説明
多くの責任が共有されている IT 組織で不正なデータ変更を検出するための最善のコントロールは、データ変更を別のグループに独立してレビューさせることです。これは、独立したレビューによってデータ変更の客観的かつ偏りのない検証が可能になり、データ変更が承認済みで正確かつ完全であることを保証できるためです。独立したレビューは、データ変更中に発生した可能性のあるエラー、詐欺、または悪意のあるアクティビティを検出するのにも役立ちます。独立したレビューは、データの整合性とセキュリティが維持されることを保証することもできます。参考資料:
CISA レビューマニュアル（デジタル版）、第 4 章、セクション 4.31
CISA オンラインレビューコース、ドメイン 1、モジュール 4、レッスン 22

説明/参照:
Explanation:
侵入テストに同意する前に、システム所有者は提案されたすべての項目を考慮する必要がありますが、最も重要なタスクは、すべてのシステムを元の状態に復元できるようにすることです。
テスト対象のシステムで作成および/または保存された情報は、これらのシステムから削除する必要があります。何らかの理由で侵入テストの終了時にこれが不可能な場合は、レポートを受け取った後にクライアントの技術スタッフがこれらのファイルを削除できるように、すべてのファイル (およびその場所) を技術レポートで特定する必要があります。

最初の連絡で解決された問題の割合は、初回連絡解決率 (FCR) とも呼ばれ、IT ヘルプ デスク サービスの有効性と効率性を測定する指標です。これは、フォローアップの電話、電子メール、チャット、エスカレーションを必要とせずに、IT ヘルプ デスクとの最初のやり取りで解決されたカスタマー サポートの問題の数を示します。FCR 率は、最初の連絡で解決された問題の数をカスタマー サポートの問題の総数で割り、100%1 を掛けて計算されます。
FCR 率は、IT ヘルプ デスク サービスの次の側面を反映するため、4 つの月次パフォーマンス メトリックの中でサービス品質の最適な指標となります。
* 顧客満足度: 応答を待ったり、複数のエージェントに問題を繰り返したりすることなく、最初の連絡で問題が迅速かつ効果的に解決されれば、顧客は IT ヘルプデスク サービスに満足する可能性が高くなります。FCR 率が高いと、顧客の忠誠心、維持率、支持率が向上します2。
* コスト効率: 最初の連絡で問題を解決することで、人件費、電話代、諸経費などの IT ヘルプデスク サービスの運用コストを削減できます。FCR 率が高いと、IT ヘルプデスク エージェントはより短時間でより多くの問題を処理できるため、生産性と利用率も向上します3。
* サービス レベル: 最初の連絡で問題を解決すると、平均処理時間 (AHT) の短縮、サービス レベル アグリーメント (SLA) のコンプライアンスの向上、未解決の問題のバックログの削減など、IT ヘルプ デスク サービスのサービス レベルが向上します。FCR 率が高いと、IT ヘルプ デスク サービスの評判と信頼性も高まります4。
したがって、情報システム監査人は、IT ヘルプデスク サービスの主要業績評価指標 (KPI) として FCR 率を確認し、それを業界標準やベンチマークと比較する必要があります。MetricNet のベンチマーク データベースによると、FCR の業界標準は 74 パーセントです。ただし、この数値は、最低で約 41 パーセント、最高で 94 パーセントまで大きく異なります5。情報システム監査人は、次のような FCR 率を向上させる方法も推奨する必要があります。
* ITヘルプデスクエージェントをトレーニングし、幅広い問題に対処し、正確で一貫したソリューションを提供できるように支援する
* 一般的な問題や単純な問題に関する関連性の高い最新情報やガイダンスを提供するナレッジベースまたはセルフサービスポータルを実装する
* 複雑な問題やエスカレートされた問題の解決に関与する可能性のあるさまざまな部門やチーム間のコミュニケーションとコラボレーションの改善
* フィードバックと分析ツールを使用して顧客満足度を監視および測定し、改善の余地を特定します。

新しいシステムの並列実行を実行する主な目的は、新しいシステムを以前のシステムと比較して検証することです。並列実行は、両方のシステムが同時に動作しながら、新しいシステムが古いシステムの役割を徐々に引き継ぐシステム切り替え戦略です。これにより、両方のシステムの結果と出力を比較して、新しいシステムが正しく確実に動作していることを確認できます。並列実行は、古いシステムが廃止される前に、新しいシステムのエラー、不一致、または矛盾を特定して解決するのにも役立ちます。
その他のオプションは、新しいシステムの並列実行を実行する主な目的ではありません。 A. エンド ユーザーとサポート スタッフに新しいシステムをトレーニングするため。トレーニングはシステム実装の重要な部分ですが、並列実行を実行する主な理由ではありません。トレーニングは、組織のニーズと好みに応じて、並列実行の前、実行中、または実行後に実行できます。 B. 新しいシステムが必要なビジネス機能を提供することを確認するため。新しいシステムのビジネス機能を確認することは、ユーザー受け入れテスト (UAT) の一部です。これは、新しいシステムがユーザーと利害関係者の仕様と期待を満たしているかどうかをテストする正式で構造化されたプロセスです。UAT は通常、システム変更の前提条件として、並列実行の前に実行されます。 C. 追加テストの必要性を減らすため。追加テストの必要性を減らすことは、並列実行を実行する主な目的ではなく、並列実行を行うことで得られる可能性のある利点または結果です。並列実行により、新しいシステムが実際の環境で徹底的にテストおよび検証されるようになり、後で大きな問題や欠陥が発生する可能性が低くなります。
ただし、ユーザーや関係者からのフィードバックや評価によっては、並行実行後に追加のテストが必要になる場合があります。
参考文献:
* ISACA、CISA レビューマニュアル、第 27 版、2019 年、p. 2471
* は