平成31年春期試験午後問題 問11

問11 システム監査

⇱問題PDF
RPA(Robotic Process Automation)の監査に関する次の記述を読んで,設問1~7に答えよ。
 保険会社のX社は,ここ数年,経営計画の柱の一つとして"働き方改革"を掲げており,それを実現するために業務の効率向上に取り組んできた。こうした中,全国のX社拠点の業務処理の統括部署である事務部は,約1年前に,ITベンダのY社の提案を基に,X社で初めてRPAを導入した。
 事務部がY社に委託して,RPAを導入して開発したシステム(以下,事務部RPAという)は,導入後,おおむね順調に稼働してきたが,一度だけシステムトラブルが発生し,稼働不能になったことがある。
 X社の社長は,システムトラブルが発生したこともあり,またRPA導入の効果についても関心があったことから,内部監査部に対して,事務部と情報システム部を対象に監査を実施することを指示した。監査の主な目的は,事務部RPAの運用・保守体制の適切性,X社全体のRPA管理体制の適切性,及び事務部RPA導入の目的達成状況を確かめることである。

〔RPAの特徴と対象業務〕
  • RPAの特徴
    Y社の提案によると,RPAの主な特徴は次のとおりである。
    1. 複数の業務システムを利用する定型業務の自動化に適しており,業務の効率向上,ミスの削減などに有効である。例えば,複数の画面を参照し,必要なデータを表計算ソフトに反映して電子メールを送信するなどの一連の業務の自動化に適している。
    2. 実際のPC操作を基に開発できるので,プログラミングは不要であり,業務知識があれば容易に開発できる。変更や複製も同様に,容易に行うことができる。
  • 事務部RPAの対象業務
    事務部は,X社拠点の定型業務のうち,RPAを導入することによって効率向上の効果が期待できる複数の業務を,対象業務として選定した。選定した業務の例として,生命保険料控除証明書(以下,控除証明書という)の再発行業務がある。この業務は,顧客からX社への控除証明書の再発行依頼に対して,複数の業務システムの情報を参照して控除証明書を作成し,顧客に送付するものである。
〔事務部RPA導入による業務プロセスの主な変更点と効果〕
  • 事務部RPA導入による業務プロセスの主な変更点
    各拠点の対象業務を事務部に集約し,集約した業務にRPAを導入した。控除証明書の再発行業務の場合,事務部RPA導入前の業務プロセスでは,顧客の依頼を受け付けた拠点の担当者が,控除証明書の再発行に関わる全ての業務を行っていた。これに対して,事務部RPA導入後の業務プロセスは,次のとおりである。
    1. 顧客から控除証明書の再発行の依頼を受け付けた拠点は,事務部の所定のメールアドレス宛てに,電子メールで控除証明書の再発行依頼を行う。
    2. 事務部の担当者は,拠点からの依頼メールに基づいて事務部RPAを稼働させ,自動的に作成された控除証明書を顧客に送付する。
  • 事務部RPA導入による効果
    事務部は,事務部RPA導入によって一定の効率向上効果が得られることを,処理時間などが記録された事務部RPAの実行ログを基に確認した。控除証明書の再発行業務の場合,従来は1件当たり15分程度要していた処理時間が1分程度に短縮された。

〔事務部RPAの開発体制及び運用・保守体制〕
  • 事務部RPAの開発体制
    事務部RPAの開発は,Y社のシステムエンジニア2名が約2か月間,事務部の開発用ブースに常駐して行われた。開発に当たって,事務部は,投資効果などを記載した"導入計画書"を作成し,Y社は,開発及び変更に必要なドキュメントとして"事務部RPA開発用資料"を作成した。
  • 事務部RPAの運用・保守体制
    事務部の担当者2名が,事務部RPAの運用・保守業務を行っている。事務部は,以前のシステムトラブルを踏まえて,情報システム部と連携して,再発防止策を講じて運用・保守面を強化することにした。

〔システムトラブルの概要〕
 事務部RPAが稼働不能になった原因は,事務部RPAと連動している複数の業務システムのうち,あるシステムの画面レイアウトの変更に伴い,事務部RPAとのインタフェースに不整合が生じたことである。本来であれば,事務部が,事前に画面レイアウトの変更に関する情報を把握して対応すべきであったが,画面レイアウトが変更されたシステムは,事務部以外の部署が主管していたので,事務部が変更に関する情報を事前に把握することができなかった。こうした変更に関する情報を事前に把握できるのは,情報システム部である。
 システムトラブルが判明した直後に,事務部の担当者から連絡を受けたY社のシステムエンジニアが原因を特定して対応を行った。ただし,あらかじめ障害対応手順を定めていなかったので,システムトラブルの対応に時間が掛かってしまった。

〔情報システム部へのヒアリング結果〕
情報システム部へのヒアリング結果は,次のとおりである。
  1. 今後,RPAがより広く利用されるようになることを想定して,早急にRPAに関する管理方針を定める予定である。
  2. RPAの管理には,全社のRPAの管理責任部署が必要であり,その部署として情報システム部が適任であると考えている。
  3. 現在,社内のシステム関連規程類の改訂案の策定を終えた段階である。

〔本調査における監査項目及び監査手続〕
 内部監査部は,以上の予備調査の結果を踏まえ,本調査に向けて監査項目及び監査手続を表1のとおりまとめた。
pm11_1.png

設問1

表1中の項番1のaに入れる適切な字句を,15字以内で答えよ。

解答例・解答の要点

a:事務部RPAの実行ログ (11文字)

解説

応用情報技術者試験では、その時々の注目ITワードが出題テーマに取り上げられることがあります。RPA(Robotic Process Automation)は、ソフトウェア技術を用いてオフィス業務(主に定型業務)の効率化や自動化に向けた取り組み、および、その概念を指します。折からの働き方改革、人手不足対策を背景に、この数年でブームになっています。X社におけるRPA導入から監査実施に至るまでの経緯が本文に記載され、それが〔本調査における監査項目及び監査手続〕の表1の監査項目と監査手続の記載事項に対応していますので、各々を読み比べて、表1の空欄に対応する本文の箇所を特定するだけで解答できます。ほとんど国語の問題と言ってもよいでしょう。問題文の「RPA」を見て、その意味を知らずに焦りを感じた受験者もいたと推測されますが、実際はRPAの何たるかを全く知らなくとも解答できる、例年に比べて難易度の低い問題です。

aについて〕
事務部RPAの導入目的は「業務の効率向上」で、それが実際に効果をあげているかは、〔事務部RPA導入による業務プロセスの主な変更点と効果〕の「(2)事務部RPA導入による効果」に記載されています。「事務部は,事務部RPA導入によって一定の効率向上効果が得られることを,処理時間などが記録された事務部RPAの実行ログを基に確認した」と記載されていますので、導入目的が達成されているかを確認するには処理時間等などが記録された「事務部RPAの実行ログ」を査閲することとなります。

a=事務部RPAの実行ログ

※査閲とは、実際に見て調べることです。

設問2

表1中の項番2のbに入れる適切な字句を,15字以内で答えよ。

解答例・解答の要点

b:事務部RPA開発用資料 (11文字)

解説

bについて〕
事務部RPAの変更に必要となる情報については、〔事務部RPAの開発体制及び運用・保守体制〕の「(1)事務部RPAの開発体制」に記載されています。「Y社は,開発及び変更に必要なドキュメントとして"事務部RPA開発用資料"を作成した」と記載されていますので、変更に必要となる情報が整備されているかを確認する監査手続で査閲するのは「事務部RPA開発用資料」となります。

b=事務部RPA開発用資料

設問3

表1中の項番3のcに入れる適切な字句を,5字以内で答えよ。

解答例・解答の要点

c:再発防止策 (5文字)

解説

cについて〕
事務部RPAのシステムトラブルに対して何を講じるのかを本文から探します。〔事務部RPAの開発体制及び運用・保守体制〕の「(2)事務部RPAの運用・保守体制」に「事務部は,以前のシステムトラブルを踏まえて,情報システム部と連携して,再発防止策を講じて運用・保守面を強化することにした」と記載されていること、及び5字以内ということを踏まえると「再発防止策」が適切となります。

c=再発防止策

設問4

表1中の項番3のdに入れる最も適切な字句を,解答群の中から選び,記号で答えよ。
d に関する解答群
  • 事務部及びY社
  • 事務部及び拠点の一部
  • 事務部及び情報システム部
  • 情報システム部及び拠点の一部

解答例・解答の要点

d:

解説

dについて〕
事務部RPAのシステムトラブルに対して、再発防止策が講じられているかを確認する監査手続において、ヒアリング対象部署はどこかが問われています。ヒアリングする内容が「事務部RPAと連動している業務システムのインタフェース…事務部が即時に把握できる体制が整備されているか」ですので、事務部は明らかにヒアリング対象に含まれます。

「業務システムのインタフェース」については、〔システムトラブルの概要〕に、「事務部が変更に関する情報を事前に把握することができなかった。こうした変更に関する情報を事前に把握できるのは,情報システム部である」と記載されていますので、画面レイアウトの変更を把握できる情報システム部を事務部とともにヒアリング対象とすべきであることがわかります。実際の対応はY社が行っていますが、「事務部の担当者から連絡を受け」と記載されている通り、Y社は再発防止策の当事者とは言えません。拠点は、〔事務部RPAの開発体制及び運用・保守体制〕にも〔システムトラブルの概要〕にも登場しません」

d=ウ:事務部及び情報システム部

設問5

表1中の項番3のeに入れる適切な字句を,5字以内で答えよ。

解答例・解答の要点

e:変更 (2文字)

解説

eについて〕
〔システムトラブルの概要〕からトラブルが発生した原因を的確に読み取る必要があります。

原因は「事務部RPAと連動している複数の業務システムのうち,あるシステムの画面レイアウトの変更に伴い,事務部RPAとのインタフェースに不整合が生じたこと」であり、「事務部が,事前に画面レイアウトの変更に関する情報」を把握できなかったことであると記載されています。空欄に入る言葉はこの中にあることまで特定でき、5字以内という制約から候補となるのは「レイアウト」か「変更」です。

どちらを入れても監査手続の文章として意味は通りますが、より直接的にトラブルにつながったのは「変更」のほうです。事務部が所管外のシステムの「レイアウト」を適時に把握することは、RPAの運用およびトラブルの再発防止策を講じるうえで最重要事項ではありません。

e=変更

設問6

表1中の項番4のfに入れる適切な字句を,10字以内で答えよ。

解答例・解答の要点

f:障害対応手順 (6文字)

解説

fについて〕
事務部RPAのシステムトラブル発生時の影響を最小化できなかった事情が〔システムトラブルの概要〕に記載されています。それは「あらかじめ障害対応手順を定めていなかったので,システムトラブルの対応に時間が掛かってしまった」ことです。障害対応手順が策定されていれば、システムトラブルへの対応時間も短く済んだはずです。よって、事務部にヒアリングする内容は「障害対応手順」が策定されているかどうかになります。

f=障害対応手順

設問7

表1中の項番5のghに入れる適切な字句を,それぞれ20字以内で答えよ。

解答例・解答の要点

g:システム関連規程類の改訂案 (13文字)
h:全社のRPAの管理責任部署 (13文字)

解説

監査手続として、査閲する対象と確認する内容が同時に問われていますので、本設問だけは難易度が上がっています。

gについて〕
監査手続に「RPAに関する管理方針」とありますが、これは〔情報システム部へのヒアリング結果〕に記載されています。②では「RPAの管理には,全社のRPAの管理責任部署が必要」とあり、それが何(部署または文書)で定められるかを読み取ります。③に「システム関連規程類」が出てきて、本監査はこれの「改訂案の策定を終えた段階」で行われていますので、査閲する対象は「システム関連規程類の改訂案」であることがわかります。確認する内容はRPA管理が適切であるかどうかです。

g=システム関連規程類の改訂案

hについて〕
項番5の監査項目に「管理不在のRPAの…」とあるように、X社にはRPAの管理部署が存在しなかったことがわかります。そして、ヒアリングの②で「RPAの管理には,全社のRPAの管理責任部署が必要であり,…」としているため、システム関連規定の改訂案に「全社のRPAの管理責任部署」が定められているかを確認することが必要です。

「X社全体のRPA管理体制の適切性」といった解答が考えられますが、これは監査の目的ですので、監査手続には確からしさを担保する具体性が求められます。適切性を指し示す具体的な内容が本文に記載されていれば、そちらのほうを解答としなければなりません。

h=全社のRPAの管理責任部署
模範解答

Pagetop