平成30年秋期試験午後問題 問11
問11 システム監査
⇱問題PDF
ERPソフトウェアパッケージを採用した基幹システムの運用・保守管理体制の監査に関する次の記述を読んで,設問1~5に答えよ。
ERPソフトウェアパッケージを採用した基幹システムの運用・保守管理体制の監査に関する次の記述を読んで,設問1~5に答えよ。
広告
Y社は,菓子,飲料などを扱う中堅の食品会社である。Y社では,これまで自社開発した受発注管理,在庫管理,生産管理,財務会計の各システムを利用していたが,全社的な業務の効率向上のためにERPソフトウェアパッケージを採用した基幹システム(以下,新システムという)を導入することになった。
Y社情報システム部には,ERPソフトウェアパッケージの導入経験・開発ノウハウがないことから,新システムの導入に際してERPソフトウェアパッケージの販売代理店であるITベンダのZ社に導入作業を委託した。
Y社監査室は,新システムの本番稼働から3か月が経過し,安定稼働に入った段階で,新システムの運用・保守管理体制についてシステム監査を実施することにした。
〔新システムの予備調査〕
Y社監査室が予備調査で入手した情報は,次のとおりである。
(1) 導入概要
新システムは,ERPソフトウェアパッケージの販売管理,購買管理,在庫管理,生産管理,財務会計のモジュールから成る。企画段階では,費用面を考慮し,ERPソフトウェアパッケージの機能に業務を合わせてそのまま利用する方針であった。しかし,販売管理については,営業部門から,複数の食品卸業者との受注管理,リベート情報管理などの業界及びY社固有の取引慣行に対応する必要があるとの要望を受け,これに対応する追加機能開発を行った。その他,購買管理,在庫管理,生産管理,財務会計についても,各利用部門と調整した結果,規模の大小はあるが追加機能開発を行った。
Y社情報システム部は,現行業務の分析,要件定義,設計書の内容に関する各利用部門との調整のほか,テスト計画の作成,Z社が実施したテスト結果のレビューなどを担当した。
(2) 新システムの保守管理体制
新システム稼働後の保守作業は,引き続きZ社に委託している。新システムの導入段階では,Z社開発チームがY社に常駐して,管理者権限を付与された開発用IDを使用して追加機能開発,本番環境の設定などを行っていた。本番稼働後は,Y社情報システム部が本番環境の管理を行うことにしたが,開発用IDは削除せず,管理者用IDを新たに登録した。Z社の保守担当者はZ社内の保守用端末からリモートアクセスし,開発環境及びテスト環境だけにアクセス可能な保守用IDを使用して保守作業を実施することにした。保守作業の手順は次のとおりである。
保守用IDなどのアクセス権限管理は,Y社情報システム部が"アクセス権限管理規程"を定めて実施している。"アクセス権限管理規程"の内容は次のとおりである。
Y社監査室では,予備調査の情報に基づいて監査項目及び監査手続を表1のとおり策定した。
Y社情報システム部には,ERPソフトウェアパッケージの導入経験・開発ノウハウがないことから,新システムの導入に際してERPソフトウェアパッケージの販売代理店であるITベンダのZ社に導入作業を委託した。
Y社監査室は,新システムの本番稼働から3か月が経過し,安定稼働に入った段階で,新システムの運用・保守管理体制についてシステム監査を実施することにした。
〔新システムの予備調査〕
Y社監査室が予備調査で入手した情報は,次のとおりである。
(1) 導入概要
新システムは,ERPソフトウェアパッケージの販売管理,購買管理,在庫管理,生産管理,財務会計のモジュールから成る。企画段階では,費用面を考慮し,ERPソフトウェアパッケージの機能に業務を合わせてそのまま利用する方針であった。しかし,販売管理については,営業部門から,複数の食品卸業者との受注管理,リベート情報管理などの業界及びY社固有の取引慣行に対応する必要があるとの要望を受け,これに対応する追加機能開発を行った。その他,購買管理,在庫管理,生産管理,財務会計についても,各利用部門と調整した結果,規模の大小はあるが追加機能開発を行った。
Y社情報システム部は,現行業務の分析,要件定義,設計書の内容に関する各利用部門との調整のほか,テスト計画の作成,Z社が実施したテスト結果のレビューなどを担当した。
(2) 新システムの保守管理体制
新システム稼働後の保守作業は,引き続きZ社に委託している。新システムの導入段階では,Z社開発チームがY社に常駐して,管理者権限を付与された開発用IDを使用して追加機能開発,本番環境の設定などを行っていた。本番稼働後は,Y社情報システム部が本番環境の管理を行うことにしたが,開発用IDは削除せず,管理者用IDを新たに登録した。Z社の保守担当者はZ社内の保守用端末からリモートアクセスし,開発環境及びテスト環境だけにアクセス可能な保守用IDを使用して保守作業を実施することにした。保守作業の手順は次のとおりである。
- Y社からの依頼に基づき,Z社の保守担当者が開発環境でプログラムの追加作成や変更作業を行った後,テスト環境でテストを実施する。
- Y社が受入テストを実施し,問題がないことを確認した後,Z社の保守担当者が本番環境へ移行するプログラムの準備を行い,Y社に移行申請を行う。
- Y社情報システム部の担当者が移行処理を実行すると,テスト環境から本番環境へプログラムが移行され,登録される。
- Z社が実施した保守作業の内容や日時などが記載された保守作業記録が,Z社内で承認され,毎月Y社に提出される。
保守用IDなどのアクセス権限管理は,Y社情報システム部が"アクセス権限管理規程"を定めて実施している。"アクセス権限管理規程"の内容は次のとおりである。
- 業務メニューだけが利用可能な一般利用者用ID
利用部門が"ID登録申請書"を作成し,利用部門責任者の承認と情報システム部長の承認を受け,情報システム部担当者が登録・変更・削除を行う。 - ERPソフトウェアパッケージの管理者権限が付与された管理者用ID
本番環境の設定,プログラム登録,全てのIDの登録・変更・削除のために,情報システム部担当者だけが使用する。使用の都度"管理者用ID使用申請書"を事前に作成し,情報システム部長の承認を受ける。パスワードは使用の都度,情報システム部のID管理者がID使用者に通知し,使用後に変更する。管理者用IDについては,ERPソフトウェアパッケージの機能を利用したアクセス履歴及び操作記録(以下,アクセスログという)が取得される。 - Z社が使用する保守用ID
Z社から提出された"保守用ID登録申請書"に基づき,Y社情報システム部長の承認を受けた後,情報システム部担当者が管理者用IDを使用して登録・変更・削除を行う。保守用IDには,開発環境・テスト環境の開発及び保守作業の権限が付与され,アクセスログが取得される。 - IDの棚卸し
情報システム部が半期に1回,全てのIDについて,ERPソフトウェアパッケージのレポート機能を利用して出力する"登録IDリスト"と,情報システム部で作成された"ID管理台帳"との照合を行うとともに,"登録IDリスト"を関係部門に回付することによって,不要なIDの有無,権限の妥当性を確認する。
なお,Y社情報システム部の担当者にインタビューした結果,"本番稼働から3か月しかたっていないので,いまだIDの棚卸しは実施していない"とのことであった。
Y社監査室では,予備調査の情報に基づいて監査項目及び監査手続を表1のとおり策定した。
広告
設問1
表1中の項番1の監査手続(2)と(3)について,〔新システムの予備調査〕(1)の状況から,a,bに入れる適切な字句を,それぞれ10字以内で答えよ。
解答例・解答の要点
a:設計書 (3文字)
b:追加機能開発 (6文字)
b:追加機能開発 (6文字)
解説
ERPソフトウェアパッケージの導入を題材としていますが、パッケージであることが問題となるのは設問1のbだけで、その他はシステム保守やセキュリティ管理の監査に関する基本的な知識が問われています。回答にあたってはできる限り問題文中の用語を用いるとよいでしょう。〔aについて〕
aが含まれる項番1の監査項目は、保守作業を実施するための文書などの整備状況です。また、aの後に「作成・保管され」、「保守作業に利用可能である」と文章が続いていますので、aには何らかの文書(ドキュメント)が入ることがわかります。
次に、保守作業を実施するために利用可能なドキュメントが何かを、予備調査で入手した情報の中から探します。監査実施が本番稼働から3ヶ月経過した時点であることを考えると、該当するのは導入時に作成したドキュメントになります。設問には「〔新システムの予備調査〕(1)の状況から」とありますので、ここからドキュメントを探すと該当するのは「設計書」だけです。ドキュメントを直接指していない「現行業務の分析」「要件定義」「テスト計画」「テスト結果」もドキュメントが作成される作業ではありますが、aの後の「内容が最新」及び「保守作業に利用可能」を考慮に入れると適切ではありません。
∴a=設計書
〔bについて〕
監査手続の文脈から、bに入るのは、ERPソフトウェアパッケージに対して行った何らかの作業であることがわかります。これを、予備調査の「(1)導入概要」から探します。
ERPソフトウェアパッケージのバージョンアップにあたっては、パッケージ提供業者が影響調査、動作確認を行ったうえで実施しますが、Y社のように、パッケージ機能に対して独自に追加した機能についてはそこに含まれません。このため、開発したY社が影響調査、動作確認を行う必要があります。したがってbには「(1)導入概要」中で該当する用語である「追加機能開発」が入ります。
∴b=追加機能開発
広告
設問2
表1中の項番2の監査手続(1)を策定するに当たり,システム監査人は〔新システムの予備調査〕(2)の状況から,Y社の本番環境の管理者権限管理には問題点が存在すると考えた。その内容を,25字以内で述べよ。
解答例・解答の要点
開発用IDが本番環境に残っていること (18文字)
解説
新システムの予備調査「(2)新システムの保守管理体制」から、本番環境のIDに関わる内容を探します。記載されているIDは、「開発用ID」「保守用ID」「管理者用ID」の3つです。監査手続は「新システムの本番環境の管理者権限が管理者用IDだけに付与されていることを確かめる」ことですので、「開発用ID」と「保守用ID」のいずれかが問題であることになります。保守作業を行っているZ社が使っている「保守用ID」は「開発環境及びテスト環境だけにアクセス可能」ですので問題ありません。一方、本文中で「管理者権限が付与された開発用ID」と説明されているように、開発用IDは管理者権限を付与されたIDです。開発用IDは削除されず、本番環境に残ったままになっていますが、この状況が項番2(1)の「管理者権限が管理者IDにだけ付与されている」という点で問題となります。
なお、導入段階において、「管理者権限を付与された開発用IDを使用して…本番環境の設定などを行っていた」と記載されていますので、「開発用ID」に付与されていた「管理者権限」とは、開発環境の管理者権限ではなく、「本番環境の管理者権限」であることがわかります。
∴開発用IDが本番環境に残っていること
広告
設問3
表1中の項番2の監査手続(1)について,〔新システムの予備調査〕(3)の状況から,本番環境の管理者権限管理上のリスクを高めている要因を,25字以内で述べよ。
解答例・解答の要点
いまだIDの棚卸しが実施されていないこと (20文字)
解説
前問と同じ監査手続について問われています。前問が「(2)新システムの保守管理体制」から問題点を探しましたが、本問では、この問題点がどのような要因によって生じたかを、「(3)新システムのID管理」から探します。(3)では、主に「アクセス権限管理規程」の内容が説明されるとともに、実際にどのようなID管理の運用が行われているかが述べられています。どのような運用によって、開発用IDが本番環境に残ることになったのかという観点で読んでいくと、「本番稼動から3ヶ月しかたっていないので、いまだIDの棚卸しは実施していない」という点に気が付きます。なぜなら、IDの棚卸が本番環境移行時に行われていれば、導入時に必要であった「開発用ID」が、本番稼動後には必要ないことに気づき、これを削除することで、管理者権限管理上のリスクをひとつ除去できることになるからです。
∴いまだIDの棚卸しが実施されていないこと
広告
設問4
表1中の項番2の監査手続(2)を実施する場合,〔新システムの予備調査〕(3)の規程に照らしてみたとき,具体的な監査ポイントとして最も適切なものを解答群の中から選び,記号で答えよ。
解答群
- "管理者用ID使用申請書"に,使用目的が明記されていることを確かめる。
- "管理者用ID使用申請書"の申請者が,特定の担当者に集中していないことを確かめる。
- 管理者用IDのパスワードが,使用後に毎回変更されていることを確かめる。
- 管理者用IDのパスワードの使用後に,情報システム部長の承認を得ていることを確かめる。
解答例・解答の要点
ウ
解説
本番環境のデータ更新を行えるなどの強い権限をもった「管理者用ID」のパスワードを、使用の都度変更することは、システム運用上よく行われています。(3)のアクセス権限管理規程では②で具体的に決められています。「管理者IDのパスワードの通知及び利用後の変更」が、②で決められている通りに行われていることを確かめる監査ポイントを4つの選択肢から選びます。- 「管理者用ID使用申請書」に使用目的が明記されていても、それをもって「管理者ID」のパスワードの利用後の変更が適切に行われていることを確かめることはできません。
- 「管理者用ID使用申請書」の申請者が、特定の担当者に集中していること自体は問題ですが、集中していたとしても、利用後のパスワード変更が確実に行われていれば、規程順守の点では問題ありません。一方で、申請者が多数になっていたとしても、利用後のパスワード変更を行わない利用者がいれば、規程を守っていないことになります。
- 正しい。規定では、パスワードは使用の都度、使用者に通知し、使用後に変更することを定めています。(3)の②に記載の通りの規定に照らした監査ポイントです。
- パスワード使用後に情報システム部長の承認を得ることは規程で求められていません。
広告
設問5
表1中の項番3の監査手続(1)において照合すべきcとdに入れる適切な字句を,それぞれ10字以内で答えよ。
解答例・解答の要点
c:アクセスログ (6文字) ※順不同
d:保守作業記録 (6文字) ※順不同
d:保守作業記録 (6文字) ※順不同
解説
IDの使用についてのシステム監査を実施する際に照合対象にできるものは、ドキュメントまたはシステムから出力される何らかのデータになります。候補になるものを保守作業について述べられた箇所から探すと、「保守作業記録」「保守用ID登録申請書」「管理者用ID使用申請書」「アクセスログ」「登録IDリスト」「ID管理台帳」の6つが見つかります。この中からZ社の保守担当者による保守用IDの使用が適切であることを確認可能な組み合わせを選びます。まず「登録IDリスト」と「ID管理台帳」は、(3)の④で述べられている通り、不要なIDの有無と権限の妥当性を確認するためのものですから除外できます。次に「保守用ID登録申請書」と「管理者用ID使用申請書」は、保守用IDが使用可能になるまでに必要なものなので、使用が適切かどうかを確認するためには使えません。最後に残るのは「保守作業記録」と「アクセスログ」です。
本文中の「保守用IDには,…アクセスログが取得される」という記述より、保守用IDにより行われた操作は「アクセスログ」に残ることがわかります。また、Z社からは「保守作業の内容や日時などが記載された保守作業記録」が提出されるため、この2つのデータを照合し整合性を確認することで、適切な保守作業が行われたか、そして保守用IDの不正利用がなかったかを確認できます。
∴c、d=アクセスログ、保守作業記録(順不同)
広告
広告