セクション: 情報資産の保護
Explanation:
プログラムに単一のIDとパスワードが埋め込まれている場合、最善の補償制御は、アプリケーション層全体にわたる適切なアクセス制御と、ユーザーの役割に基づいてデータへのアクセスを許可する手順です。問題は認証ではなくユーザー権限であるため、より強力な認証を追加しても状況は改善されません。ユーザーにIDとパスワードを入力してアクセスさせる方が、データベースログによってアクティビティの開始者が識別されるため、より優れた制御が可能になります。ただし、各トランザクションに個別の認証プロセスが必要になるため、効率的ではない可能性があります。パスワードには有効期限を設定することをお勧めします。ただし、プログラムから自動的にログインするIDの場合は、これは現実的ではない可能性があります。多くの場合、この種のパスワードは無期限に設定されます。

来年度の情報システム監査実施項目を決定する主な根拠は、組織リスク評価です。組織リスク評価とは、組織の目標達成に影響を与える可能性のあるリスクを特定、評価、および管理するための正式なプロセスです3。組織リスク評価は、情報システム監査人が組織内の各領域またはプロセスのリスクエクスポージャーと影響度に基づいて、監査活動の優先順位付けと計画を行うのに役立ちます。また、組織リスク評価は、情報システム監査人が監査目標と基準を組織の戦略および業績指標と整合させるのにも役立ちます。上級経営陣の要請、前年度の監査結果、過去の監査対象範囲と監査範囲も、来年度の情報システム監査実施項目を決定する根拠となり得ますが、組織リスク評価ほど主要なものではありません。これらの要素は、経営陣や過去の監査で特定された具体的なニーズや課題に基づいて、情報システム監査人が監査計画を精緻化または調整するのに役立つ、より二次的または補足的な情報源です。しかし、これらの要素は、組織の業務や業績に影響を与える可能性のある現在または新たなリスクを反映していない可能性があります。参考文献：ISACA CISAレビューマニュアル第27版、295ページ

職務分離の最大の衝突は、関連業務を遂行する担当者が購買依頼と発注書の承認権限も有している場合に発生します。これは、これら2つの業務が直接関連し、金銭取引を伴うためです。同一人物が両方の業務を担当すると、不正やミスが発生する可能性が高くなります12。例えば、個人が個人的なニーズのために発注書を承認した後、その支払いも承認してしまうと、会社の資金の不正使用につながる可能性があります12。
参考文献:
* 職務の分離：役割、義務、違反の例 - Pathlock
* 購買プロセスにおける機能と購買業務の分離方法

セクション: 情報資産の保護
Explanation:
自動コード比較とは、同じプログラムの2つのバージョンを比較するプロセスです。
両者が一致するかどうかを判断します。これは自動化された手順であるため、効率的な手法です。
テストデータの実行により、監査人は事前に選択されたトランザクションの処理を検証できますが、
プログラムの未実行部分に関する証拠。コードレビューとは、プログラムのソースコードを読むプロセスである。
コードリストは、コードに潜在的なエラーや非効率的な文が含まれているかどうかを判断します。コード
レビューはコード比較の手段として使用できますが、非効率的です。コード移行のレビュー
手順ではプログラムの変更を検出できません。