情報システムの外部サービスを活用した運用プロセスの監査
令和6年度 秋期 システム監査技術者試験 午後Ⅱ 問題 問2「情報システムの外部サービスを活用した運用プロセスの監査」についてである。
問題文
ビジネスの複雑化,テクノロジの高度化などに伴って,情報システムの運用プロセスに IaaS,SaaS,AMO (Application Management Outsourcing) などの外部サービスを活用する事例が増えている。これらのサービスを活用することに伴う最終的な責任は委託元にあり,委託元は外部サービスを含めた業務全体の IT リスクを分析,評価し,対応策を適切に策定し,運用する役割と責任がある。
委託元は,外部サービスを活用した運用プロセスにおける IT リスクへの対応策を漏れなく策定できるように委託先との責任分界点を明確にし,委託先が実施する対応策を十分に評価した上で,自らが実施する対応策を講じる必要がある。また,委託元は,外部サービスの業務への影響や IT リスクの大きさに応じて,委託先の責任範囲であっても自らが実施する対応策を講じるかどうか検討する。さらに,委託元は,例えば,定例報告会の開催,現地調査,第三者による評価・検証報告書の活用などによって,委託先での対応策の実施状況を継続的にモニタリングする必要がある。モニタリングの結果,必要であれば委託元の対応策の見直しを行うことが求められる。
システム監査人は,情報システムの外部サービスを活用した運用プロセスにおいて,委託元で IT リスクの分析が行われ,委託元が実施すべき対応策が適切に実施されていることを確かめる必要がある。また,委託先が実施すべき対応策については,委託元による委託先へのモニタリングが適切に実施されていることを確かめることが重要である。
あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。
設問ア
あなたが関係する情報システムの概要,並びに運用プロセスにおける外部サービスの位置づけ及びその内容について,800 字以内で述べよ。
設問イ
設問アで述べた情報システムの外部サービスを活用した運用プロセスの監査計画において,大きいと判断した IT リスク及びこれに対する委託元と委託先の対応策について,700 字以上 1,400 字以内で具体的に述べよ。
設問ウ
設問イで述べた IT リスクへの対応策に漏れがないかどうか,及び委託元において適切に実施又はモニタリングされているかどうかを確かめるための監査手続を,700 字以上 1,400 字以内で具体的に述べよ。
論文設計
- 情報システムの概要と外部サービス
- 情報システムの概要
- 外部サービスの位置づけ及びその内容
- IT リスク及び対応策
- IT リスク
- 委託元と委託先の対応策
- 監査手続
