平成25年秋期試験午後問題 問11

問11 システム監査

⇱問題PDF
ソフトウェア保守の監査に関する次の記述を読んで,設問1,2に答えよ。
 G社は,機械部品を製造販売する中堅の上場企業である。最近,G社の監査部員がシステム監査に関する外部セミナに参加し,ソフトウェア保守の不適切な管理にまつわるリスクについての知識を得た。監査部では,G社の管理が適切かどうかを確認するために,基幹システムのソフトウェア保守について監査することにした。

〔ソフトウェア保守の現状〕
 G社は,生産・販売・購買・会計の業務を統合的に扱うクライアントサーバ型の基幹システムを使用しており,そのソフトウェア保守はシステム部システム課の課長を含めた4名の社員で対応している。作業の手順は次のとおりである。
  • ソフトウェア保守が必要な場合は,利用部門の担当者が変更要求書を作成し,利用部門の責任者の承認を得た後,システム課に電子メールで提出する。変更要求書への記載内容は,作成年月日,作成部門,作成者,該当システム,理由,内容,希望納期,緊急度である。
  • システム課では,変更要求書を受け付けると,担当者が,システム設計書とプログラム設計書を基にして,プログラムの変更箇所を調査する。調査では,プログラム変更内容と他システムへの影響をチェックし,作業工数を算出する。調査結果をレビューして,システム課長が変更要求を承認する。
  • システム課の担当者は,承認された変更について,システム設計書,プログラム設計書及びプログラムを変更し,その後システムテストを実施する。システムテストの計画と結果は,システム課長が承認する。
  • システムテスト後に実施する受入れテストには,利用部門も参画する。受入れテストの計画と結果は,利用部門の責任者及びシステム課長が承認する。
  • システム課の担当者がプログラムの本番移行計画を作成し,システム課長が承認する。承認が得られた後,変更前のプログラム及びデータのバックアップを取得し,プログラム変更者自身がプログラムを本番環境に反映させて,作業を終了する。システム課では,受付順に(2)~(5)の処理を行っている。
 この手順をまとめると,図1のとおりになる。
pm11_1.png
〔監査の留意点〕
 今回の監査を担当する監査部のメンバー(以下,監査チームという)は,基幹システムのソフトウェア保守の監査方針として,管理の適切性に加え,業務の効率向上の観点からも監査を行うことにした。
 また,外部セミナでの次のような他社事例も念頭におくことにした。
  • ソフトウェア保守に関する手順が守られておらず,誤った手順で行われた場合や誤った作業が行われた場合の発見的コントロールが考慮されていなかった例
  • 監査人が,被監査部門とのインタビュー内容を誤解したまま監査を進めた結果,監査意見が誤ったものになってしまった例
  • 監査人が,真の原因を把握せずに監査を進めた例
 以上を受けて,監査チームは個別監査計画を文書化し,監査部長がこれを承認した。

〔インタビュー結果〕
 監査チームは,ソフトウェア保守作業の状況を把握するために,利用部門とシステム課にそれぞれインタビューを行った。システム課のインタビュー時,①システム課長が,以前,部下であった監査チームのH君に,細かな問題点は指摘しないよう依頼していた
  • 利用部門へのインタビュー結果
    • 要求した機能を漏れなく実装してくれるので,とても助かっている。
    • 法規制や顧客からの要望など急いで対応しなければならないものもあるが,時間が掛かってしまうことがある。
    • 変更を行った結果,別の箇所に不具合が出たり,レスポンスが悪くなったりすることがある。
  • システム課へのインタビュー結果
    • 利用部門の要望にできるだけ応えるようにしているが,変更要求書の数に変動があり,件数が多い場合には,利用部門の希望納期までに対応できないことがある。
    • ソフトウェア保守は,少人数で対応できるようにしており,通常は1人で担当することが多い。
    • 担当者によって変更箇所の調査手順が異なっており,調査項目の漏れがあって,本番環境への反映後に不具合が発生することがあった。原因はリグレッションテストの不備にあると考え,この対策として,最近リグレッションテストを強化した。
〔文書のレビューと評価・結論〕
 監査チームは,インタビューに加えて,ソフトウェア保守作業の過程で作成又は変更された文書のレビューを行った。さらに,他社事例も念頭において,インタビューで発見されなかった問題点がないかどうか,監査人が誤解していないかどうかについて,十分に確認した上で,改善勧告を次のとおり行った。
  • 監査チームは,急を要する変更要求の希望納期に応えられない場合があることを問題点として指摘事項に挙げることにした。また,ソフトウェア保守作業の手順に工夫を加えることによって,現行の人数でも,緊急度が高い変更要求について,利用部門へのサービスレベルを落とさずに対応することが可能であると考えて,②改善勧告を行った。
  • 変更箇所の調査における問題点については,③既に開始したリグレッションテストの強化では対策として不十分と考えて,変更箇所の調査手順を標準化するという改善勧告を行った。
  • 本番環境へのプログラムの反映における内部統制上の問題点を指摘した。この対策として,④予防的コントロールと発見的コントロールのそれぞれの観点から改善勧告を行った。

設問1

本文中の下線①のシステム課長の行為は,監査人にとってどのような脅威となるか。解答群の中から選び,記号で答えよ。
解答群
  • 完全性に関わる脅威
  • 信頼性に関わる脅威
  • 透明性に関わる脅威
  • 独立性に関わる脅威

解答例・解答の要点


解説

対象の行為は、「システム課長が,以前,部下であった監査チームのH君に,細かな問題点は指摘しないよう依頼していた」というものです。これが、監査人にとってのどのような脅威になり得るかを解答群から選択して解答します。

監査を行う前提として、監査人には独立的かつ客観的な立場から監査を実施し、公正な判断を行うことが求められています。経済産業省による「システム監査基準(平成16年)」では、監査人に求められる独立性として次の2つを挙げています
外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。
精神上の独立性
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
今回のケースでは、監査人であるH君が、元の上長であるシステム課長から依頼を受けており、H君が依頼を意識して本来は必要な指摘をためらってしまう恐れがあります。もしそうであれば、G社の管理が適切かどうかを確認するという監査目的を達成することができません。本行為は、監査対象であるシステム部が監査人に対して影響を与え得る可能性を示唆しているので、監査人の独立性に関わる脅威になると判断できます。

∴エ:独立性に関わる脅威
  • "完全性"は情報管理に関する用語で、情報を正確かつ最新の状態で管理することを指すので誤りです。
  • "信頼性"はシステム評価に関する用語で、一定の条件下で安定して期待された役割を果たすことができる指標を指すので誤りです。
  • "透明性"はユーザビリティに関する用語で、遠隔なデータに対して物理的な距離を意識せずにアクセスできる指標を指します。
  • 正しい。
システム監査基準は平成30年(2018年)に改訂されています。システム監査人としての独立性と客観性の保持に関しては、

「システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観に十分に配慮しなければならない。また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない」

としています。文言は変わりましたが監査人に対して監査対象からの独立を求めていることは変わっていません。

設問2

監査チームが行った改善勧告に関して,今回の監査方針を考慮して,(1)~(3)に答えよ。
  • 本文中の下線②の改善勧告の内容は,どのようなものか。システム課が何を行うべきかを含めて,40字以内で述べよ。
  • 本文中の下線③において,既に開始した対策では不十分と考えた理由を,40字以内で述べよ。
  • 本文中の下線④における,予防的コントロールの観点からの改善勧告と,発見的コントロールの観点からの改善勧告を,それぞれ30字以内で具体的に述べよ。

解答例・解答の要点

  • 受付順ではなく,変更要求の緊急度を考慮して処理順を決定する (29文字)
  • リグレッションテストの強化では,調査項目漏れの原因を排除できないから (34文字)
  • 予防的:プログラム変更者以外の者が本番環境に反映させる (23文字)
    発見的:本番環境への反映の結果を第三者が確認する (20文字)

解説

  • インタビュー結果から、G社のソフトウェア保守の現状として、急を要する変更要求の希望納期に応えられない場合があるという問題があることがわかっています。この問題への対処策として、現行の人数のまま、ソフトウェア保守作業の手順に工夫を加えることによって、サービスレベルを落とさずに緊急度の高い変更要求に対応可能となる改善策を考えます。

    本文中から緊急度についての記述を探すと、〔ソフトウェア保守の現状〕の(1)に「変更要求書への記載内容は,作成年月日,作成部門,作成者,該当システム,理由,内容,希望納期,緊急度である」と説明されており、変更要求書に緊急度が記載されていることがわかります。一方、〔ソフトウェア保守の現状〕の(5)で「システム課では,受付順に(2)~(5)の処理を行っている」と記述されているように、現在のソフトウェア保守の手順では、緊急度を無視して、変更要求を受付順で処理する作業フローであることがわかります。これだと変更要求が多いときには、希望納期までに対応できない場合があるのも無理はありません。

    したがって、受付順で処理するのではなく、変更依頼書に記載された緊急度を考慮して処理していくように、ソフトウェア保守作業の手順を変更することが提案事項となります。これにより、サービスレベルを落とさずに急を要する変更要求の希望納期にも応えられると判断できます。

    ∴受付順ではなく、変更の要求の緊急度を考慮して処理順を決定する

  • リグレッションテストとは、プログラムの一部分を変更したことで、その変更が、他の部分に影響が出ていないかを確認するためのテストです。退行テストや回帰テストとも呼ばれます。下線③では、変更箇所の調査漏れが本稼働後の不具合発生につながっている問題について、リグレッションテストの強化が対策として不十分であると判断されています。

    変更箇所の調査における問題点については〔インタビュー結果〕の(2)に

    「担当者によって変更箇所の調査手順が異なっており,調査項目の漏れがあって,本番環境への反映後に不具合が発生することがあった」

    と記載されています。リグレッションテストは調査漏れを検出するための補完的コントロールであり、調査項目の漏れが生まれている真の原因ではありません。調査項目の漏れが生じる真の原因は、担当者によって変更箇所の調査手順が異なることですから、このテストを強化したところで直接的な問題解決につながりません。これが、リグレッションテストの強化が対策として不十分である理由です。

    監査チームでは上記を踏まえて、調査項目漏れの原因排除のため「変更箇所の調査手順を標準化するという改善勧告」を行っています。

    ∴リグレッションテストの強化では、調査項目漏れの原因を排除できないから

  • 本番環境へのプログラムの反映における内部統制上の問題点があり、これに対する改善勧告を解答します。

    本番環境へのプログラムの反映で問題とされる手順は、「プログラム変更者自身がプログラムを本番環境に反映させて,作業を終了する」という点です。この手順には次の2つの問題があります。
    • プログラム変更者自身が本番環境への反映作業を行っている
    • 本番環境への反映作業の正しさを第三者が確認していない
    通常、システム開発におけるプログラム修正や変更の本番環境への反映は、変更者以外の者が行います。このような手順にするのは、誤った変更や他の箇所への影響がある変更をしていないかを第三者の目線でチェックし、処理や作業誤りおよび不正を未然に防ぐ意味があります。よって、まず1つ目の改善提案として、本番環境への反映をプログラム変更者以外の者に行わせる手順に変更する必要があります。これは、処理や作業の誤りを未然に防ぐ管理手順ですので「予防的コントロール」に該当します。

    また、現状の手順では反映作業の確認や報告書の提出等がなく、誤った作業が行われてしまった場合でも気付くことができません。よって、2つ目の改善提案として、本番環境に正しく反映されたことを第三者が確認する手順の追加が必要となります。これは、処理や作業の誤りを検知するための管理手順ですので「発見的コントロール」に該当します。

    ∴予防的:プログラム変更者以外の者が本番環境に反映させる
     発見的:本番環境への反映の結果を第三者が確認する

    なお、この「作業後のチェックがないために不適切(あるいは改善した)」という出題のされ方は、応用情報技術者試験の午後試験で頻出されています。午後試験でプロジェクトマネージャ(問9)やシステム監査(問11)の分野を選択する予定の方は覚えておいた方が良いでしょう。
模範解答

Pagetop