令和3年秋期試験午後問題 問11

問11 システム監査

⇱問題PDF
システム構築プロジェクトの監査に関する次の記述を読んで,設問1~6に答えよ。
 クレジットカード会社のU社では,顧客利便性の向上,コストの削減などを目的として,インターネットを通じて各種情報を顧客に提供するシステムの構築プロジェクト(以下,本プロジェクトという)を推進している。
 U社の内部監査部長は,年度監査計画に基づき,システム監査チームに対して,本プロジェクトの各段階の適切性を監査するよう指示した。

〔要件定義段階の監査で把握した事項〕
 システム監査チームは,要件定義段階の監査をX年5月に行い,本プロジェクトに関して,次のことを把握した。
 なお,監査の結果,監査報告書に記載すべき重要な指摘事項はなかった。
  • 要件の区分
    要件は,機能要件,セキュリティ要件,運用要件などに区分される。
  • 機能要件
    従来,クレジットカード利用明細などの顧客向けの情報(以下,カード利用情報という)は,基幹系システムで作成して出力し,広告用パンフレットなどとともに,顧客宛に送付していた。本プロジェクトでは,カード利用情報,広告情報などを顧客がWebブラウザで閲覧できるよう,情報系システムを開発するとともに,基幹系システムを改修する。
  • セキュリティ要件
    情報系システム及び基幹系システムの基本設計で定めるセキュリティ対策は,U社の情報セキュリティ対策基準に準拠する。
  • 要件の管理
    要件定義段階で未確定の要件(以下,未確定要件という)は,課題管理表に記載し,確定するまで管理する。未確定要件は,基本設計の開始日から2か月以内に確定させる予定である。
  • 本プロジェクトの運営体制
    本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会は,U社のシステム部の部長を議長とし,業務管理部,顧客サービス部などユーザ部門の各部長,及びプロジェクトマネージャのV氏で構成される。プロジェクト運営委員会は月1回の定例開催に加えて,必要に応じて臨時に開催される。
  • 本プロジェクトに適用されるプロジェクト標準
    本プロジェクトには,U社のプロジェクト標準が適用される。プロジェクト標準の一部を表1に示す。
pm11_1.gif
〔基本設計段階の予備調査で把握した事項〕
 システム監査チームは,要件定義段階の監査に続いて,基本設計段階の監査を行うこととした。まず,予備調査をX年8月下旬に行い,プロジェクト計画書の確認などによって,次のことを把握した。
  • 基本設計は,X年7月1日に開始した。
  • 基本設計検討会は,V氏を議長とし,システム部及びユーザ部門の各部を代表する部員で構成される。基本設計検討会の議事録には,開催日時,出席者,検討事項,検討結果などが記載される。
  • 機能設計では,Webページの構成,情報系システムと基幹系システムとのインタフェースなどを検討し,その結果を基本設計書に記載する。予備調査の時点では,機能設計に関する複数のタスクが未完了であった。
  • セキュリティ設計では,アクセスの制御,データの暗号化などを検討し,その結果を基本設計書に記載する。
  • 要件対照表は,X年8月31日までに作成を完了する予定である。
  • プロジェクト運営委員会は,プロジェクト標準の内容を充足していることを確認して,X年10月31日に基本設計の終了を承認する予定である。

〔システム監査チームの検討〕
 システム監査チームは,基本設計段階の監査について,予備調査の結果を踏まえて,本調査をX年9月10日~14日と計画した。また,監査結果に基づいて基本設計を見直すことができるよう,監査結果報告をX年aと計画した。システム監査チームが検討した監査要点及び監査手続の一部を表2に示す。
pm11_2.gif
〔内部監査部長の指示〕
 内部監査部長は,システム監査チームが検討した監査スケジュール,監査要点及び監査手続をレビューし,次のとおり指示した。
  • 表2項番1の監査手続だけでは,監査要点を確かめるための十分な監査証拠を入手できないので,追加の監査手続を検討すること。
    なお,要件対照表には多数の要件ID及び設計IDが記載されているが,監査要員,監査時間などには制約があるので,効率的な監査手続とすること。
  • 〔基本設計段階の予備調査で把握した事項〕の(3)を考慮すると,表2項番2の監査手続では,監査要点を確かめるための十分な監査証拠を入手できない可能性がある。その場合に備えて,追加の監査手続を検討すること。
  • 〔要件定義段階の監査で把握した事項〕の(4)を考慮して,本プロジェクトの未確定要件に関して,表2項番1~3の監査手続以外に,追加の監査手続を検討すること。
 システム監査チームは,内部監査部長の指示を受けて,表3のとおり追加の監査手続を策定して,内部監査部長の承認を得た。
pm11_3.gif

設問1

〔システム監査チームの検討〕に記述中のaに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
a に関する解答群
  • 9月9日
  • 9月30日
  • 10月31日
  • 11月1日

解答例・解答の要点

a:

解説

aについて〕
空欄aは監査結果報告を行う日です。問題文より、基本設計は7月1日に開始して、10月31日に終了する予定になっています。空欄aの直前に「監査結果に基づいて基本設計を見直すことができるよう」という記載がありますので、監査結果報告の後、基本設計が終了する10月31日までに、基本設計の内容の見直しを行う時間を取れるようにする必要があります。また、監査結果報告は本調査で入手した監査証拠に基づいて行うものですから、本調査が終了する前にすることはできません。

したがって、監査の本調査が終わる9月14日から、基本設計終了の承認予定日である10月31日の間に監査結果報告を行うことになります。これに該当するのは「イ:9月30日」だけです。基本設計の終了まで1ヶ月の猶予があることから、設問の意図にも合致します。

a=イ:9月30日

設問2

表2項番2に記述中のbに入れる適切な字句を,15字以内で答えよ。

解答例・解答の要点

b:基本設計検討会の議事録 (11文字)

解説

bについて〕
文脈より、空欄bには文書類が入ることがわかります。表2項番2の監査手続の目的は、「基本設計書の"機能設計"の内容が、基本設計検討会での検討結果と整合していることを確認する」ことです。そのために閲覧するのが基本設計書と空欄bです。基本設計書から得られる情報は「基本設計書の"機能設計"の内容」であるので、空欄bからは「基本設計検討会での検討結果」の情報を得る必要があります。問題文で基本設計検討会について述べられているのは〔基本設計段階の予備調査で把握した事項〕(2)で、「基本設計検討会の議事録には,開催日時,出席者,検討事項,検討結果などが記載される」と説明されています。よって、「基本設計検討会の議事録」と照合すればよいと判断できます。

b=基本設計検討会の議事録

設問3

表2項番3に記述中のcに入れる適切な字句を,15字以内で答えよ。

解答例・解答の要点

c:情報セキュリティ対策基準 (12文字)

解説

cについて〕
文脈より、空欄cにも文書類が入ることがわかります。表2項番3の監査手続の目的は、「基本設計書の"セキュリティ設計"の内容が、セキュリティ要件を充足していることを確認する」ことです。そのために閲覧するのが基本設計書と空欄cです。基本設計書から得られる情報は「基本設計書の"セキュリティ設計"の内容」であるので、空欄cからは「セキュリティ要件」の情報を得る必要があります。問題文で「セキュリティ要件」について述べられているのは、〔要件定義段階の監査で把握した事項〕(3)で、「セキュリティ対策は,U社の情報セキュリティ対策基準に準拠する」と説明されています。よって、「(U社の)情報セキュリティ対策基準」と照合すればよいと判断できます。

c=情報セキュリティ対策基準

設問4

表3項番1について,(1),(2)に答えよ。
  • dに入れる適切な字句を,5字以内で答えよ。
  • eに入れる適切な字句を,10字以内で答えよ。

解答例・解答の要点

d:母集団 (3文字)
e:基本設計書の内容 (8文字)

解説

監査要点を確かめるための十分な監査証拠を得るための、追加の監査手続について問われています。

表2の監査手続では、要件IDと設計IDが記載されていること"だけ"を確認しており、これでは整合性を確認しているとは言えません。内部監査部長はそのことを指摘し、追加の監査手続を実施するように指示しています。ただし、要件対照表には多数の要件ID及び設計IDが記載されていることから、監査要員や監査時間の制約を加味して、効率的に監査を行うように指示しています。
  • dについて〕
    表3項番1①において、「全ての要件IDをdとして,要件IDをサンプリングする」とあります。サンプリングとは、調査対象となる母集団の中から、直接調査を行うサンプル(標本)を抽出し抜き出すことですから、サンプリングされる前の状態を指している空欄dは「母集団」となります。

    d=母集団

  • eについて〕
    内部監査部長の指示(1)は、表2項番1の監査手続に対してでしたので、その内容をみます。それは「要件ID及び対応する設計IDが要件対照表に記載されていて、要件定義の内容と対応する基本設計の内容が整合していること」を確認するということです。
    表1を見ると、各要件には要件IDが付与され、その内容が要件定義書に記載されているように、各設計内容には設計IDが付与され、その内容が基本設計書に記載されることがわかります。サンプリングは確認する対象を絞り込むことであって、確認する内容を変えることではありませんから、要件定義書の内容と整合していることを確認すべき空欄eは、サンプリングする前と同じで「基本設計書の内容」となります。

    e=基本設計書の内容

設問5

表3項番2に記述中のfに入れる適切な字句を,10字以内で答えよ。

解答例・解答の要点

f:タスク管理表 (6文字)

解説

fについて〕
監査要点を確かめるための十分な監査証拠を入手できなかった場合に備えた、追加の監査手続について問われています。

空欄fがある監査手続は、内部監査部長の指示(2)によって追加されたので、その指示内容をみます。それは「基本設計検討会での検討結果に基づき、機能が設計されていることを確認するためには、機能設計書と基本設計検討会の議事録の閲覧だけでは十分でないので、追加の監査手続を検討せよ」ということです。なぜ十分でないのかは、〔基本設計段階の予備調査で把握した事項〕(3)の内容によるとも記載されています。その内容は、「機能設計に関する複数のタスクが未完了」ということで、空欄fは未完了のタスクに関係していることがわかります。そして、空欄fを閲覧することによって、「基本設計書の"機能設計"の内容を記載する時期を確認する」とありますので、空欄fはプロジェクトの進捗管理に関係していることもわかります。表1項番3には「タスクの進捗状況は,タスク管理表に記載し,タスクが完了するまで管理する」と記載があるように、問題文中に登場する文書類の中で、進捗管理に関するものは「タスク管理表」だけです。よって、これを閲覧すればよいと判断できます。

f=タスク管理表

設問6

表3項番3に記述中のgに入れる適切な字句を,20字以内で答えよ。

解答例・解答の要点

g:全ての要件が確定していること (14文字)

解説

gについて〕
未確定要件に関する監査手続について問われています。

空欄gがある監査手続は、内部監査部長の指示(3)によって追加されたので、その指示内容をみます。それは「本プロジェクトの未確定要件に関して、表2項番1~3の監査手続以外に、追加の監査手続を検討せよ」ということです。なぜそうしなければならないのかが、〔要件定義段階の監査で把握した事項〕(4)の記載の「未確定要件は,基本設計の開始日から2か月以内に確定させる予定」、〔基本設計段階の予備調査で把握した事項〕(5)に記載の「要件対照表は8月31日までに完成させる予定」というものです。基本設計は7月1日に開始されており、本調査が実行される9月10日~14日においては、すべての未確定要件は確定していなけばなりません。「未確定要件は,課題管理表に記載し,確定するまで管理」されていますから、課題管理表の閲覧によって確認すべきは「全ての要件が確定していること」です。

g=全ての要件が確定していること
模範解答

Pagetop