平成30年春期試験午後問題 問11

問11 システム監査

⇱問題PDF
システム更改プロジェクトの監査に関する次の記述を読んで,設問1~5に答えよ。
 貸金業者のV社は,主要システムの一つである債権管理システムの稼働を7年前に開始し,これまで改修を重ねて,債権管理業務の変更に対応してきた。しかし,業務要件の多様化が進み,業務要件間の整合性を確保することが困難になってきた。そこで,V社の経営陣はシステム更改が必要と判断し,現在,債権管理システムの更改プロジェクト(以下,本プロジェクトという)を推進している。
 V社の内部監査部長は,年度監査計画に基づき,システム監査チームに対して本プロジェクトの要件定義の適切性について監査を実施するよう指示した。

〔予備調査〕
 システム監査チームは,X年6月上旬に予備調査を行い,本プロジェクトの概要を次のとおり把握した。
  • システム更改スケジュールの概要は,図1のとおりである。
    pm11_1.png
  • 本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会(以下,運営委員会という)は,V社のシステム部担当役員を議長とし,システム部,債権管理部,法務部の各部長で構成される。運営委員会では,本プロジェクトの重要課題が記載された課題管理表を確認し,必要に応じて各部などに対応を指示する。運営委員会の会議内容は,議事録に記録される。
  • 要件定義を行う要件検討会は,運営委員会が指名した各部の部員(以下,要件定義メンバーという)で構成される。債権管理部及び法務部の要件定義メンバーは,業務要件の検討結果を業務要件一覧にまとめ,システム部の要件定義メンバーは,業務要件一覧に基づき,システム要件の検討結果をシステム要件一覧にまとめる。業務要件一覧の一部を表1に,システム要件一覧の一部を表2に示す。
    pm11_2.png
  • 要件検討会の議事録には,要件定義メンバーの出席状況,検討テーマ,質疑応答・意見,検討結果などが記載されている。例えば,X年6月8日に開催された要件検討会の議事録には,"要件定義書の作成が遅れており,X年6月30日までに運営委員会で承認されないおそれがある"と記載されていた。また,V社のプロジェクト管理基準には,要件検討会の開催後に,プロジェクトに参加している各部の管理職全員が,回覧される議事録を閲覧し,記載事項を確認するよう定められている。

〔本調査〕
 システム監査チームは,予備調査の結果を踏まえ,要件定義書承認前のX年6月中旬に本調査を実施した。
  • 債権管理部及び法務部において,業務要件が適切に確認されているかどうかを,次のとおり確認した。
    1. 要件検討会の議事録を閲覧したところ,債権管理部の要件定義メンバーP氏が第2回要件検討会を欠席していることが記録されていた。
    2. P氏にインタビューしたところ,P氏は,"欠席した第2回要件検討会も含めて,全ての要件検討会の議事録を閲覧し,記載事項を確認している"と回答した。
    3. また,P氏は,"プロジェクト管理基準に従って,債権管理部の管理職全員が要件検討会の議事録の記載事項を確認していると認識している"と回答した。
    4. P氏の③の回答内容が事実かどうかを確認するために,追加の監査手続を行った。
  • 業務要件の根拠が明確かどうかを,次のとおり確認した。
    1. 業務要件一覧に記載された業務要件をサンプル抽出し,根拠資料の内容と照合した。しかし,業務要件の一部は根拠資料の内容との関係が不明確であったことから,業務要件の根拠が明確であることを立証するための十分なaを得られなかった。例えば,表1項番①の業務要件が,債権管理法令集に記載された法令のどの条項に対応するのか,システム監査チームは確認できなかった。
    2. 業務要件の根拠が明確であることを立証するために,bcを説明するよう求めた。
  • 業務要件とシステム要件が整合しているかどうかを,次のとおり確認した。
    1. 業務要件一覧とシステム要件一覧を照合したところ,業務要件ごとにシステム要件が定義されていた。
    2. 業務要件及び対応するシステム要件をサンプル抽出し,関連する要件検討会の議事録を閲覧するとともに,要件定義メンバーにインタビューした。その結果,業務要件及びシステム要件の具体的な内容についての認識が,要件定義メンバー間で合致していないケースがあった。例えば,P氏は,表1項番③の当社規制時間帯が,前日の20~21時,及び当日の8~9時の間であると考えていた。一方,システム部の要件定義メンバーは,表2項番③について,バッチ処理時間帯の制約があるので,前日の8~9時,及び前日の20~21時の間の発信記録を,要注意発信一覧として表示しようと考えていた。
    3. ②の状況が生じた原因を確認した上で,"業務要件とシステム要件を整合させることが必要である"ことを指摘した。
  • 要件検討会で認識された重要課題が,運営委員会で確認されているかどうかを確認するためにde及びfを照合した。

設問1

〔本調査〕(1)④において,システム監査チームが行うべき追加の監査手続を解答群の中から二つ選び,記号で答えよ。
解答群
  • P氏以外の要件定義メンバーにインタビューして,P氏が第2回要件検討会を欠席したかどうかを確かめる。
  • 債権管理部の管理職にインタビューして,要件検討会の議事録の記載事項を確認したかどうかを確かめる。
  • 要件検討会の議事録の回覧記録と債権管理部員の名簿を照合して,議事録が債権管理部の管理職全員に回覧されたかどうかを確かめる。
  • 要件検討会の議事録を閲覧して,債権管理部の管理職がP氏の代理として,第2回要件検討会に出席したかどうかを確かめる。

解答例・解答の要点

※順不同
※順不同

解説

債権管理システムの更改プロジェクトを題材に、要件定義フェーズを対象とした監査において、問題点を識別する能力、監査手続を策定する能力が問われています。本文を会議体とドキュメント類の名称、会議体の構成員を意識しながら読み込み、本文中の用語を使って解答するのが基本ですが、設問2のようにシステム監査上の用語を知っているかが問われる問題もあります。

設問1の追加の監査手続で行うべきことは、債権管理部の要件定義メンバーであるP氏の「プロジェクト管理基準に従って,債権管理部の管理職全員が要件検討会の議事録の記載事項を確認していると認識している」という回答内容の事実確認です。

P氏の回答が事実かを確認するために最も直接的な方法は、債権管理部の管理職全員に直に確認することです。選択肢「イ」がこれにあたります。また、V社のプロジェクト管理基準には、「要件検討会の開催後に,プロジェクトに参加している各部の管理職全員が,回覧される議事録を閲覧し,記載事項を確認する」よう定められていますので、回覧簿などを見ることで、要件検討会の議事録が債権管理部の管理職全員に回覧されたことを確認できれば、管理職全員が議事録の記載事項を確認していることになります。
  • 本調査(1)②において、P氏自身が第2回要件検討会を欠席したことを認めていますので、あらためてP氏以外の要件定義メンバーに確認する必要はありません。また、P氏が欠席したことと、P氏が出席していなかった要件検討会の議事録の記載事項を債権管理部の管理職全員が確認していることとは関係ありません。
  • 正しい。
  • 正しい。
  • 債権管理部の管理職が代理出席したとしても、管理職"全員"が要件検討会の議事録の記載事項を確認したことにはなりません。
∴イ,ウ

設問2

〔本調査〕(2)①の記述中のaに入れる適切な字句はどれか。解答群の中から最も適切なものを選び,記号で答えよ。
a に関する解答群
  • 監査計画
  • 監査証拠
  • 監査調書
  • 監査手続

解答例・解答の要点

a:

解説

ここではシステム監査の用語を知っているかどうかが問われています。

「業務要件の根拠が明確であることを立証する」という監査項目を実施するために必要なものは監査証拠です。監査証拠は、監査報告書の内容の裏付けとなる情報のことで、関係者に対するヒアリングで得られた説明や証言、監査対象部署で作成されたドキュメント類、システムから出力された帳票、ログなどがこれに該当します。監査人は、十分かつ適切な監査証拠を入手するために、個々の状況において適切な監査手続を立案し実施しなければなりません。
  • 監査計画は、システムの何を対象にどのように監査を実施するかを記載したものです。
  • 正しい。監査証拠は、監査人が意見表明の基礎となる個々の結論を導くために利用する情報です。
  • 監査調書は、監査人が行った監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたものです。
  • 監査手続は、監査の手順や具体的に実施する内容や方法のことです。

設問3

〔本調査〕(2)②の記述中のbcに入れる適切な字句を,それぞれ20字以内で答えよ。

解答例・解答の要点

b:債権管理部及び法務部の要件定義メンバー (19文字)
c:業務要件と根拠資料の内容との関係 (16文字)

解説

業務要件の根拠が明確であることを立証するために何をすべきかの問いです。まず、業務要件がどのようにまとめられるのかを本文の記載から探します。要件定義を行う要件検討会については予備調査の(3)に記載されています。

bについて〕
文脈からbに入るのは人または役職名であることがわかります。本文中に「債権管理部及び法務部の要件定義メンバーは,業務要件の検討結果を業務要件一覧にまとめる」と記載されていますので、説明するよう求める相手は「債権管理部及び法務部の要件定義メンバー」になります。

∴債権管理部及び法務部の要件定義メンバー

cについて〕
業務要件の根拠についての説明を探します。bcのすぐ上の「例えば…」以下にある「表1項番①の業務要件が,債権管理法令集に記載された法令のどの条項に対応するのか」という記載に注目すると、業務要件の根拠は債権管理法令集などの根拠資料の内容に求められることがわかります。それ文書の前後と合うようにまとめると「業務要件と根拠資料の内容との関係」となります。

c=業務要件と根拠資料の内容との関係

設問4

〔本調査〕(3)③で確認した,②の状況が生じた原因は何か。解答群の中から最も適切なものを選び,記号で答えよ。
解答群
  • 運営委員会が,要件定義書を承認していなかった。
  • 債権管理部及び法務部の要件定義メンバーが,業務要件一覧をまとめた。
  • システム部の要件定義メンバーが,債権管理法令を知らなかった。
  • 要件検討会で,業務要件とシステム要件との整合性を十分に確認しなかった。

解答例・解答の要点


解説

"②の状況"とは、「業務要件及びシステム要件の具体的な内容についての認識が,要件定義メンバー間で合致していないケースがあった」ということです。この原因を選択肢から選びます。
  • 予備調査(4)に「X年6月8日に開催された要件検討会の議事録には,"要件定義書の作成が遅れており,X年6月30日までに運営委員会で承認されないおそれがある"と記載されていた」との記載がありますので、監査の本調査が実施された6月中旬までに運営委員会が要件定義書を承認することはありえません。
  • 予備調査(3)の記載より、債権管理部及び法務部の要件定義メンバーが業務要件一覧をまとめるのは所定の手順通りに行われていますので問題ありません。
  • 予備調査(3)に「システム部の要件定義メンバーは,業務要件一覧に基づき,システム要件の検討結果をシステム要件一覧にまとめる」と記載されています。債権管理法令を知るべきは業務要件をまとめる「債権管理部及び法務部の要件定義メンバー」であって、「システム部の要件定義メンバー」ではありません。
  • 正しい。予備調査(3)に「システム部の要件定義メンバーは,業務要件一覧に基づき…システム要件にまとめる」と記載されていますので、システム部の要件定義メンバーは、この要件検討会で業務要件一覧を作成した債権管理部及び法務部の要件定義メンバーとの認識ギャップを埋めなければならないことがわかります。

設問5

〔本調査〕(4)の記述中のdfに入れる適切な字句を,それぞれ10字以内で答えよ。

解答例・解答の要点

d:要件検討会の議事録 (9文字)
e:運営委員会の議事録 (9文字)
f:課題管理表 (5文字)

解説

3つの空欄は順不同です。

「要件検討会で認識された重要課題が,運営委員会で確認されているかどうか」を確認するために何をすべきかが問われています。本文に「照合」とありますので、defに入るのはドキュメント類であることがわかります。

まず要件検討会で認識された課題については「要件検討会の議事録」に記載されています。次に運営委員会がどのように運営されているかの本文の記載から探します。予備調査(2)に「本プロジェクトの重要課題が記載された課題管理表を確認し,必要に応じて各部などに対応を指示する。運営委員会の会議内容は,議事録に記録される」と記載されています。ここから「課題管理表」と「運営委員会の議事録」が抽出できます。

よって、〔本調査〕(4)で照合すべき3つの文書は「要件検討会の議事録」「課題管理表」「運営委員会の議事録」になります。

def=要件検討会の議事録、課題管理表、運営委員会の議事録(順不同)
模範解答

Pagetop