応用情報技術者過去問題 平成22年秋期 午後問12

⇄問題文と設問を画面2分割で開く⇱問題PDF

問12 システム監査

システムテストの監査に関する次の記述を読んで,設問1,2に答えよ。

 C社は,電子機器の製造販売会社である。C社の監査部は,現在の監査部長が着任した昨年から,定期的にシステム監査を実施している。このたび,最近再構築した会計システムについて,経理部主体で行った運用テストの責任者から,システム要件定義どおりにシステムが作られていないという不具合が多く見つかったと報告された。そこで,その前の工程であるシステム適格性確認テスト(以下,システムテストという)の妥当性評価をテーマに,C社のシステム開発規程の遵守状況を確認する監査を行うことになった。

〔監査部の状況〕
 C社の監査部では,システム監査をまだ数回しか実施しておらず,監査部長以外のメンバーはシステム監査の経験が浅い。監査部長は,この監査チームのリーダーとして,監査部のD君を指名した。D君は,監査リーダーを担当するのは今回が初めてである。

〔会計システム開発の概要〕
 今回再構築した会計システムは,ERPパッケージと社内のほかの複数のシステムとのインタフェースから構成されている。社内のシステム部と経理部が中心となり,ウォーターフォールモデルで,開発した。

〔システム開発規程〕
 C社のシステム開発規程には,システムテストに関して,次のような記述が含まれている。
  • システムテストは,運用テストを開始してもよいかどうかを決定するために,システム結合テストの後に行われる。システムがシステム要件定義どおりに作られているかどうかを,システム全体の品質,性能,運用,操作などの総合的な観点から検証するテストである。
  • システムテストは,システムテスト計画に基づいて実施しなければならない。システムテスト計画は,システムテスト責任者と開発責任者の承認を得なければならない。
  • システムテストは,本番環境から隔離された環境で行わなければならない。
  • システムテストには,開発当事者以外の者が参画しなければならない。また,システムの設計者やプログラマは,自身が関係したプログラムのシステムテストに関与してはならない。
  • システムテストでは,機能テスト以外に負荷テスト,性能テストも実施しなければならない。その際,システム要件定義を網羅したテストケースを作成しなければならない。
  • すべてのテストケースについて,システムテストの経過及び結果を記録し,保管しなければならない。
  • システムテストの目的を達成したかどうかを十分に検討した上で,システムテストの完了判定を行わなければならない。
  • システムテスト結果報告書は,システムテスト責任者,開発責任者,運用保守責任者,ユーザ責任者が承認しなければならない。
〔監査の実施〕
 D君は,個別監査計画書に従い,まず,予備調査としてC社のシステム開発規程を閲覧した後,監査手続書を完成させた。その後,作成した監査手続書に基づいて本調査を実施した。本調査では,システムテストの各工程で作成された次の書類を閲覧した。
  • システムテスト計画工程で作成されたテスト計画書
  • テストケースの作成工程で作成されたテストケース
  • システムテストの実施工程で作成されたテスト結果
  • システムテスト結果の評価工程で作成されたシステムテスト結果報告書
 さらに,システムテスト責任者,設計者,プログラマ,運用保守責任者へのインタビューを実施した。
 監査実施中,①自らの監査意見を立証するのに必要な事実をそのほかの関連資料などと併せて取りまとめ,②監査業務の実施記録として,監査部で決められた様式で作成し,保管した。

〔監査で判明した事実〕
  • システムテスト計画書には,システムテストの目的と範囲,種類,前提条件,全体スケジュール,チーム体制,役割分担,環境,テストツール,データとテストケースの作成方法,進捗管理方法,問題管理方法,記録保管方法及びテスト完了基準が記述されていた。システムテスト計画書には,システムテスト責任者と開発責任者の承認印があった。
  • システムテスト計画書に含まれるチーム体制は,会計システムの設計者を中心とした開発当事者だけのメンバーで構成されていた。
  • テストケースやテストデータは,システム要件を基に,システムテストの実施前に作成されていた。テストケースには,機能テストだけでなく,負荷テストや性能テストは含まれていたが,例外などの特殊な場合の処理の確認は含まれていなかった。
  • システムテストの実施前に,システム結合テストが適切に実施されたことが確認されていた。
  • システムテストは,本番環境から隔離された環境で実施されていた。
  • システムテストの結果は,異常があった場合だけ記録されていた。その際に画面コピーや印刷結果が添付されていた。
  • システムテスト結果報告書には,システムテスト責任者,開発責任者,運用保守責任者及びユーザ責任者の承認印があった。システムテスト結果報告書には,すべてのテストケースを実施したことをもって完了としていたことが記述されていた。
〔監査結果〕
 D君は,本調査の結果を基に,図に示す監査報告書(案)を作成した。
pm12_1.png/image-size:527×323

設問1

本文中の下線①,②について,(1),(2)に答えよ。
  • 経済産業省"システム監査基準"によると,下線①,②のことをそれぞれ何と呼ぶか。"監査"という字句を含めて,名称を答えよ。
  • 〔監査部の状況〕を考慮した際,下線②の有効な活用方法は何か。解答群の中から二つ選び,記号で答えよ。
解答群
  • 外部監査人への提示による外部監査の効率向上
  • 監査報告会で監査報告書とともに回付
  • 監査部長のレビューによる監査品質の向上
  • 今回の個別監査計画書への反映
  • 次回以降のシステム監査の参考

解答入力欄

    • ①:
    • ②:

解答例・解答の要点

    • ①:監査証拠
    • ②:監査調書
  • 解説

    • 〔下線①について〕
      システム監査の結論を裏付ける客観的な証拠として、監査手続で入手する資料等を「監査証拠」と言います。文書のほかインタビュー等で入手する口頭証拠も含まれます。システム監査基準(平成30年、以下同じ)においては次のように説明されています。

      「システム監査では、監査計画に基づく監査手続の実施の結果として監査証拠が入手され、それに基づいて監査の結論が形成される。監査手続に基づく監査証拠の入手は、監査の結論を得るために必要不可欠なものである」

      〔下線②について〕
      監査業務がどのように行われたかを記録した資料を「監査調書」と言います。監査調書には、監査実施者、実施日時、監査目的、実施した監査手続、入手した監査証拠、発見した事実とそれに対する監査人の所見等が取りまとめられます。システム監査基準においては次のように説明されています。

      「監査調書は、システム監査人が実施した監査のプロセスを記録したものであり、かつ、監査の結論の基礎となるものであることから、秩序ある形式で、監査調書として記録、適切に保管しておく必要がある」

      ∴①=監査証拠
       ②=監査調書

    • 〔監査部の状況〕には、人員の経験不足をうかがえる以下の記述があります。
      • C社の監査部では,システム監査をまだ数回しか実施しておらず,監査部長以外のメンバーはシステム監査の経験が浅い
      • D君は,監査リーダーを担当するのは今回が初めてである
      この課題に対して、②監査調書の有効な活用方法となる選択肢を選ぶことになります。
      • 〔監査部の状況〕には外部監査についての記述がないので、設問の条件に合致しません。
      • 監査調書を回付することで監査報告会において監査報告書の説得力が増しますが、〔監査部の状況〕には合致しません。
      • 正しい。D君が作成した監査調書を監査部長がレビューすることによって、監査計画通りに行われたか、十分な監査証拠は入手できたか、監査意見の合理性に問題はないかなどをチェックすることができます。これにより監査結論およびシステム監査報告書の品質向上が期待できます。
      • ②監査調書は今回実施した監査のプロセスを記録したものなので、実施前に作成する今回の監査計画書に反映することはできません。「オ」にあるように、次回の監査計画書に反映するなら有効な活用になり得ます。
      • 正しい。C社監査部で定期的なシステム監査が行われるようになったのは昨年からであり、組織のプロセス資産(ノウハウ)が十分に蓄積されていないと考えられます。今後も経験の少ないメンバーで定期的にシステム監査を実施していくので、作成した監査調書を次回以降の監査に役立てることが監査品質の向上に繋がります。
      ∴ウ、オ

    設問2

    "図 監査報告書(案)"について,(1),(2)に答えよ。
    • acに入れる適切な指摘事項を,それぞれ30字以内で述べよ。
    • 監査報告書(案)には重要な項目が欠落している。追加すべき項目を答えよ。

    解答入力欄

      • a:
      • b:
      • c:
      • o:

    解答例・解答の要点

    • a:開発当事者以外がチームに含まれない計画書を作成している (27文字)
    • b:正常終了した場合の結果を記録していない (19文字)
    • c:目的を達成したかどうかが十分に検討されていない (23文字)
    • o:改善勧告
  • 解説

    • 今回の監査では、C社のシステム開発規程の遵守状況を確認することが目的となっているので、〔監査で判明した事実〕を〔システム開発規程〕に照らして問題となっている部分を解答することになります。

      aについて〕
      前半に「システム計画工程において」とありますので、システム計画工程に関する内容を答えることになります。〔監査で判明した事実〕のうち、システム計画工程に関する内容は(1)と(2)です。この2つが対応する〔システム開発規程〕はそれぞれ(2)と(4)となります。
      このうち、〔監査で判明した事実〕(1)については「システムテスト計画書には,システムテスト責任者と開発責任者の承認印があった」とあり、〔システム開発規程〕(2)「システムテスト計画は,システムテスト責任者と開発責任者の承認を得なければならない」に準拠しているため、指摘事項にはなりません。一方、〔監査で判明した事実〕(2)「システムテスト計画書に含まれるチーム体制は,会計システムの設計者を中心とした開発当事者だけのメンバーで構成されていた」は、〔システム開発規程〕(4)「システムテストには,開発当事者以外の者が参画しなければならない。…」に明らかに反しています。

      したがって、「開発当事者以外がチームに含まれない計画書を作成している」「チーム体制が開発当事者だけの計画書を作成している」旨の指摘事項が当てはまります。

      a=開発当事者以外がチームに含まれない計画書を作成している

      bについて〕
      前半に「システムテストの実施工程において」とありますので、システムテストの実施工程に関する内容を答えることになります。〔監査で判明した事実〕のうち、システムの実施工程に関する内容は(4)、(5)及び(6)です。この3つに対応する〔システム開発規程〕の項目はそれぞれ(1)、(3)及び(6)です。
      〔監査で判明した事実〕(4)と(5)は〔システム開発規程〕に準拠しており指摘事項にはなりません。一方、〔監査で判明した事実〕(6)「システムテストの結果は,異常があった場合だけ記録されていた。…」は、〔システム開発規程〕(6)「すべてのテストケースについて,システムテストの経過及び結果を記録し,保管しなければならない」に明らかに反しています。

      したがって、「正常終了した場合の結果を記録していない」「異常があった場合の結果だけしか記録されてない」旨の指摘事項が当てはまります。

      b=正常終了した場合の結果を記録していない

      cについて〕
      前半に「システムテスト結果の評価工程において」とありますので、システムテストの結果の評価工程に関する内容を答えることになります。〔監査で判明した事実〕のうち、システムテストの結果の評価工程に関する内容は(7)となります。これに対応する〔システム開発規程〕の項目は(7)と(8)となります。
      〔監査で判明した事実〕(7)「システムテスト結果報告書には,すべてのテストケースを実施したことをもって完了としていたことが記述されていた」は、〔システム開発規程〕(7)「システムテストの目的を達成したかどうかを十分に検討した上で,システムテストの完了判定を行わなければならない」に反しています。システムテストの目的とは、〔システム開発規程〕(1)にあるように「システムがシステム要件定義どおりに作られているかどうかを,システム全体の品質,性能,運用,操作など総合的な観点から検証する」ことなので、テスト終了をもって形式的に完了とするのではなく、要件定義どおりに作られているかどうかを実質的に検討した上で完了判断をしなければなりません。

      したがって、「目的を達成したかどうかが十分に検討されていない」旨の指摘事項が当てはまります。

      c=目的を達成したかどうかが十分に検討されていない

    • 監査報告書(案)に欠落している内容について問われています。一般的なシステム監査の知識から解答します。

      システム監査は大きく2つに分けて「保証型」と「助言型」があります。「保証型」は、監査対象の情報セキュリティマネジメント体制又は管理策が、監査実施の時点で適切であったことを監査意見として表明する形態の監査、「助言型」は、今後の改善を目的として、監査対象の情報セキュリティマネジメント体制又は管理策の欠陥や懸念事項等の問題点を検出し、必要に応じて監査意見として改善提言を表明する形態の監査です。
      今回の監査は、監査報告書(案)に「助言意見」とあるので、助言型監査であることがわかります。システム監査基準によると「監査対象について助言を行う場合」の監査報告書の記述例に「指摘事項と改善勧告とは、それぞれが対応するように記載する必要がある」とあります。監査報告書(案)には指摘事項だけが記載されていて、対応する「改善勧告」の記載がありません。したがって、欠落している重大な項目は「改善勧告」となります。

      ∴改善勧告
    問12成績

    平成22年秋期 午後問題一覧

    問1 問2 問3 問4 問5 問6 問7 問8 問9 問10 問11 問12 採点講評
    © 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

    Pagetop