際に、情報システム監査人は次のどれを確実にするために専門家としての判断を適用するべきか?
A.十分な証拠を収集すること
57
A1-57.テープライブラリのインベントリ記録が正確であるか検証するための実証性テストは次のどれか?
C.テープインベントリの物理的数を数える。
58
A1-58.電子データ交換アプリケーションで受領した注文の真正性を確認するための適切なコントロールは次のどれか?
C.送信者の身元を確認し、注文が契約条件に一致するか判断する。
59
A1-59.給与担当事務員との面談の際、情報システム監査人は事務員が職務記述書および手順書を遵守していないことに気が付いた。この場合に情報システム監査人が行うべきことを次の中から選びなさい。
B.実証性テストを含めるために範囲を拡大する。
60
A1-60.外部の情報システム監査人は、周辺ネットワークゲートウェイにおいてファイアウォール保護機能が存在しないことを指摘する監査報告を提出し、この脆弱性に対処するために特定ベンダー製品を推奨した。情報システム監査人に欠けているものは次のどれか?
A.専門家としての独立性
61
A1-61.監査の事前段階において、情報システム監査人が機能ウォークスルーを行う第一の理由とは?
A.ビジネスプロセスを理解するため。
62
A1-62.プログラム変更コントロールの評価中に、情報システム監査人がソースコードの比較ソフトウェアを使用する理由とは?
A.情報システムスタッフからの情報なしでソースプログラムの変更を調べることができるため。
63
A1-63.レビューを正式に終結させる前に、被監査人とミーティングを行う主な目的とは次のどれか?
B.発見事項に対する同意を得るため。
64
A1-64.承認されたプログラムアップデートが最後に行われてから、無許可のプログラム変更があったかどうかを情報システム監査人が判断することに最も役立つ監査技法は次のどれか?
C.自動コード比較
65
A1-65.監査報告書を作成する際、情報システム監査人は次のどの要素を利用して結果を裏付けるべきであるか。
D.十分かつ適切な監査証拠
66
A1-66.組織のソフトウェア開発実践手法を評価する際に、情報システム監査人は品質保証(QA)部門がプロジェクトマネジメントの直属であることに気付いた。情報システム監査人にとって、最も重要な懸念事項は次のどれか?
A.QA部門はプロジェクトマネジメントおよびユーザーマネジメントの間で対話する必要があるため、QA部門の有効性。
67
A1-68.情報システム監査人は、機密電子書類をレビューしている際に当該書類が暗号化されていないことに気付いた。これは次のどの要素が危険にさらされることになるか。
D.書類の機密性
68
A1-67.監査報告書に重大な結果を記載する最終決定は、次のどの人物によって下されるべきか。
C.情報システム監査人
69
A1-69.情報システム監査人が十分かつ適切な監査証拠を得るべき最も重要な理由は次のどれか?
B.妥当な結論を引き出すための根拠を提供するため。
70
A1-70.初動調査後、情報システム監査人は不正が存在すると考えられる根拠を得た。情報システム監査人が行うべきことを次の中から選びなさい。
A.調査が正当であるか判定するために活動を広げる。
71
A1-71.情報システム監査人は主要な金融システムへのログインプロセスの失敗が自動的にログに記録されており、ログが組織によって1年間保管されていることに気付いた。このログは次のいずれに該当するか。
C.十分なコントロールではない
72
A1-72.組織の情報システム監査規定では、次のどの事項を指定すべきであるか。
D.情報システム監査機能の役割
73
A1-73.情報システム監査人が請求書マスタファイル内で請求書の重複を検出するために使用すべき方法は次のどれか?
B.コンピュータ支援監査技法
74
A1-74.リスク管理プログラムの開発において、最初に行うべきアクティビティとは次のどれか?
C.資産の棚卸し
75
A1-75.電子データ交換(EDI)アプリケーションのコントロールを評価する際に、情報システム監査人は主にどのようなリスクに関心を持つべきか?
C.不適切なトランザクションの承認
76
A1-76.さまざまなソフトウェア環境から関連監査証拠を収集するため、情報システム監査人がデジタルデータにアクセスして分析する際、最も役に立つのは次のどれか?
D.コンピュータ支援監査技法
77
A1-77.特定ユーザーに例外事項を認めないことを確実にするための自動化された請求書承認コントロールをテストする際、次のサンプリング方法のどれが最も適切であるか?
C.層化ランダムサンプリング
78
A1-78.組織の業務継続計画(BCP)の設計に関わった情報システム監査人が、その計画の監査に抜擢された。情報システム監査人が行うべきことを次の中から選びなさい。
D.監査開始前に監査管理者に潜在的な利益相反について通知する。
79
A1-79.ITフォレンジック監査の主な目的は次のどれか?
B.システムで不法行為が行われた後の系統的な収集と分析。
80
A1-80.情報システム監査人が、リモートで管理されているサーバーの1日分のログを見直したところ、ログインに失敗し、バックアップの再開が確認できないケースが1件あることに気付いた。情報システム監査人は何を行うべきであるか。
D.レビューしたログのサンプル範囲を拡大する。
81
A1-81.小規模な組織では、リリースマネージャーとアプリケーション・プログラマーの役割は同じ従業員が担う。この状況における最善の補完的コントロールは何か?
D.承認されたプログラム変更のみが導入されていることを検証する。
82
A1-82.リスクベース監査のためのITリスクアセスメントにおいて、最初のステップは次のどれか?
D.ビジネス、その運用モデル、主要プロセスを理解する。
83
A1-83.情報システム監査人は、ネットワークに接続されている複数の機器が監査範囲の策定に使用されたネットワーク図に記されていないことを発見した。最高情報責任者は、図は更新中であり、最終承認を待っていると説明している。情報システム監査人が最初にすべき行動は次のどれか?
B.文書化されていない機器の監査範囲に対する影響を評価する。
84
A1-84.情報システム監査人は、大型の財務システムへの従業員のアクセスをテストしており、被監査人が提供する現在の従業員リストからサンプルを選択した。テストをサポートするために最も信頼性が高い証拠は次のどれか?
C.システムが生成するアクセスレベルが記載されたアカウントのリスト
85
A1-85.小規模な銀行の準拠性を監査する際、情報システム監査人は、財務システムの同一ユーザーが、IT機能と会計機能を実行していることに気づいた。ユーザーの監督者が実施する以下のレビューのうち、最良の補完的コントロールと言えるのはどれか?
D.個々のトランザクションを示すコンピュータログファイル
86
A1-86.あるシステム開発者が監査部門へ異動になり、IT監査人になる。この従業員が本番システムをレビューするとき、最も重要な懸念は次のどれであるか?
A.作業が自己監査とみなされる可能性があること。
87
A1-87.被監査人と情報システム監査人が、監査結果について議論することの目的を最もよく表しているのは、以下のどれか?
C.発見事項を確認し、一連の是正処置を提案する。
88
A1-88.リスク管理プロセスをレビューするとき、情報システム監査人の独立性が最も損なわれやすいのは、以下のどの責任を負ったときか?
A.リスク管理フレームワークの設計への参加
89
A1-89.監査プログラムの初期段階で監査の目的が確立されていない場合、最大の懸念は次のどれか?
C.重要な業務上のリスクが見落とされる可能性があること。
90
A1-90.情報システム監査人は、ユーザーやシステムの動作の潜在的な異常を発見するために、重要なサーバー上の監査証跡を分析しようとしている。以下のどれがそのタスクを実行するのに最も適しているか?
C.傾向/変化検出ツール
91
A1-91.会計アプリケーションの内部データインテグリティ・コントロールの監査を行う際に、情報システム監査人は会計アプリケーションを支援する変更管理ソフトウェアにおける重大なコントロール欠陥を特定した。情報システム監査人が講じる最も適切な処置を答えよ。
C.会計アプリケーション・コントロールのテストを続け、欠陥を最終報告書の中で言及する。
92
A1-92.ビジネスアプリケーションシステムにおける、キーコントロールの重複を最も首尾よく特定するのは以下のどれか?
C.手動モニタリングの自動監査ソリューションへの置き換え
93
A1-93.リスク分析を行う際、情報システム監査人が最初に行う必要があることを次の中から選びなさい。
B.組織の情報資産を識別する。
94
A1-94.発見事項を識別したら、情報システム監査人が最初に行う必要があることを次の中から選びなさい。
A.発見事項に対する同意を得る。
95
A1-95.組織がコントロール・セルフ・アセスメント(CSA)技法を採用する主な利点とは次のどれか?
A.後で詳細なレビューが必要となるかもしれない高リスク領域を識別することができる。
96
A1-96.年次内部情報システム監査計画におけるリスクを格付けする前に行うべき最初のステップとは次のどれか?
B.監査領域を定義する。
97
A1-97.サイバーセキュリティの導入をレビューしている情報システム監査人にとって、利益相反とみなされる可能性が最も高い行動は次のどれか?
B.サイバーセキュリティコントロールの整備
98
A1-98.情報システム監査人が監査すべきビジネスプロセスを特定した。情報システム監査人が次に識別すべき事項とは次のどれか?
D.コントロール目標とアクティビティ
99
A1-99.情報システム監査の範囲と目的について計画を立てる際、次のどの影響を優先すべきか?
A.適用される法的要件
100
A1-100.外部の情報システム監査人は、監査範囲内のシステムが同僚の監査人によって導入されたことに気付いた。そうした状況の中、情報システム監査管理者がすべきことを次の中から選びなさい。
C.クライアントにこの問題を開示する。