システム監査技術者試験 午後Ⅰ 問題の対策
平成21年度 春期 以降,システム監査技術者試験 午後Ⅰ 問題に出題されたテーマをまとめています。
- 試験時間:12:30 ~ 14:00(1 時間 30 分)
- 問題番号:問 1 ~ 問 3(平成26年度 春期以降,平成25年度 春期までは問 1 ~ 問 4)
- 選択方法:2 問選択
令和6年度 秋期
問1 DevOps を適用したシステム開発・運用の監査
問2 システム監査報告書の作成
問3 IT サービス管理システムの監査
令和5年度 秋期
問1 クレジットカード情報保護の監査
カード情報の窃取や不正利用の手口は巧妙化しており,情報セキュリティ対策もそれに適したものにする必要がある。このため,非保持化を実施した EC サイトにおいても,新たな脅威への警戒と情報セキュリティ対策への継続的な取組が求められている。
本問では,EC サイトにおけるクレジットカード情報の保護を題材として,カード情報の漏えい対策を含めた情報セキュリティに関する知識,EC サイト運用に伴うリスクを識別する能力,及びコントロールの有効性を検証するために必要な監査証拠を含めて,適用すべき監査手続を選択する能力を問う。
問2 ローコード/ノーコード開発ツールを利用したシステム開発の監査
システム開発の生産性向上や納期の短縮を目的としてローコード/ノーコード開発を採用する組織が増えてきている。しかし,開発手法の標準化や管理ルールを明確に定めずに導入を進めると,あまり利用されないシステムが増えたり,開発手法や開発ツールが乱立して管理不能になったりするといったリスクがある。
本問では,ローコード/ノーコード開発ツールを利用したシステム開発を題材として,システム監査人として,開発手法の特性,長所・短所を理解し,開発業務を監査する場合の監査手続を設定する能力を問う。
問3 人材管理システムの監査
人材管理は企業における重要な業務であり,人材管理システムは大きな役割を担っている。企業活動のグローバル化に伴って,職務に基づいた人材管理への転換や,人的資本管理への対応などが進み,人材管理システムは,より重要になってきている。
本問では,人材管理システムを題材として,人材管理業務の有効かつ効率的な運用を目的として再構築されたシステムの有効活用とそれに伴って新たに生じた課題やリスクを理解し,システム監査を実施する能力を問う。
令和4年度 秋期
問1 個人情報保護の監査
令和4年4月の改正個人情報保護法の施行によって,個人情報の保護に関する国際的動向及び情報通信技術の進展を踏まえ,個人情報を活用した新たな産業の創出及び発展への対応が図られることになった。事業者は,法改正による恩恵を受ける一方で,法改正への適切な対応が必要となる。
本問では,システム監査人に必要な,個人情報の活用に伴って発生するリスクの知識,リスクの程度に応じたコントロールを識別する能力,それらのコントロールの有効性を検証するために必要な監査手続と監査証拠を選択する能力を問う。
問2 ワークフローに関わるシステムの監査
近年,感染症対策としてリモートワークが増加したが,申請書等への押印や署名が必要なために出社せざるを得ない場合が多くあることも明らかになった。そこで企業などにおいて,申請書等を見直す取組が行われるようになったが,その取組においては,表面的に押印や署名を不要とするだけで,業務の見直しが十分に行われていない場合もみられる。
本問では,システム監査人として,本来の取組の趣旨に沿って,必要な業務の見直しが行われているかどうかを見極めた上で監査が行える能力を問う。
問3 システム運用業務の監査
運用業務で事故が発生すると業務に多大な影響を与える場合があり,システム運用業務を外部委託した場合でも,委託元企業は,委託先の運用業務のサービスレベルや作業手順,障害発生の状況や再発防止策を十分に把握する必要がある。委託先に任せっきりにならないように,自らの責任において対策の検討,推進を実行することが大切である。
本問では,システム監査人として,システムの運用業務を外部委託した場合のリスクを把握し,リスクを軽減するためのコントロール,マネジメント,ガバナンスの構築及び運用,並びにそれらを監査する場合の着眼点や監査手続を理解して監査を実施する能力を問う。
令和3年度 秋期
問1 チャットボット開発の企画段階における監査
AI に関する技術開発が急速に進む中,企業は AI の利活用による便益を増進させるとともに,AI の利活用から生じるリスクを抑制する必要がある。また,AI を導入するに当たって,導入目的や効果の検討,学習と評価,テスト,リスク,コントロールなどを留意する必要がある。
本問では,チャットボット開発の企画段階の監査を題材として,AI のもつ特性,AI を利用したシステムの開発段階におけるリスク及びコントロールを理解し,コントロールの適切性を確認するための監査手続を選択して監査を実施する能力を問う。
問2 システム再構築プロジェクトの企画段階の監査
情報システムのハードウェアの老朽化や OS のサポート切れなどの課題を契機として,システムの再構築に取り組むことはどの組織でも起こり得る。再構築計画においては,どのような技術を採用するか,どのようなハードウェアやサービスを選択するか,既存の資産をどこまで活用するかなど,検討すべき項目は多岐に渡る。そのため,検討に当たっては,関連する部門は何らかの形で参画する必要がある。
本問では,システム再構築プロジェクトの企画段階の監査を題材として,システムの企画段階でのリスク及びコントロールを理解し,コントロールの適切性を確認するための監査手続を選択して監査を実施する能力を問う。
問3 結合テストの監査
長期間使用してきた基幹システムのシステム再構築プロジェクトでは,新規のシステム開発のノウハウやプロジェクト管理のノウハウがシステム部門に乏しいケースが多い。その結果,外部委託先に開発作業を丸投げし,システム再構築プロジェクトが迷走することで,システムの稼働時期が延期したり,コストが大幅に超過したりするケースが発生している。
本問では,システム再構築プロジェクトの結合テストの監査を題材として,システム開発を外部委託している場合の結合テスト完了評価に対する監査の観点,運用すべき監査手続の知識と立案能力を問う。
令和2年度 10月
問1 デジタルトランスフォーメーション推進プロジェクトの監査
DX(デジタルトランスフォーメーション)への取組みが,企業の経営において重要となっている。IoT,AI などの技術を何らかの形で活用し始めている企業も多い。一方で,DX を推進する上では,既存システムの老朽化,人材の不足,推進体制・ルールの整備など,様々な課題に直面することもある。そのような課題への対処が十分でない場合は,DX に取り組んでいながら,経営に寄与する十分な成果を得られないリスクがある。DX の推進状況を監査する場合には,そのような DX 推進におけるリスクへの対処ができているかを見極めることが重要となる。
本問では,DX 推進の課題とリスクを理解した上で,必要なコントロールを想定し,監査ポイントと監査手続を設定する能力を問う。
問2 システム監査計画
システム監査人は,経営に寄与するという目的に沿ったシステム監査中長期計画,年度計画,個別計画を策定し,実施することが求められる。また,監査対象や監査テーマの選定,監査の実施体制や役割,監査手続などを計画する上で,常に最新の技術動向,経営方針,社内の環境などを視野に入れながら,これらの計画を策定する必要がある。さらに,計画的な採用・異動などで監査部門の人材を補強するとともに,要員の計画やリソースの最適な配置を実施し,監査用ソフトウェアの導入をはじめとした監査環境の整備も進めていく必要がある。
本問では,上記の点を踏まえ,システム監査中長期計画や年度計画,個別計画を策定する能力,計画に基づいた適切な監査手続や監査ツールの利用を立案する能力を問う。
問3 システムの有効性の監査
近年,IT ガバナンスの重要性が増加している。”システム管理基準” についても,経済産業省は平成 30 年に改訂し,IT ガバナンスに関する内容を大幅に拡充している。具体的には,IT ガバナンスに関わる組織体制を示し,その中における経営陣や情報システム戦略委員会などの各種委員会,さらには情報システム部門や利用部門などが果たすべき役割を明確にし,それを受けて IT ガバナンスを構築・運用する際の指針と着眼点を例示している。このような基準の整備と併せて,IT ガバナンスへの関心の高まりもあって,IT ガバナンスに関する監査への期待も増してきている。
本問では,システムの有効性を着眼点とする内部監査を通じて,IT ガバナンスの適切性を評価・検証する場合のリスク,コントロール及び監査手続に関して必要な能力を問う。
平成31年度 春期
問1 RPA (Robotic Process Automation) システムの監査
RPA (Robotic Process Automation) が,幅広い業務で導入されるようになってきている。企業の基幹業務を支える情報システムは,改変するために大きな投資を要するのに対し,RPA は比較的少額の投資で,従来,人手で行っていた事務作業の効率を向上させることが可能である。そのため,RPA を有効に活用することによって,事務処理コストの低減が実現できる。一方,導入が容易なので,十分な検討を行わずに適用した場合には,業務処理の誤りや停止などの影響を及ぼす可能性がある。部門ごとに RPA が導入された場合には,全体として効率の良い活用が行われないという懸念もある。
本問では,RPA の開発と導入に関わるメリットとリスクを考えて,効果的な監査を行える能力を問う。
問2 システムの開発計画の監査
情報システムを活用している企業の中には,システム部門の体制が必ずしも十分でない場合がある。そのような企業が,情報システムの刷新を企画し,外部の企業に開発を委託する場合に,委託先企業との間での役割分担や,システムオーナ・利用部門との要件やスケジュールなどの調整が十分に行われず,いわゆる “丸投げ” の状態になる場合がある。
そのような企業のシステム開発計画を監査する場合に,システム監査人は,発注者側が発注者責任を果たすことができる体制になっているかどうかを確認する必要がある。
本問では,システム監査人として,システム開発におけるリスクを見極め,必要なコントロールを考え,適切な監査ポイント,監査手続を設定する能力を問う。
問3 基幹システムのオープン化の監査
長期間使用されたシステムを,オープン系技術を利用して短期間に低コストで再構築しようとする企業が近年増えている。しかしながら,長年保守を繰り返してきたシステムは,いわゆるブラックボックス化が進んでいることが多く,再構築後の本番稼働が遅れる,コストが増加する,といったケースも発生している。
本問では,システム監査人として,基幹システムのオープン化を題材として,長年保守を繰り返してきたシステムを再構築するプロジェクトの計画段階において想定されるリスク(品質未達,コスト過大,プロジェクト遅延など)を識別する能力と,システム監査のポイントについての理解を問う。
平成30年度 春期
問1 システムの投資対効果の検証制度を対象とした監査
ビジネスを取り巻く環境の変化が激しくなってきている状況において,システム開発プロジェクトの投資対効果をより詳細に管理し判断しようとする企業が増えてきている。しかし,投資対効果を管理し判断する制度を構築しても,効果的に運用できなければ,投資対効果を適切に検証できず,プロジェクトの継続可否を判断することに活用できない。
本問では,”ステージゲート” の制度を題材として,システムの投資対効果を判断し,経営判断に生かすための真に役立つ制度であるかどうかを見極めるために,システム監査人として,適切な視点から監査手続を設定し,実行する能力があるかどうかを問う。
問2 データ分析システムの監査
業務執行の結果として生成される各種の業務データを,収集,分析し,ビジネスに有効活用することで,業務効率の向上や,働き方改革に資する取組みが,企業活動において重要になっている。そのためには,業務データを収集・蓄積するデータ分析システムを利用することが効果的である。データ分析システムの構築には,幅広いデータを収集・蓄積して,それを分析することによって,何らかの知見を得ようとするアプローチと,分析の目的を明確にした上で,そのために必要な範囲のデータを収集するアプローチが考えられる。
本問では,この二つのアプローチの特徴(長所・短所)を理解した上で,システム監査人として,データ分析システムの利用に伴うリスクとコントロールを踏まえて,監査手続を設定できる能力があるかどうかを問う。
問3 販売管理システムの監査
アプリケーション・システムの更新は,少なからず情報システムリスクの変化を伴う。リスクレベルが下がる領域がある一方で,新たなリスクが発生することもある。大規模なシステム改修や再構築の場合は,プロジェクトの規模が大きくなり,情報システムリスクやコントロールが再検討され,システム監査の対象となることも多いが,比較的小規模な機能追加や変更などの改修の場合は,見過ごされがちである。
本問では,比較的小規模な改修であっても生ずる可能性のある情報システムリスクを見極め,適切なコントロールが設定されているかどうかを監査できる知識と能力を問う。
平成29年度 春期
問1 在庫管理システム統合計画の監査
企業グループの再編,M&A に伴って,アプリケーションシステムや業務データを統合することは珍しいことではない。その際,日常の業務処理とは異なるリスクが発生し,それに対応するコントロールが必要になる。また,統合の目的や背景を十分に踏まえた管理体制が重要となる。したがって,このようなコントロールと管理体制の特徴を十分に踏まえたシステム監査が求められる。
本問では,在庫管理システムの統合を題材として,監査ポイントと監査手続の設定の前提となる,リスクの識別と適切なコントロールを考察できる思考力を問う。
問2 システム開発における品質管理の適切性の監査
システム開発の品質確保のために,品質管理の仕組みを構築している組織は多い。しかし,運用が形式的になっていたり,”管理のための管理” になっていたりして,品質の確保・向上に十分に寄与していない場合も見受けられる。そこで,システム監査人は,品質管理の仕組みの表面的・形式的なルールだけでなく,その運用状況を詳細に確認し,品質確保・向上に真に役立つものになっているかどうかを検証する必要がある。
本問では,システム開発における品質管理の運用状況について,リスクやコントロールを認識し,確認すべき事項を理解して適切な監査手続を設定できる能力を問う。
問3 制御ネットワーク及び制御システムの監査
近年,制御システムにおいても汎用のシステム機器と通信プロトコルが用いられるようになったことによって,マルウェア感染や不正アクセスなどのサイバー攻撃のリスクが増大している。このため,制御システム及びそれが接続されるネットワークにおいても,セキュリティ対策を講じることが不可欠になっている。
本問では,セキュリティ管理の対象及びレベルが異なるシステムやネットワークの接続に伴って発生するリスク,並びにリスクの程度に応じたコントロールを識別できる能力,また,それらのコントロールの有効性を検証するために必要な監査手続を選択できる能力を問う。
平成28年度 春期
問1 情報セキュリティインシデント対応状況の監査
組織体の活動や社会インフラが IT に大きく依存している現在では,IT を使った犯罪や事故が後を絶たず,情報セキュリティの脅威が多様化・複雑化している。組織体は,脆弱性情報の公表,ウイルス感染被害や情報漏えい事故の発生,内部不正の発覚などの情報セキュリティインシデントに対し,トップダウンでの対策実施,脆弱性や事故への迅速な対応のために,組織全体としての体制強化が求められている。
本問では,情報セキュリティインシデントへの迅速で適切な対応を目的として設置された組織内 CSIRT の運用において発生するリスクの知識,リスクの程度に応じたコントロールを識別する能力,及びコントロールの有効性を検証するために必要な監査手続を選択する能力を問う。
問2 システムの移行判定の監査
システムの移行判定では,ユーザ受入テストの実施,コンティジェンシープランの策定,システム停止・変更に関する顧客向け告知など,システム部門だけでなく,利用部門,システムオーナなどがそれぞれ適切な役割を果たしていることを確認する必要がある。システム部門の視点だけで,移行判定基準が策定されたり,移行判定が行われたりすると,移行後に利用部門,顧客などに対して影響を及ぼすトラブルが生じるおそれがあるからである。
本問では,移行判定のプロセスに沿って,判定に係る問題点を識別して監査目的を設定する能力,移行判定の適切性を確かめるための具体的な監査手続を策定する応用能力を問う。
問3 プロジェクト管理の監査
大規模なシステム開発を行う場合に,システム部門やオーナ部門の体制が十分でないことがある。そのような場合に,プロジェクト管理業務を含め,開発業務を複数のベンダに委託することがある。とりわけ,プロジェクト管理業務については,それを委託したからといって,委託先間の調整,重要な計画変更,管理上の意思決定まで外部に依存してよいということではない。
本問では,発注者側の体制が十分でない場合の大規模システム開発プロジェクトを監査するに当たり,リスクと必要なコントロールを把握し,適切な監査要点及び監査手続を設定する能力を問う。
平成27年度 春期
問1 デスクトップ仮想化の企画段階における監査
仮想化ソリューションの成熟に伴って,仮想化したデスクトップ環境をサーバ側で一元管理する VDI への注目が高まっている。VDI 導入によって,TCO 削減,情報漏えいの防止,PC 運用管理の効率向上,業務継続の実効性強化など,多くの課題が解決できると期待されている。このために,近年,多くの企業で VDI 導入が進んでいるが,実際には,想定していなかった運用上の問題が発生し,その対応に苦慮しているケースも少なくない。
システム監査人は,VDI 導入の企画段階でシステム監査をすることによって,VDI 導入のリスクが適切にコントロールされているかどうかを検証する必要がある。
本問は,VDI 導入に当たって検討すべき内容や新たに生じるリスクの知識,及び,リスクに応じたコントロールとそれが存在しない場合のビジネスへの影響を踏まえて複数の観点から改善提案を行うことができるかどうかを問う。
問2 情報セキュリティ管理状況の監査
事業会社などの情報システム関連業務は,外部委託される傾向が強まっている。また,業務委託先は,委託された業務を他社に再委託する場合もある。さらに,業務委託先,再委託先などにおいて,契約社員,派遣社員などが委託された業務を担当する場合も増えている。このような状況において,業務委託にかかる管理の不備を原因とした情報セキュリティ事故の発生も少なくない。
システム監査人は,業務委託先や再委託先における情報セキュリティ管理状況の確認を含めて,業務委託元における情報セキュリティ管理状況を確認する必要がある。
本問は,外部委託された情報システム関連業務の情報セキュリティ管理状況を監査するに当たり,適切な監査要点及び監査手続を策定し,有効な改善提案を行うことができるかどうかを問う。
問3 経営情報システムの監査
情報システムの企画段階では,通常システム化の目的や投資効果に関して詳細な検討が行われるが,稼働段階になると当初設定したシステムの開発目的の達成度合いの検証や,問題がある場合の対策検討などは曖昧になりがちである。
“システム監査基準” では,”組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的” の一つとして,”情報システムが,組織体の目的を実現するように安全,有効かつ効率的に機能するため” とされている。
システム監査人は,システムの有効性及び効率性の観点から監査を行う必要がある。
本問は,システムの稼働後において当初設定されたシステム化の目的の達成度合を対象とする監査手続を問う。
平成26年度 春期
問1 情報システムの保守業務の監査
稼働中のシステムの中には,リリースから長期間経過して,システムの全体像を把握している開発担当者がいなかったり,改変を重ねて複雑になっていたりするシステムが少なくない。また,ドキュメントが整備されていなかったり,更新されていなかったりして,実際に稼働しているプログラムと不整合を起こしているシステムもある。このために,保守の作業を起因とする障害が発生したり,二次障害を引き起こしたりすることもあり,保守業務の品質確保が大きな課題となっている。
本問では,システム監査人として,保守業務の監査を行う場合に,このような保守の実態を理解して監査手続を設定し,実施する能力があるかどうかを問う。
問2 予算管理システムのプロジェクト計画及び要件定義の監査
情報系のシステムは,有効な情報をタイムリに提供できなければならない。このためには,情報の質だけでなく,システムの利用方法に関する理解も必要となる。一方,情報には,機密情報も含まれるので,参照できる情報の制限も厳格に検討する必要がある。また,情報の管理レベルや情報の提供項目を変更する場合には,元情報を作成する上流のシステムも考慮して検討する必要がある。
本問では,予算管理システムを事例として,提供する情報の質,情報の利用方法及びその情報の管理について,システム監査人の立場から監査を実施する能力があるかどうかを問う。
問3 個人が所有するモバイル端末の業務利用の監査
従業員の業務生産性及び利便性の向上,端末導入コスト及び通信コスト削減などのために,BYOD (Bring Your Own Device) 導入を検討する企業が増えてきている。しかし,当初想定していた目的を達成できなかったり,想定していなかったリスクが発生し,BYOD 導入を中止したりする企業もある。企画段階でシステム監査を実施することによって,BYOD 導入に起因するリスクが適切に認識されているかどうかを検証する必要がある。
本問では,システム監査人として,BYOD の監査に当たり,BYOD 導入によって新たに生じるリスクに関する知識,及びリスクに応じたコントロールとそれが存在しない場合の影響を識別する能力があるかどうかを問う。
平成25年度 春期
問1 システム開発の企画段階における監査
ビジネスの変化に対して迅速かつ柔軟に対応することを目的として,アジャイル開発を採用する組織が増えている。しかし,”コスト削減” や “短期開発”,”ドキュメントを作成しない” といった観点だけに着目して開発を進めると,かえってコストが増大したり,納期をオーバしたりするなどの問題が発生する場合もある。
本問では,システム監査人として,アジャイル開発の特徴や留意点を理解し,リスクを見極め,必要なコントロールを抽出し,開発プロジェクトを監査する能力があるかどうかを問う。
問2 情報システム運用の監査
病院は,多種多様な専門職が所属する多くの部門から構成される。各部門は業務に特化したシステムを使用し,各システムは,電子カルテシステムを中心に,処理及び情報共有を行う。病院業務を支えるシステムは無停止稼働が求められており,エラー又は障害が,患者の生命や健康に損害をもたらすこともある。
本問では,このようにエラーや障害に対する厳格な対応が求められる電子カルテシステムの運用を例にして,システム運用に伴って発生するリスクの種類や程度に応じたコントロール,発見事項を裏付ける監査証拠,及びシステム監査人による判断の根拠を識別する能力を問う。
問3 プロジェクト会計システムの監査
情報システム開発,各種コンサルティングなどの企業においては,顧客から受注した案件単位でのプロジェクトとして業務が遂行されることが多い。
それぞれのプロジェクトの目標達成のためのプロジェクトマネジメントは当然のことながら必要だが,同時に,プロジェクトの売上,原価及び損益を正しく把握することも,企業経営における重要な課題となる。
本問は,このような企業におけるプロジェクト会計を管理するシステムについて,必要な観点を理解して監査する能力を確かめることを狙いとしている。
問4 販売プロセスに関するシステム監査
業務プロセスは,必ずしも一つのシステムだけがサポートしているわけではなく,複数のシステムが連携してサポートしていることが多い。このような状況では,個々のシステム単位で監査を行うのでなく,システムの関連性や複数のシステムを一体として監査しなければリスクを適切に評価できない。
本問は,このような,複数システムの連携に着眼して監査を効果的に実施できる能力や経験を問う。
平成24年度 春期
問1 パブリッククラウドサービスを利用したシステムの監査
パブリッククラウドサービスを利用する企業が増えてきているが,当初想定していた利用目的を達成できなかったり,想定していなかったリスクが発生したりする場合がある。また,事業戦略を実現する手段として当該サービスの利用そのものが適切でない場合もある。そこで,パブリッククラウドサービス利用の企画段階でシステム監査を実施することが必要になる。
本問では,パブリッククラウドサービス利用に当たって検討すべき内容や新たに生じるリスクの知識,及び備えるべきコントロールとそれを評価する能力を問う。
問2 業務改革を伴うシステム導入後の監査
新システムの導入は,業務改革を伴って実施されることで,その目的が達成されることが多い。また,業務改革は,新システムの導入に伴うビジネスプロセスの変更やシステムで管理すべき情報の質や量に影響を及ぼすことが多い。このため,新しいビジネスプロセスに対応し,情報を適切に管理する運用体制やコントロールが要求される。
本問では,新システム導入後の監査において,新システムの環境下で新たな役割・責任を負う関連部署が備えるべきコントロールとそれを評価する能力を問う。
問3 システム障害の再発防止の監査
近年,業務のシステムへの依存度が高まることによって,システム障害の発生件数が増加するとともに,その影響はますます大きくなっている。システム障害の低減には,プログラムなどのシステムの品質向上に加え,発生したシステム障害の分析を的確に行い,適切な再発防止策を迅速に実施することが重要である。
本問では,システム障害の記録・分析,再発防止策の策定のための体制及びプロセスの適切性について監査を実施する能力を問う。
問4 システムの移行計画の監査
システムの本番移行段階では,限られた時間内に移行作業を完了しなければならないといった制約があり,また,予期せぬ事態が発生するリスクもある。一方で,新システムの開発やテストが優先され,移行の手順や移行用プログラムは十分なテストや検証が行われないケースもある。
本問では,移行に伴うリスク及びコントロールを評価する能力,並びにコントロールの有効性を確かめるための監査要点や監査手続を策定する能力を問う。
平成23年度 特別
問1 データセンタ移転に伴うサーバ移転計画のシステム監査
データセンタ運用のコスト削減とセキュリティレベル向上のために,外部の専門ベンダが所有し,管理するデータセンタのハウジングサービスを利用する企業が増えている。しかし,現在使用中のコンピュータ機器の物理的な移転,ネットワーク構成の変更や移転先でのサーバの設置などによって,業務再開までに一時的にリスクが高まることから,入念な移転計画の策定が必要となる。
本問では,データセンタ移転に当たって発生するリスクに関する知識,リスクの程度に応じたコントロールを識別する能力,また,それらのコントロールの有効性を検証するために必要な監査手続を適用する能力を問う。
問2 システム開発プロジェクトの監査
大幅な納期遅延を招くシステム開発プロジェクトの失敗は少なくない。とりわけ社内のシステム開発経験が浅く,外部に委託せざるを得ない場合や,複雑な開発体制がとられている場合などにおいては,失敗のリスクはより高くなる。このような状況の中で,重要なシステム開発プロジェクトについては,失敗を繰り返さないためにも,プロジェクト管理に問題がないかどうかを,システム監査によって評価し,検証することが求められている。
本問では,進捗管理を評価し,検証するために必要な監査ポイントに関する知識と,監査ポイントに即した監査手続を適切に立案できる能力を問う。
問3 システムの要件定義段階における監査
システム開発の要件定義段階できちんとした要件定義を実施しておかなければ,基本設計工程以降での手戻りが発生したり,開発工数の増加,開発の遅延,品質の低下などを引き起こしたりするおそれがある。システム監査人は,システムの開発工程を理解し,要件定義段階で実施すべき内容を十分に把握し,委託元企業と委託先企業の役割分担や契約内容を踏まえて,監査を実施する必要がある。
本問では,システムの企画段階,特に要件定義段階でのシステム監査の重要性及び着眼点の理解と,システム監査を適切に実施できる能力を問う。
問4 コントロールの有効性の監査
アプリケーションシステムにおいては,あるコントロールが別のコントロールとセットで機能したり,あるコントロールの限界を別のコントロールで補完したりするように,複数の組合せでデザインされることが多い。このようなコントロールの組合せを十分に検討しなければ,コントロールの有効性を適切に評価することができない。そこでシステム監査人は,コントロールの有効性の評価に当たっては,複数のコントロールを関連付けて理解し,システムの目的を考慮しつつ,総合的に検討する必要がある。
本問では,予算管理システムを例として,適切な予算実績管理を達成するためのコントロールを体系的に評価できる能力を問う。
平成22年度 春期
問1 企画段階におけるシステム化効果の監査
システム開発プロジェクトの失敗の原因の一つとして,企画段階で,ビジネス要件の分析やシステム化目標の検討が不十分であることが挙げられる。システム監査人は,情報システムが企業の経営戦略やシステム戦略と整合しており,ビジネス要件を満たすものであるかどうかという観点で,企画段階の監査を実施することが重要である。
本問では,企画段階におけるシステム化効果の監査の重要性を理解し,システム監査人として適切な監査が実施できるかどうかを問う。
問2 倉庫システムの監査
受託業務では,重要な業務が継続して遂行でき,業務の結果として,信頼性のある情報を顧客である委託元に提供しなければならない。受託業務を支援する情報システムは,ほかの関連システムや手作業の業務と効果的に連携することで,情報の信頼性を高めることができる。
本問では,倉庫業務を例として,受託業務に係る情報システムが適切に実績を反映させた情報を提供し,受託した業務を継続する上で,監査人として必要なコントロールやシステムを評価する能力が備わっているかどうかを問う。
問3 モバイル営業支援システムの監査
新しい技術の恩恵を受けるために導入したシステムにもかかわらず,新しい技術が円滑に活用されなかったり,業務効率が低下したりするケースがしばしば見られる。特に主要なビジネスプロセスを支援するシステムにおいては,導入効果の優劣が企業の業績に直接影響を及ぼす。そこで,導入後の効果測定によって,当初の導入目的が達成されているかどうかを検証することが,ますます重要になってきている。
本問では,リッチクライアント技術を採用した新システムの導入に伴って新たに発生するリスクの知識,リスクに対応したコントロールの識別能力,及び関連する監査手続についての知識を問う。
問4 ポイント管理システムの監査
ポイントサービスは,企業にとっては販売促進や顧客囲い込みの手段であり,消費者にとっては実質的な値引きに相当し,経済活動における重要性が増している。また,ポイント体系の複雑化や企業間のポイント交換などに伴い,ポイントサービスの情報システムへの依存度が高まっており,その信頼性の確保は,重要な課題となっている。
本問では,システム監査人として,ポイント管理システムの特性に応じて,リスク,コントロール目標,及びチェック内容を把握し,監査手続を実施する能力が備わっているかどうかを問う。
平成21年度 春期
問1 ERP パッケージの監査
近年,経営及び業務管理の機能強化をねらいとして ERP パッケージを導入する企業が増えている。ERP パッケージの多くは,業務処理のコントロール機能を備えている点において優れているが,”ERP パッケージからすべてのコントロールが備わっていて安心” というわけではない。また,別のシステムが ERP パッケージと連携していることによってコントロールに不備が生じることもありえる。
本問では,システム監査人として,ERP パッケージの特性及びその利用環境に基づいて,リスクに対応するコントロールを理解した上で,監査ポイントを整理できる能力が備わっているかどうかを問う。
問2 店舗販売プロセスの内部統制評価
金融商品取引法に基づく内部統制報告制度では,財務報告の信頼性を確保するための内部統制の整備・運用を行うとともに,その有効性の評価及び報告が求められている。業務プロセスにおいて情報システムが利用されている場合には,IT 全般統制及び IT 業務処理統制を評価し,その有効性を確かめる必要がある。
本問では,内部統制報告制度の趣旨を踏まえて,システム監査人として,監査計画の立案に際して必要とされるリスクに基づくコントロール目的やコントロール機能の把握を行うための能力が備わっているかどうかを問う。
問3 顧客管理システムの監査
通信販売業では,顧客情報を中心として,顧客ごとの受注,配送,入金,代金回収などを管理する顧客管理システムがビジネスのかなめになっている。その一方で,営業時間外の受注や問合せに対応するため,当該業務が外部委託されることもあり,新たなリスク要因が生まれている。
本問では,顧客管理に係る様々なリスクに対応するコントロールの機能状況を確認するための監査手続上のポイントを把握した上で,コントロールの不備を指摘できる応用能力があるかどうかを問う。
問4 システム開発の監査
近年,セキュリティの強化や内部統制報告制度の導入などによって,IT 部門から内部監査部門に異動して,システム監査を担当するようになるケースが増えている。こうした場合,IT や開発・運用に関する知識は十分にあるものの,システム監査に関する知識や経験の不足から,思わぬ勘違いや誤りを犯すことも少なくない。
本問は,新たにシステム監査を担当することになった新任監査人が陥りがちな問題点についての出題であり,独立的立場にあるべきシステム監査人としての基本的な姿勢を理解しているかどうかを問う。
参考文献
更新履歴
- 2024年5月4日 新規作成
- 2024年10月14日 令和6年度 秋期 システム監査技術者試験 午後Ⅰ 問題を追加