【システム監査技術者試験】午後1試験の過去問と解説・対策

システム監査技術者試験の午後1試験の過去問と解説・対策についてまとめました。

【はじめに】出題傾向と過去問題

過去問はIPA公式ページ「過去問題(問題冊子・配点割合・解答例・採点講評)」に掲載されています。
午後試験の勉強を始める前に「システム監査基準(平成30年度)」をさらっと目を通しておくことをおすすめします。

システム監査技術者試験(AU)の概要、試験対策、攻略法
システム監査技術者試験の概要、攻略法についてまとめました。

【令和3年度・秋】午後1試験問題と解説

問1

設問 解答例 補足
設問1 ア 経営会議などの議事録を閲覧し、経営層によって十分に審議され、承認されているか確かめる
設問2 イ PoC計画書を閲覧し、目的、結果の評価基準、終了基準の記述があることを確かめる。
設問2 ウ PoC評価書を閲覧し、結果の評価や終了の判断についての記述を確かめる。
設問3 学習後に結果を評価しないで、本番移行してしまうという問題
設問4 AIの特性の教育や、結果の正しさや利用可否を判断する教育の予定がないから
ポイント 概要
IPA出題趣旨 AIに関する技術開発が急速に進む中,企業はAIの利活用による便益を増進させるとともに,AIの利活用から生じるリスクを抑制する必要がある。また,AIを導入するに当たって,導入目的や効果の検討,学習と評価,テスト,リスク,コントロールなどを留意する必要がある。本問では,チャットボット開発の企画段階の監査を題材として,AIのもつ特性,AIを利用したシステムの開発段階におけるリスク及びコントロールを理解し,コントロールの適切性を確認するための監査手続を選択して監査を実施する能力を問う
IPA講評 問1では,チャットボット開発の企画段階の監査を題材に,AIを利用したシステムの開発におけるリスク及びコントロールを理解し,コントロールの適切性を確認するための監査手続について出題した。全体として正答率は平均的であった。設問3は,正答率が平均的であった。学習データ,教師データの評価と,学習結果の評価を取り違えたと思われる解答が散見された。AIの学習と結果評価のプロセスでは,データを増やして学習させ,結果を評価し,想定した結果が得られた場合に本番移行するということに気付いてほしい。設問4は,正答率がやや低かった。AIの特性を記述した解答は少なかった。AIが示す結果が常に正しいとは限らず,その結果の正しさや利用可否を人間が判断すべきであることを理解するために,AIの特性を踏まえた教育が必要であることに気付いてほしい。

問2

【システム企画の監査】

設問 解答例 補足
設問1 予算規模に応じたIT投資の責任者がプロジェクト運営委員会のメンバとして参画していること 表2の「IT投資の意思決定権」や「予備調査の結果(4)」より、システム投資規程で予算規模に応じて最終決裁者が決められているとあるため、システム更新の予算規模に応じた最終決裁者をプロジェクトメンバに参画させるのが適切であるとわかります。
設問2 再構築方式を比較検討した際の評価項目に、ビジネス目標の視点があること 表2項番②のリスク欄に「コストを必要以上に削減した結果、ビジネス目標に合致しないシステムになる」と記載されています。また、コントロール欄では「コスト削減だけでなく、様々な角度から評価して再構築方式を決定している」と記載されています。この2つの文章を合体させ、「様々な角度」=「ビジネスの目標」としてまとめると解答例のようになります。
設問3(i) 現行システムの要件を熟知している者がいないので、仕様を適切に確定できない 「予備調査(1)」によると、現在のシステム担当者や保守の委託先ベンダは、現行システムの仕様を把握していないとあります。「本調査の計画(3)」によると、計画書の内容は「現行を踏襲する」とあります。また「本調査の計画(3)」では「要件定義書」には「現行どおり」とだけ記載されており、具体的な要件が記載されていません。表2項番③のコントロール欄では、「残るべき現行脳を明確にして合意を得るプロセスを要件定義工程で計画・実施している」とあります。これらの情報から、解答のようなリスクが導かれます。
設問3(ii) 業務要件が明確でないので、要件を充足しているかどうかのテストができないこと 同上
設問4 セキュリティ、障害設計などの非機能要件の実現性が検討されていること 「システムを稼働させるためには、ソースプログラムの変換だけでなく、新しいシステム基盤であるクラウドサービスの機能に依存する事項の検討が十分かどうかを確認する」とあります。つまり、クラウド環境に依存する問題(セキュリティや障害設計といった非機能要件)についても問題ないか確認する必要が生じることがわかります。
ポイント 概要
IPA出題趣旨 情報システムのハードウェアの老朽化やOSのサポート切れなどの課題を契機として,システムの再構築に取り組むことはどの組織でも起こり得る。再構築計画においては,どのような技術を採用するか,どのようなハードウェアやサービスを選択するか,既存の資産をどこまで活用するかなど,検討すべき項目は多岐に渡る。そのため,検討に当たっては,関連する部門は何らかの形で参画する必要がある。本問では,システム再構築プロジェクトの企画段階の監査を題材として,システムの企画段階でのリスク及びコントロールを理解し,コントロールの適切性を確認するための監査手続を選択して監査を実施する能力を問う。
IPA講評 問2では,システム再構築プロジェクトの企画段階の監査を題材に,再構築方式の選択に関連した企画段階でのリスク,コントロール,及びコントロールの適切性を確認するための監査手続について出題した。全体として正答率は平均的であった。設問2は,正答率が平均的であった。再構築方式の評価項目として,“ビジネス目標”の視点が含まれているかどうかについて問うたが,監査証拠や技法を解答するだけで,具体的な確認ポイントがない解答が散見された。監査証拠をどのような観点で確認すべきかを理解してほしい。設問3は,正答率が平均的であった。設計工程又はテスト工程での特有のリスクではない解答も散見された。リスクを具体的に把握し,それを低減させるコントロールを検討することの重要性を理解してほしい。設問4は,正答率がやや低かった。システムが稼働する基盤が変更になることに伴い,単にプログラムを変換するだけではなく,バックアップ,リカバリなど方式の変更や,セキュリティ,性能面などの非機能要件の検討を十分に行うことの重要性について気付いてほしい。

問3

設問 解答例 補足
設問1 テスト項目の質が十分であることが評価されていないから
設問2 課題管理表を閲覧し、マスタデータの作成ミスの再発防止策の内容と対応期限を確かめる
設問3 類似不良点検について、開発チーム間で情報共有されているか
設問4 システムテスト開始前に購買管理システムと生産管理システムとの疎通確認テストを実施すること
設問5 C社システム部及び利用部門が主体的にシステムテストを実施する体制を確保できるか
ポイント 概要
IPA出題趣旨 長期間使用してきた基幹システムのシステム再構築プロジェクトでは,新規のシステム開発のノウハウやプロジェクト管理のノウハウがシステム部門に乏しいケースが多い。その結果,外部委託先に開発作業を丸投げし,システム再構築プロジェクトが迷走することで,システムの稼働時期が延期したり,コストが大幅に超過したりするケースが発生している。本問では,システム再構築プロジェクトの結合テストの監査を題材として,システム開発を外部委託している場合の結合テスト完了評価に対する監査の観点,運用すべき監査手続の知識と立案能力を問う
IPA講評 問3では,システム再構築プロジェクトの結合テストの監査を題材に,システム開発を外部に委託している場合の結合テスト完了評価に対する監査の観点及び監査手続について出題した。全体として正答率は平均的であった。設問2は,正答率がやや低かった。生産管理システムの課題管理に関する監査手続を問うたが,品質管理に関する解答が多かった。また,抽象的な解答が多く,マスタデータの作成ミスに着目した具体的な解答が少なかった。設問に対応する本文の事例の内容を正確に読み取って解答してほしい。設問3は,正答率が平均的であった。財務会計システムは生産管理システムだけでなく他業務システムともインタフェースがあるということを踏まえ,生産管理開発チーム内だけでなく開発チーム間での情報共有が必要であることに気付いてほしい。

【令和2年度・秋】午後1試験問題と解説

問1

【システム企画・PoC(概念実証)】

設問 解答例 補足
設問1 分析に必要なデータが取得できるように「システム再構築計画」を見直していること 「DX-PJの活動状況」(3)(4)で、現在のシステムについて、「品質管理システムは、〜の詳細度の品質データを保持していない」「問合せ内容の分析〜回答用データベースのを1ヶ月に2回以上の頻度では更新できない」という制約があると記載されています。よって、2年前から進行中のシステム再構築計画で、分析に必要なデータを収集できるようにどう見直しているか確認する必要があります。
設問2 PoC報告書を閲覧して、活動テーマに即した仮説が設定されているかどうかを確かめる。 「DX-PJの活動状況」(1)で、PoCの実施状況は、「PoC報告書」で定例会にて報告したとあります。よって、PoCから役立つ結果が得られないリスクを確認するには、「PoC報告書」を閲覧して確認すれば良いことがわかります。
設問3 人材類型定義書を閲覧して、DXに必要な人材が明確になっていることを確かめる。 「情報システムに関係した施策の状況」(2)で、P社では求める人材像を「人材類型定義書」に定義したと説明されています。よって、人材類型定義書を閲覧し、定義された求める人材像が明確か確認すれば良いとわかります。
設問4 他部門のデータを活用するための責任や権限を明確にする必要があるから 「DX-PJの活動状況」(7)に、責任や軽減が不明確でデータの活用が難しいとあります。よって、データの活用のためには、それらを明確にする必要があるとわかります。
設問5 DX-PJ定例会の議事録を閲覧して、進捗管理指標が明確化かどうか確かめる。 「情報システムに関係した施策の状況」(3)で、過去にプロジェクトで遅延や目標未達があったため、重要プロジェクトはできるだけ進捗管理指標を設定しているとあります。よって、この進捗管理指標が明確に設定されているかをDX-PJ定例会の議事録から確認すれば良いことになります。
ポイント 概要
IPA出題趣旨 DX(デジタルトランスフォーメーション)への取組が,企業の経営において重要となっている。IoT,AIなどの技術を何らかの形で活用し始めている企業も多い。一方で,DXを推進する上では,既存システムの老朽化,人材の不足,推進体制・ルールの整備など,様々な課題に直面することもある。そのような課題への対処が十分でない場合は,DXに取り組んでいながら,経営に寄与する十分な成果が得られないリスクがある。DXの推進状況を監査する場合には,そのようなDX推進におけるリスクへの対処ができているかを見極めることが重要となる。本問では,DX推進の課題とリスクを理解した上で,必要なコントロールを想定し,監査ポイントと監査手続を設定する能力を問う。
IPA講評 問1はDX(デジタルトランスフォーメーション)の推進状況を対象とした監査を取り上げた。全体として正答率は平均的であった。 設問1は,DX推進の制約となっている状況への対応として確認するべき内容を問うたが,正答率は低かった。DXの中でもデータを活用した分析が重要だが,本文で説明されている状況から,必要な詳細度や頻度をもったデータを取得できないことが制約となっていることを理解して解答してほしかった。設問2,設問3及び設問5は,監査手続を問う内容であり,監査手続として,監査の対象・方法とそれによって確認する事項の二つを求めたが,その両方を明確に記述している解答は限られていた。記述すべき要件の網羅性に留意してほしい。設問2は,PoC実施の考え方を把握した上で記述することを求めているので,本文のDX-PJの活動目標の内容をよく読んで解答してほしかった。
ポイント1 設問2、3、5のような「具体的な監査手続を述べよ」という問題は、「〇〇を閲覧して、〇〇を確認する」という解答例が多い。つまり、具体的に何を閲覧して何を確認するかを本文中の言葉を用いて整理する必要がある。
ポイント2 PoC(Proof of Concept:概念実証)とは、システムの本格導入の前に、アイデアやコンセプトの実現可能性や効果などを事前に検証することです。事前に仮説を立てて検証することで実現可能性があり、想定目標どおりの効果が得られると判断できれば、本格導入時に向けてプロジェクトを進めていくというものです。

問2

設問 解答例 補足
設問1 戦略的重要度の観点も追加して対象システムを選定する
設問2(i) プロジェクトの状況を適時に把握し、早期に改善策を提案することができる。
設問2(ii) 監査人が出席することで、進捗に遅延があってもその根本原因を隠すことがある。
設問3 R社の経営戦略上重要なAIなどの技術について評価できる人材の育成
設問4 監査の実施状況やノウハウを共有でき、監査業務を効率化できる。
設問5 アクセスログの全件を集計・分析して不正な端末利用がないか確認する。
ポイント 概要
IPA出題趣旨 システム監査人は,経営に寄与するという目的に沿ったシステム監査中長期計画,年度計画,個別計画を策定し,実施することが求められる。また,監査対象や監査テーマの選定,監査の実施体制や役割,監査手続などを計画する上で,常に最新の技術動向,経営方針,社内の環境などを視野に入れながら,これらの計画を策定する必要がある。さらに,計画的な採用・異動などで監査部門の人材を補強するとともに,要員の教育やリソースの最適な配置を実施し,監査用ソフトウェアの導入をはじめとした監査環境の整備も進めていく必要がある。本問では,上記の点を踏まえ,システム監査中長期計画や年度計画,個別計画を策定する能力,計画に基づいた適切な監査手続や監査ツールの利用を立案する能力を問う。
IPA講評 問2は,システム監査計画の策定及び見直しに際してのシステム監査人としての具体的な対応について出題した。全体として正答率は平均的であった。設問1は,監査対象の選定方法の見直しの内容を問うたが,本文中に記載してある選定基準をそのまま記載している解答が散見された。社長の指摘内容を参考に,戦略的に重要なシステムを監査対象に追加すべき点に気付いてほしかった。設問3は,監査部門の教育計画について問う内容であり,正答率はおおむね高かったが,AIの技術を習得するなど,システム部門の目線での解答も散見された。監査人の育成には,AIなどの新技術を活用したシステムを評価、検証することが必要になるという点を踏まえて解答してほしかった。 設問5は,データ分析ソフトを用いた監査手続について問うたが,アクセスログを全件対象にして集計分析することができる点は解答できていたので,確認する内容まで具体的に記述してほしかった。

問3

設問 解答例 補足
設問1 自己評価対象案件の投資効果検証結果が、オーナ部内に留まっているので、経営会議に伝わらない。 「ITガバナンス」で「経営陣が、情報システムに関するマネジメントとそのプロセスを評価し、指示し、モニタするように努めている」とあります。しかし、「IT投資効果検証の現状」の表2より「自己評価対象案件」は報告先がオーナ部長になっているため、経営層が評価・指示・モニタできない仕組みになっています。
設問2 開発するシステムが利用者ニーズに合致しているかどうかを確かめていること 表3項番3で「外部コンサルタントのアドバイスを参考にしてシステム開発を企画していた」とあります。最も大事な利用者の意見は確認せずに、コンサルタントの意見だけで企画を進めてしまった恐れがあるため、確認する必要があります。
設問3① 活用状況のモニタリングの仕組みを構築する。 表3項番4で「活用状況をモニタリングする仕組みを備えていないので、〜」とあります。
設問3② 活用状況の検証予定時期を定めておく。 表3項番5で「利用者数を把握していたが、検証予定時期をあらかじめ定めていなかったこともあり、」とあります。
設問4 利用継続か廃止を判断するための基準値を稼働前に定めておく。 「営業推進部の課題認識」で、「利用を継続するか、又は廃止するかの判断を確実かつ速やかに実施するための新たなルールが必要」とあります。確実かつ速やかに実施するための新たなルールは、基準値などが考えられます。
設問5 経営企画部が改訂原案に賛同していることをヒアリングで確認する。 オーナ部を代表している経営企画部に確認することで、オーナー部にとっても改定原案が適切か確認します。
ポイント 概要
IPA出題趣旨 近年,ITガバナンスの重要性が増加している。“システム管理基準”についても,経済産業省は平成30年に改訂し,ITガバナンスに関する内容を大幅に拡充している。具体的には,ITガバナンスに関わる組織体制を示し,その中における経営陣や情報システム戦略委員会などの各種委員会,さらには情報システム部門や利用部門などが果たすべき役割を明確にし,それを受けてITガバナンスを構築・運用する際の指針と着眼点を例示している。このような基準の整備と併せて,ITガバナンスへの関心の高まりもあって,ITガバナンスに関する監査への期待も増してきている。本問では,システムの有効性を着眼点とする内部監査を通じて,ITガバナンスの適切性を評価・検証する場合のリスク,コントロール及び監査手続に関して必要な能力を問う。
IPA講評 問3は,システムの有効性を着眼点とする内部監査を通じて,ITガバナンスの適切性を評価・検証する場合のリスク,コントロール及び監査手続について出題した。全体として正答率は平均的であった。ITガバナンスに関する内部監査としてのシステム監査人の対応にポイントがあった。 設問1は,ITガバナンスにおける経営陣の関与について問うたが,正答率は低かった。経営陣への報告や情報システム戦略委員会への報告について記述した解答が少なく,評価の時期や評価基準について記述した解答が散見された。まずもって,ITガバナンスの意義についての理解を深めてもらいたい。 設問2及び設問4は,リスクに対するコントロールを問うた。正答率は平均的であったが,解答の中には,利用者へのアンケートの実施などの特定の対策や,特定の部署に限定した対策を記述した解答が散見された。状況を正しく捉え,汎用的な対策を解答してほしかった。 設問5は,監査手続を問うたが,正答率はやや低かった。監査項目だけを記述した解答が散見され,監査手続として何をどのように確認するのかを記述した解答は少なかった。状況を正しく捉え,適切な監査手続を記述してほしかった。

【平成31年度・春】午後1試験問題と解説

問1

設問 解答例 補足
設問1 類似作業の差異を考慮しないで共通化することで、業務に支障が生じる。
設問2 処理速度が速くなるので、関連システムの負荷が増大し、レスポンスが低下する。
設問3 ロボットの使用するIDとパスワードをアクセス制御された環境で保管していること
設問4 関連システム改修時に、RPAシステムの管理部署に連絡し影響調査をする規定があること
設問5 ロボットの稼働回数・稼働時間などのデータを分析し、費用対効果を検証すること

問2

【システム企画の監査】

設問 解答例 補足
設問1 重要度の設定の確認だけではプロジェクトとしての優先順位が検討されているかどうか確認できないため 「関連文書の重要度の設定確認だけでは、「予備調査の結果(5)」に記載されている「プロジェクトとしての優先順位が検討されているか」が不明です。
設問2 利用部門の代表者の要件定義書の作成への十分な関与を確認する必要があるから 体制図の確認だけでは要件定義書作成へどの程度関与しているかの実態がわからないため、議事録や利用部門代表へのヒアリングを通して実態を確認する必要があります。
設問3 委託先が進捗状況を正確に報告しているかどうかをA社として確認する必要があるから システム企画書の記載だけでは、委託先の進捗状況を正確に知るのは困難であるため、委託先との進捗会議の実施頻度や進捗報告の内容について追加の監査手続が必要になります。
設問4 ユーザ受入テストの役割分担、体制について明確に定められていること 「予備調査の結果(7)」で、本番リリース準備開始前までに、A社内でユーザ受入テストを実施することが判明しているので、そこに着目します。
設問5 開発着手後の追加・変更の要求に対応する際の採用条件を明確にし、利用部門と合意すること。 「リスクの洗い出し(3)」に「開発着手後も委託先に丸投げになる」リスクが記載されているので、そこに着目します。

問3

【平成30年度・春】午後1試験問題と解説

問1

【IPA出題趣旨】
ビジネスを取り巻く環境の変化が激しくなってきている状況において,システム開発プロジェクトの投資対効果をより詳細に管理し判断しようとする企業が増えてきている。しかし,投資対効果を管理し判断する制度を構築しても,効果的に運用できなければ,投資対効果を適切に検証できず,プロジェクトの継続可否を判断することに活用できない。本問では,“ステージゲート”の制度を題材として,システムの投資対効果を判断し,経営判断に生かすための真に役立つ制度であるかを見極めるために,システム監査人として,適切な視点から監査手続を設定し,実行する能力があるかどうかを問う。

設問番号 IPA解答 解説
設問1 システムを利用し業務を遂行する主管部署がシステムオーナとなっているかどうか
設問2(i) ユーザ部門の教育費用
設問2(ii) ゲートシステムの登録内容を閲覧し,費用項目の網羅性及び入力必須設定を確認した。
設問3 投資委員会によるゲートでの審査に明確な判断基準があること
設問4 プロジェクトの特性に応じて投資対効果を測定する時期が定められていること
設問5 プロジェクトに利害がある者が審査に関わっていないこと

問2

【IPA出題趣旨】
業務遂行の結果として生成される各種の業務データを,収集,分析し,ビジネスに有効活用することで,業務効率の向上や,働き方改革に資する取組みが,企業活動において重要になっている。そのためには,業務データを収集・蓄積するデータ分析システムを利用することが効果的である。データ分析システムの構築には,幅広いデータを収集・蓄積して,それを分析することによって,何らかの知見を得ようとするアプローチと,分析の目的を明確にした上で,そのために必要な範囲のデータを収集するアプローチが考えられる。本問では,この二つのアプローチの特徴(長所・短所)を理解した上で,システム監査人として,データ分析システムの利用に伴うリスクとコントロールを踏まえて,監査手続を設定できる能力があるかどうかを問う。

設問番号 IPA解答 解説
設問1 本番運用サーバの負荷が増大し、スケジュール管理システムのレスポンスが低下する。 「本調査の結果」(1)で「システム監査人は、本番運用中のサーバとは別にレプリケーションサーバを構築して、そこからデータを収集する方法を検討する必要があると考えた」とあります。よって、解答のようリスクをシステム監査人が考えていたと推察できます。
設問2 サンプルデータについては,個人情報に該当するデータ項目はマスキング処理を行う。
設問3 サービスレベルが高すぎるために,運用コストが高くなる。
設問4 活用検討会の議事録を入手して,データ分析の目的が明確に説明されていることを確認する。
設問5 “会議開催実績表”を閲覧して,1人当たりの会議時間の減少を確かめる。

問3

【IPA出題趣旨】
アプリケーション・システムの更新は,少なからず情報システムリスクの変化を伴う。リスクレベルが下がる領域がある一方で,新たなリスクが発生することもある。大規模なシステム改修や再構築の場合は,プロジェクトの規模が大きくなり,情報システムリスクやコントロールが再検討され,システム監査の対象となることも多いが,比較的小規模な機能追加や変更などの改修の場合は,見過ごされがちである。本問では,比較的小規模な改修であっても生ずる可能性のある情報システムリスクを見極め,適切なコントロールが設定されているかどうかを監査できる知識と能力を問う。

設問番号 IPA解答 解説
説問1 a 販売管理システムによるEDI受注内容のチェック 「新しい販売管理業務の概要」(1)受注で、「Q社との受注はすべて、EDIで行う。新しい管理システムが受注内容の自動チェックを行う」とあり、これが従来の受注責任者の承認に代わるコントロールとなります。
設問2(1)b EDI取引契約書順不同
設問2(1)c 要件定義書
設問2(2)d 受発注成立の条件の全てが受注データのチェック要件として定義されていること
設問3 e 1件当たり10万円以上の受注を10万円未満の受注に分割して入力する
f 定期的に10万円未満の受注の一覧表を出力し,受注責任者がチェックする
設問4 g 出荷指示リストと出荷完了リストとの突合が行われるようになっていることを確認すること
用語 概要
EDI 企業間取引時の文章(契約書、受発注書など)を専用回線や通信回線を用いてやり取りする仕組み。データ管理の手間や経費を削減できます。(Electronic Data Interchangeの略、電子データ交換)を意味します。

【平成29年度・春】午後1試験問題と解説

問1

ポイント 概要
IPA出題趣旨 企業グループの再編,M&A に伴って,アプリケーションシステムや業務データを統合することは珍しいことではない。その際,日常の業務処理とは異なるリスクが発生し,それに対応するコントロールが必要になる。また,統合の目的や背景を十分に踏まえた管理体制が重要となる。したがって,このようなコントロールと管理体制の特徴を十分に踏まえたシステム監査が求められる。本問では,在庫管理システムの統合を題材として,監査ポイントと監査手続の設定の前提となる,リスクの識別と適切なコントロールを考察できる思考力を問う。
IPA講評 問1では,企業グループの子会社の合併に伴う在庫システムの統合を題材に,合併の目的や背景を十分に踏まえた管理体制の監査について出題した。設問2は,実地棚卸の差異数量が適正に修正されないというリスクに対する,職務分離によるコントロールを問うた。職務分離は,重要かつ基本的なコントロールの一つであり,システム監査人としてよく理解していてほしい。問題文中に差異数量の修正プロセスについての具体的な職務分離の状況の記述があるにもかかわらず,職務分離とは異なる解答が少なからず見られた。設問3は,全ての差異数量の修正完了を保証するためのコントロールを問うた。個々の処理が適正に行われるコントロールがあるとしても,処理漏れがないことを保証するものではない。設問4は,長期滞留品の抽出漏れというリスクとそれに対するコントロールに関する監査手続を問うた。抽出漏れが起きる原因や抽出漏れを防止するためのコントロールを記述しており,監査手続の記述様式になっていない解答が多く見られた。
設問番号 IPA解答 解説
設問1 A社がB社から仕入れたモジュール製品製造用の製品にB社と異なる製品コードが設定されているから
設問2 登録入力ができる担当者と承認入力ができる責任者を別の者とする
設問3 在庫移管開始前に全ての棚卸差異データの承認入力が完了していることを確認する。
設問4 システム担当者に質問し,最終出庫日が在庫移管日で置き換えられないことを確認する。
設問5 統合後の取引件数及び品目数の増加に対応できるシステムの処理能力が検討されていること

問2

ポイント 概要
IPA出題趣旨 システム開発の品質確保のために,品質管理の仕組みを構築している組織は多い。しかし,運用が形式的になっていたり,“管理のための管理”になっていたりして,品質の確保・向上に十分に寄与していない場合も見受けられる。そこで,システム監査人は,品質管理の仕組みの表面的・形式的なルールだけでなく,その運用状況を詳細に確認し,品質確保・向上に真に役立つものになっているかどうかを検証する必要がある。本問では,システム開発における品質管理の運用状況について,リスクやコントロールを認識し,確認すべき事項を理解して適切な監査手続を設定できる能力を問う
IPA講評 問2では,金融機関のシステム開発及び運用を担う子会社を題材に,システム開発における品質管理の適切性の監査について出題した。 設問2は,工程完了の基準を満たさないプロジェクトに関する判定の妥当性を確認する監査ポイントを問うた。流用元のシステムの品質評価結果についての解答が多く見られた。レビューの指摘密度が指標値を満たさなかった理由について,品質管理部が,“過去に開発したシステムの設計書を流用できたこと”などの理由の妥当性を審査して承認していることをシステム監査人は確認すべきである,という点を理解してほしい。 設問3は,表計算ソフトを使用してレビュー記録表を一覧化して確認しようとした監査手続の目的(1)と,その手続の改善点(2)について問うた。(1)については,概ね正答を導き出していたが,(2)については,レビュー管理の実施内容についての改善点の解答や,全く別の観点での監査手続を追加するという趣旨の解答が散見された。設問に記載されている“監査部が実施した監査手続の改善点”という設問の趣旨をよく理解して解答してほしい。 設問4は,システムテスト工程の完了判定基準について,不足している可能性がある項目を監査人として推定できるかどうか問うた。テスト標準の内容として表1に示されている項目が工程完了の判定基準に含まれているかを解答すればよい
設問番号 IPA解答 解説
設問1 レビュー指摘件数としてカウントする指摘内容の判断基準が明文化され,各開発部に周知されているか 「詳細設計工程の完了判定に関する確認」(1)のPMからの回答で、設計担当者が新人のときは修正指摘などは報告書から除外したとあり、レビュー指摘件数のカウント方法が適切に定められて、担当者に周知されているか確認する必要があるため。
設問2 実績値が指標値を下回った理由について,品質管理部が審査して承認していること
設問3(1) レビューアによってレビュー観点が異なり,指摘区分に偏りが発生していないか 「詳細設計工程の完了判定に関する確認」(3)の(1)について、「レビューアごとの指摘区分別の指摘項目数をカウント」したとあるため、レビューアごとにばらつきが生じていないか確認する必要があります。
設問3(2) 表計算ソフトを使用して傾向を分析するなら,サンプリングではなく全件調査すべきである 21件すべてを調査すべきなのに、レビュー一覧表の検討はサンプリングした3件のみであるため。
設問4 テスト標準で定められたテスト密度などの実績値が工程完了の判定基準に含まれているかどうか。 「システムテストで発見されるべき不具合が、ユーザ受入テストで発見される」「完了判定基準の項目が不十分な可能性がある」と記載されているため、これらを確認する必要があります。

問3

ポイント 概要
IPA出題趣旨 近年,制御システムにおいても汎用のシステム機器と通信プロトコルが用いられるようになったことによって,マルウェア感染や不正アクセスなどのサイバー攻撃のリスクが増大している。このため,制御システム及びそれが接続されているネットワークにおいても,セキュリティ対策を講じることが不可欠となっている。本問では,セキュリティ管理の対象及びレベルが異なるシステムやネットワークの接続に伴って発生するリスク,並びにリスクの程度に応じたコントロールを識別できる能力,また,それらのコントロールの有効性を検証するために必要な監査手続を選択できる能力を問う
IPA講評 問3では,石油精製会社の制御ネットワーク及び制御システムのセキュリティ管理対策を題材にして出題した。 設問1は,予備調査において入手した2種類の管理規程が,それぞれ個別に策定されていることに着目し,両者間で定めるセキュリティ管理のレベルの不整合や矛盾の可能性に気づいてほしかったが,一方の規程における不備について述べた解答が多く見られた。 設問3は,セキュリティパッチ適用前に確認すべき事項(1)と,セキュリティパッチ適用間隔が長いことに対する補完的コントロール(2)について問うた。(1)については,セキュリティパッチ適用後の確認事項に関する解答が少なからず見られた。また,(2)については,インターネットへの接続制限やネットワークの遮断など,制御ネットワーク及び制御システムの正常稼働に影響を与え得る内容の解答が散見された。問題本文中の背景及び設問の趣旨をよく把握した上で解答してほしい。 設問4は,“技術的対策が適切に講じられていることを確認するための監査手続”について問うたが,単に“~を確認する”という記述にとどまる解答が多く見られた。監査手続を記述する場合には,監査技術(監査証拠を入手するための手段・方法)も併せて記述する必要があり,監査上のポイントを明確にすることも大切である。また,技術的対策に該当しない対策についての解答も散見された。
設問番号 IPA解答 解説
説問1 両規程で定められたセキュリティ管理のレベルが同等であり,相互に矛盾がないこと
設問2 不要なアクセス権をもつ社員などによる情報の持出しやインターネット経由の外部からの不正アクセス
設問3(1)① セキュリティパッチ適用計画書
設問3(1)② 制御データ処理時の影響調査結果報告書
設問3(2) 侵入防御システムの導入による防御
設問4 ポリシを査閲し,遠隔監視・保守に必要なパケットだけを通過させる設定になっていることを確認する

【平成28年度・春】午後1試験問題と解説

問1

設問番号 IPA解答 解説
設問1 新技術を利用した攻撃などの可能性があるイベントを検知できない。
設問2 ・詳細な確認方法の記述がない確認事項について,情シ兼任社員に確認方法を質問した。
・情シ兼任社員が行った,詳細な確認方法の記述がない確認事項のトリアージ記録を査閲した。
設問3 システム変更時にその内容をB社CSIRTに報告させ,影響を把握する仕組みの構築
設問4(1) 外部で発生したインシデントへの対応を適切に行えず,B社グループが同様の被害を受けること
設問4(2) グループ外での対応が遅れ,B社グループ内で発生したインシデントと同様の被害が外部に拡大すること
ポイント 概要
IPA出題趣旨 組織体の活動や社会インフラがITに大きく依存している現在では,ITを使った犯罪や事故が後を絶たず,情報セキュリティの脅威が多様化・複雑化している。組織体は,脆ぜい弱性情報の公表,ウイルス感染被害や情報漏えい事故の発生,内部不正の発覚などの情報セキュリティインシデントに対し,トップダウンでの対策実施,脆弱性や事故への迅速な対応のために,組織全体としての体制強化が求められている。 本問では,情報セキュリティインシデントへの迅速で適切な対応を目的として設置された組織内CSIRTの運用において発生するリスクの知識,リスクの程度に応じたコントロールを識別する能力,及びコントロールの有効性を検証するために必要な監査手続を選択する能力を問う。
IPA講評 問1では,情報セキュリティインシデント対応状況の監査について,組織内CSIRTの運用状況を題材として出題した。設問1は,“情報技術の進歩”や“攻撃形態や方法の変化”に対応できなくなる可能性についての解答を求めたが,“イベントの検知漏れ”や“インシデントの判定誤り”のように,どのような種類のイベント又はインシデントかについて言及していない解答が散見された。与えられた情報を基に,問題点を過不足なくまとめる能力を身に付けてほしい。 設問3は,B社CSIRTに対する“変更の報告”及びそれに伴うインシデントハンドリングへの“影響の把握”を解答として求めたが,後者に言及した解答は少なかった。前者だけでは対策として不十分であることを認識してほしい

問2

ポイント 概要
IPA出題趣旨 システムの移行判定では,ユーザ受入テストの実施,コンティンジェンシープランの策定,システム停止・変更に関する顧客向け告知など,システム部門だけでなく,利用部門,システムオーナなどがそれぞれ適切な役割を果たしていることを確認する必要がある。システム部門の視点だけで,移行判定基準が策定されたり,移行判定が行われたりすると,移行後に利用部門,顧客などに対して影響を及ぼすトラブルが生じるおそれがあるからである。 本問では,移行判定のプロセスに沿って,判定に係る問題点を識別して監査目的を設定する能力,移行判定の適切性を確かめるための具体的な監査手続を策定する応用能力を問う。
IPA講評 問2では,システム統合プロジェクトにおける移行判定を題材に,中間移行判定後の監査と最終移行判定前の監査における目的,手続,指摘事項などについて出題した。 設問2は,移行判定の状況を確認するために,監査手続においてどのような資料を閲覧するかを問うた。しかし,問題文に示された判定結果の承認体制について,理解が不十分と考えられる解答が散見された。 設問3は,最終移行判定前の監査の目的を問うた。しかし,題意に沿わずに,判定基準と判定手続を取り違えた解答,監査目的と指摘事項が整合しない解答,監査のタイミングについて理解が不十分と考えられる解答などが多く,正答率は低かった。 設問4は,監査の指摘事項として,判定条件を満たしているかを確認するための判定手続を問うた。正答率は高かったが,判定根拠資料を明確に記述していない解答が散見された。
設問番号 IPA解答 解説
設問1 両社システム部門担当者は,顧客への影響告知の必要性について,両社利用部門担当者に確認したか 表1項番3によると、「以降日の深夜2時間はクレジットカードが利用不可になる」とあり、システム部はその件について告知不要と認識しています。一方、利用部門担当者は監査中にインタビューで「顧客告知を行うべき」であると言っています。よって、システム部は利用部門担当者に確認した上で告知不要と判断したのか確認する必要があります。
設問2 ① ・ST中間報告書 システムテストの不具合については「ST中間報告書」を確認します。
設問2 ② ・システム統合委員会議事録 未対応については、システム統合委員会が判定しているため、「システム統合委員会議事録」を確認します。
問3 a 更新されて,中間移行判定で付けられた条件を満たしたか確認する。 未対応状態で、システム統合委員会が条件付きで可としたか、判定根拠資料を元に確認します。
問3 b 最終移行判定手続が適切に策定されていることも確認する。 判定項目ごとに判定条件を満たしているか確認するために、各移行判定手続きがどのように策定されたのか確認します。
設問4 CPと訓練結果報告書を照合して,訓練結果を踏まえてCPが必要に応じて見直されたか確認する。 訓練実施だけでは不十分なので、CPと訓練結果報告書を用いて、CPに実効性や見直し等がされているか確認します。

問3

設問番号 IPA解答 解説
設問1 P社にインタビューし,T課長がPMの役割を果たしていることを確認する。
設問2 複数の委託先間にまたがって調整すべき事項が発生すること
設問3 A法人での意思決定がタイムリに行われず,工程の遅延や手戻りが発生するリスクがある。
設問4 プロジェクトの進行に合わせて,T課長がP社の管理業務の内容を随時見直していること
設問5 要件定義を担当した委託先とは異なる委託先に開発を委託する場合の引継ぎ期間が考慮されているか
ポイント 概要
IPA出題趣旨 大規模なシステム開発を行う場合に,システム部門やオーナ部門の体制が十分でないことがある。そのような場合に,プロジェクト管理業務を含め,開発業務を複数のベンダに委託することがある。とりわけ,プロジェクト管理業務については,それを委託したからといって,委託先間の調整,重要な計画変更,管理上の意思決定まで外部に依存してよいということではない。本問では,発注者側の体制が十分でない場合の大規模システム開発プロジェクトを監査するに当たり,リスクと必要なコントロールを把握し,適切な監査要点及び監査手続を設定する能力を問う。
IPA講評 問3では,プロジェクト管理業務を含め,複数の委託先に開発を発注するプロジェクトを題材に,プロジェクト管理の監査について出題した。 設問1は,PMが他の業務を兼務している場合にプロジェクト管理業務を円滑に実施できているかを判断するための監査手続を問うた。“成果物にPMの承認があることを確認する”など,表2の監査要点に合致しない監査手続の解答が多くみられ,正答率は低かった。 設問4は,進行中のプロジェクトにおけるフォローアップの内容を問うた。正答率は高かったが,通常のプロジェクト管理状況に関する監査手続の解答も散見された。基本設計段階で判明した課題に対して,PMがどのようにプロジェクト管理業務を改善しているかについて,システム監査人がフォローアップすることの重要性を認識して解答してほしい。 設問5は,基本設計に遅れが生じているという背景記述から,システム監査人が確認すべき基本設計の計画段階での考慮事項を問うた。計画についてではなく,“引継ぎが実施されたか”といった,事実についての確認事項を記述した解答が多く見られた。

【平成27年度・春】午後1試験問題と解説

問1

設問番号 IPA解答 解説
設問1 VDIサーバ,ネットワークに掛かる負荷に基づく検討
設問2 ウイルス対策ソフトによる VDI サーバの負荷増加が,パフォーマンスに影響を与えるから
設問3 パフォーマンス悪化又は障害の兆候を早期に検知して通知する機能を追加する。
設問4(1) 業務継続に必要なVDIサーバの仕様と数を見積もり,平常時と同等の業務遂行ができるようにする。
設問4(2) 継続が必須な業務を識別してVDIサーバの仕様と数を再検討し,VDI導入コストの最適化を図る。
項目 概要
IPA出題趣旨 仮想化ソリューションの成熟に伴って,仮想化したデスクトップ環境をサーバ側で一元管理する VDI への注目が高まっている。VDI 導入によって,TCO 削減,情報漏えいの防止,PC 運用管理の効率向上,業務継続の実効性強化など,多くの課題が解決できると期待されている。このために,近年,多くの企業で VDI 導入が進んでいるが,実際には,想定していなかった運用上の問題が発生し,その対応に苦慮しているケースも少なくない。 システム監査人は,VDI 導入の企画段階でシステム監査を実施することによって,VDI 導入のリスクが適切にコントロールされているかどうかを検証する必要がある。 本問は,VDI 導入に当たって検討すべき内容や新たに生じるリスクの知識,及び,リスクに応じたコントロールとそれが存在しない場合のビジネスへの影響を踏まえて複数の観点から改善提案を行うことができるかどうかを問う。
IPA講評 問 1 では,デスクトップ仮想化の企画段階における監査について,VDI 導入に向けた検討プロジェクトを題材として出題した。 設問 1 は,業務の変化に起因する VDI サーバ及びネットワークに掛かる負荷の変化に基づく解答を求めたが,システム資源やパフォーマンスへの影響のように,具体性を欠く解答が散見された。与えられた情報を基に,不足している具体的情報を識別する能力を身につけてほしい。 設問4は,一つの指摘事項に対し,二つの異なる観点からの改善提案を問うたが,(2)は,TCO削減の観点からの改善提案を導けず,正答率が低かった。(1)は,正答率が高かったが,PC の段階的更新によって社内情報システムへのリモートアクセスの手段を残しておくといった,VDI 導入の理由を考慮していない解答が散見された。C社がなぜVDI導入を計画しているのか,問題文から背景を理解して解答するよう心がけてほしい。

問2

設問番号 IPA解答 解説
設問1 B社通販課員は,依頼されたテストデータが業務委託先で受領されたことを適切に確認しているか。
設問2 マスク処理結果票
設問3① ・業務体制図上の全ての従業員について教育実施記録があるか。
設問3② ・従業員の着任年月と教育実施年月が一致しているか。
設問4 受託業務担当の従業員に対する教育実施記録を網羅的に確認する必要があるから
設問5 再委託先など委託業務体制が変更された場合に,速やかに情報セキュリティ確認書を提出させる
項目 概要
IPA出題趣旨 事業会社などの情報システム関連業務は,外部委託される傾向が強まっている。また,業務委託先は,委託された業務を他社に再委託する場合もある。さらに,業務委託先,再委託先などにおいて,契約社員,派遣社員などが委託された業務を担当する場合も増えている。このような状況において,業務委託にかかる管理の不備を原因とした情報セキュリティ事故の発生も少なくない。 システム監査人は,業務委託先や再委託先における情報セキュリティ管理状況の確認を含めて,業務委託元における情報セキュリティ管理状況を確認する必要がある。 本問は,外部委託された情報システム関連業務の情報セキュリティ管理状況を監査するに当たり,適切な監査要点及び監査手続を策定し,有効な改善提案を行うことができるかどうかを問う。
IPA講評 設問2 では,外部委託された情報システム関連業務を題材にして,情報セキュリティ管理状況の監査における要点,手続,改善提案などについて出題した。 設問 1 は,テストデータの受け渡しについて,業務委託元における受領の確認を監査要点として設定できるかを問うものである。しかし,題意に沿わずに,業務委託先への送付や業務委託先における受領を監査要点とする解答も散見された。 設問 3 は,業務委託先における情報セキュリティ教育の実施状況の確認を確実に立証するために,二つの資料を照合する追加的な監査手続において確認すべき事項を特定できるかを問うものである。しかし,題意に沿わずに,情報セキュリティ確認書の確認事項をそのまま記述した解答が散見された。 設問 4 は,業務委託先の体制変更時期と監査資料の作成時期の相違を考慮して,監査資料の十分性について理解しているかを問うものである。しかし,題意に沿わずに,再委託先に対する教育実施状況の確認についての解答も散見された。正答率は低かった

問3

設問番号 IPA解答 解説
設問1 「各事業本部及び各子会社が,それぞれの特性に応じた独自の分析を行えること」に関する調査結果 「企画書に記載された開発目的(4)」に「各事業本部及び各子会社がそれぞれの特性に応じた独自分析を行えること」とあります。しかし、「図1 調査報告書の概要」にはそれが調査に含まれていないことがわかります。
設問2 子会社の重要な情報が経営会議資料に適切に反映されず,誤った経営判断を行うリスク 各子会社は、第6営業日中に経営情報システムに月次報告を登録し、第8営業日の経営会議で用いられます。しかし、調査結果によると、登録が遅れたり報告内容が不十分な子会社があるとなっています。よって、不十分な情報のまま経営会議が実施され、経営判断に悪影響が生じる可能性があります。
設問3 開発プロジェクトの当事者が作成した調査報告書であり,調査の客観性が担保されないから
設問4① ・各子会社に対して,月次報告の研修を適切な時期に実施していること
設問4② ・アクセスログを利用し,各子会社の利用状況を分析していること
項目 概要
IPA出題趣旨 事業会社などの情報システム関連業務は,外部委託される傾向が強まっている。また,業務委託先は,委託された業務を他社に再委託する場合もある。さらに,業務委託先,再委託先などにおいて,契約社員,派遣社員などが委託された業務を担当する場合も増えている。このような状況において,業務委託にかかる管理の不備を原因とした情報セキュリティ事故の発生も少なくない。 システム監査人は,業務委託先や再委託先における情報セキュリティ管理状況の確認を含めて,業務委託元における情報セキュリティ管理状況を確認する必要がある。 本問は,外部委託された情報システム関連業務の情報セキュリティ管理状況を監査するに当たり,適切な監査要点及び監査手続を策定し,有効な改善提案を行うことができるかどうかを問う。
IPA講評 問 3 では,システムの有効性の監査に関して,企業グループの経営情報システムを題材として出題した。設問は,プロジェクトリーダなどによって実施されたシステム稼働後の利用状況に関する調査報告書の監査での取扱いを中心に設定した。 設問 3 は,調査報告書の監査証拠としての性格を問うものである。プロジェクト関係者によって行われた調査は,監査対象から独立した主体によって実施されたものとはいえず,たとえ調査が公正不偏に行われたとしても,その調査結果の客観性が担保されない。この基本的な考え方が分かっていれば解答できる問題であるが,正答率は高くなかった。“監査”の本質に関する知識・能力を身につけてほしい。 設問 4 は,既に具体的な問題点が明らかになっている場合に,監査手続によって確認する事項を問うものである。“登録が遅れる子会社や報告内容の不十分な子会社”があることの原因は種々考えられるので,多様な解答が見られた。しかし,設問では事業本部に起因する原因に限定されている。問題本文で事業本部と子会社のかかわりについての記述を抽出すると,事業本部の作業チームによる子会社に対する研修と,事業本部でのアクセスログによる利用状況の分析の2点であるところから正答を導けたはずである。

【平成26年度・春】午後1試験問題と解説

問1 システム企画・保守業務

【IPA出題趣旨】
稼働中のシステムの中には,リリースから長期間経過して,システムの全体像を把握している開発担当者がいなかったり,改変を重ねて複雑になっていたりするシステムが少なくない。また,ドキュメントが整備されていなかったり,更新されていなかったりして,実際に稼働しているプログラムと不整合を起こしているシステムもある。このために,保守の作業を起因とする障害が発生したり,二次障害を引き起こしたりすることもあり,保守業務の品質確保が大きな課題となっている。 本問では,システム監査人として,保守業務の監査を行う場合に,このような保守の実態を理解して監査手続を設定し,実施する能力があるかどうかを問う。

【IPA講評】
問 1 では,情報システムの保守業務を題材にして,保守作業を起因とする障害発生のリスクを踏まえたコントロールの設計や監査ポイントについて出題した。 設問 1 は,調査用ツールを使用した影響範囲の調査において,調査漏れを防ぐためのコントロールを問うものである。正答率は低く,影響範囲の調査やライブラリの指定方法に関連しない解答が散見された。 設問2は,テスト範囲が不十分なことで不具合が残存するリスクに対するコントロールを問うものである。障害時対応のコントロールなど設問の趣旨に添わない解答も散見されたが,正答率は高かった。 設問3は,類似障害の発生を防止するためのコントロールと,それに関連して,障害報告書に記載すべき事項を具体的に問うものである。他システムにも発生し得る障害についての原因や対策を網羅的に調査し,その対応結果を確認することの必要性を認識していれば解答できる問題である。正答率は高かった。 設問4は,新規に開発されたシステムを保守担当者が引き継ぐときの留意点について問うものである。ドキュメントの網羅性などの形式的な引継ぎだけではなく,保守を実施する上で必要かつ十分な内容かどうかを保守担当者が確認することの必要性を認識していれば解答できる問題である。“引継ぎ規程どおりに実施し,責任者が承認したか”,といった形式的な内容の解答が多くみられ,正答率は低かった。

設問番号 IPA解答 解説
設問1 ライブラリの指定範囲に漏れや誤りがないことを別の担当者がチェックしているか。 保守担当者1名だけで関連ライブラリを都度指定しているため、調査漏れが生じる可能性があります。よって、ダブルチェックが必要と考えられます。
設問2 修正箇所のテストだけでなく,修正プログラムの後続プログラムのテストも実施する。 修正箇所や対象プログラムだけでなく、対象範囲を広げて、影響が出そうな関連プログラムなども確認の必要があると考えられる。
設問3 記載すべき コントロール 同様の原因による障害が発生するおそれがないかどうかを全システムに対して調査する。
設問3 障害報告書に記載すべき項目 障害の発生原因に応じた他システムへの展開の要否及び展開を実施した結果
設問4 ドキュメントの内容に保守作業で必要な情報が網羅されていることを確認しているか

問2

【IPA出題趣旨】
情報系のシステムは,有効な情報をタイムリに提供できなければならない。このためには,情報の質だけでなく,システムの利用方法に関する理解も必要となる。一方,情報には,機密情報も含まれるので,参照できる情報の制限も厳格に検討する必要がある。また,情報の管理レベルや情報の提供項目を変更する場合には,元情報を作成する上流のシステムも考慮して検討する必要がある。 本問では,予算管理システムを事例として,提供する情報の質,情報の利用方法及びその情報の管理について,システム監査人の立場から監査を実施する能力があるかどうかを問う。

【IPA講評】
問2では,予算管理システムの要件定義段階を題材にして,効果的な情報系システムを構築・運用するための考慮事項や監査ポイントについて出題した。 設問 1 は,権限内での作業を限定するためにシステムに組み込むべきコントロールを問うものである。正答率は高かったが,問題文中の記述に記載されている事項と似たような解答もあった。 設問 2 は,現状のシステムと必要な情報が変更された場合における他システムへの影響を問うものである。会計システムや予算管理システムの信頼性,本文中の記述で記載されている考慮事項に関する解答が散見され,正答率は,低かった。 設問 3 は,効果的な実績情報の利用の面から取込みのタイミングにおいて,どのような点に留意すべきかを問うものである。当該システムの目的と,月次決算確定後の取込みが正確性を重視して決定されたことを認識していれば解答できる問題である。正答率は高かったが,既に検討されている“正確性”と類似した解答も散見された。 設問 4 は,情報系システムを有効に利用する面から,システム導入前に実施する研修について問うものである。X 社では,“広範囲な利用者を対象とした情報系のシステム”は初めてであることを考慮して,システムの操作技能だけでは導入後にシステムが効果的に利用できない可能性があることを認識していれば解答できる問題である。正答率は低かった。 設問 5 は,情報系システムの利用促進を目的としている開発プロジェクトおいて,機密情報の情報管理が十分に検討されていることを確かめるための要件段階での監査手続を問うものである。操作ログや各社員の権限設定状況のような稼働後でないと監査できない解答が散見された

設問番号 IPA解答 解説
設問1 一定金額以上の予算修正が入力できないようにする。
設問2 予算項目に対応した会計データを基幹システムから全て取り込めるよう計画されているか。
設問3 実績データの取込みが,月次決算後では遅すぎる可能性が検討されていないから
設問4 情報の活用方法が理解できず,予算・実績情報が効果的に利用されない。
設問5 権限マトリックスを閲覧し,機密レベルの高い情報の参照権限が適切に制限されているか確かめる

問3

【IPA出題趣旨】
従業員の業務生産性及び利便性の向上,端末導入コスト及び通信コスト削減などのために,BYOD(Bring Your Own Device)導入を検討する企業が増えてきている。しかし,当初想定していた目的を達成できなかったり,想定していなかったリスクが発生し,BYOD導入を中止したりする企業もある。企画段階でシステム監査を実施することによって,BYOD導入に起因するリスクが適切に認識されているかどうかを検証する必要がある。 本問では,システム監査人として,BYODの監査に当たり,BYOD導入によって新たに生じるリスクに関する知識,及びリスクに応じたコントロールとそれが存在しない場合の影響を識別する能力があるかどうかを問う。

【IPA講評】
問 3 では,個人が所有するモバイル端末の業務利用(以下,BYOD という)の監査について,BYOD 導入プロジェクトによる検討内容を題材として出題した。 設問1は,モバイル端末に関する技術の進歩の速さと Z 社が定めるバージョンよりも古い OS を搭載したモバイル端末の使用禁止という二つの事柄から導かれるリスクについて解答を求めたが,ウイルス感染や不正侵入のように,単にセキュリティの脅威を記述した解答が見られた。与えられた事象や状況から,それらに起因するリスクを識別する能力は,監査人にとって不可欠なので,ぜひ身につけてほしい。 設問 2 は,データ保護対策について具体的に述べた解答が多く,正答率が高かった。しかし,モバイル端末にデータを保存しないといった,問題の趣旨に沿わない解答も少なからず見られた。保護の対象が,モバイル端末内に保存されているデータであることを理解していれば正解を導けたはずである。 設問 4 は,システム監査人が,アンケート調査の項目を考慮し,“従業員の満足度が低下し,BYOD 実施率がアンケート調査の結果を下回る可能性がある”と考えた理由を問うたが,効果測定項目の不足及びその他の観点からの解答が散見された。問題文をよく読み,趣旨に沿って解答するよう心がけてほしい。

設問番号 IPA解答 解説
設問1 旧型の機種を使用し続けることによって,Z社が定めるセキュリティ要件を満たせなくなるリスク
設問2① ・モバイル端末を使用するためのパスワードなどの設定
設問2② ・モバイル端末内に保存されているデータの自動暗号化
設問3 要員が常時迅速に対応できる体制を構築する必要があり,人件費が増加する可能性があるから
設問4 BYODに伴う制約事項や費用負担方針などについて,従業員の理解が得られていない可能性があるから
設問5① ・想定FAQを作成し公開する。
設問5② ・専用問合せ窓口を設置する。

【平成25年度・春】午後1試験問題と解説

問1 システム企画・アジャイル開発

【IPA出題趣旨】
ビジネスの変化に対して迅速かつ柔軟に対応することを目的として,アジャイル開発を採用する組織が増えている。しかし,“コスト削減”や“短期開発”,“ドキュメントを作成しない”といった観点だけに着目して開発を進めると,かえってコストが増大したり,納期をオーバしたりするなどの問題が発生する場合もある。本問では,システム監査人として,アジャイル開発の特徴や留意点を理解し,リスクを見極め,必要なコントロールを抽出し,開発プロジェクトを監査する能力があるかどうかを問う。

【IPA講評】
問1では,システム開発の企画段階での監査について,アジャイル開発を題材として出題した。 設問 1 は,ドキュメントを作成しない場合のリスクについての基本的な問題であり,正答率は高かった。しかし,(1)では,“目的が共有されない”など表面的な事象を記述した解答が多かった。“共有されない”ことから,システム化の目的が達成されない,スコープがずれる,などの事象まで具体的なリスクを挙げてほしい。 設問 2 は,組み込むべきコントロールを問うたが,正答率は低かった。“該当イテレーションの終了を承認する”といった形式的な承認行為や,ウォータフォール型の開発手順を意識した解答が目立った。 設問3は,開発体制上のリスクの内容を問うたが,形式的な手続の不足を記述した解答が多かった。 設問 4 は,システム監査人として,的確な監査項目を設定し,必要かつ十分な監査手続を実施できる能力を有しているかどうかを問う問題である。(2)では,監査手続を問うているが,監査項目だけを記述した解答が散見された

設問番号 IPA解答 解説
設問1 (1) スコープ外の要求まで取り込んでしまうリスク アジャイル開発の計画段階で「開発目的、開発条件、スコープなどを記載したドキュメント」がない場合、開発目的が達成できなかったり、スコープ外の要求を取り込んでしまうリスクが生じます。
設問1 (2) 調査に工数が掛かり,障害への迅速な対応ができないリスク 保守・運用段階のドキュメント」が不足した場合、システム開発の状況が正確に把握できず、問題が生じた場合の対応に時間がかかってしまいます。
設問2 イテレーションの進め方を評価し,次回に反映すること 本調査の実施(2)「次のイテレーションに向けて組み込んでおくべきプロセス」とあるので、現在のイテレーションの結果を振り返って次回のイテレーションに活かすといった内容だと考えられます。
設問3 システム部の T 氏がプロセスオーナだと,業務の要件や優先順位を的確に判断し意思決定できないから 本調査(3)でシステム監査人が外部コンサルタントへのヒアリングし、「プロセスオーナーが要件の最終確定を行うという原則が重要であることを認識した」とあります。また、予備調査では、業務内容を把握しているのは、「ユーザーチームの営業企画部」、確定した要件の実現確認テストを行うのは「ユーザーチーム」となっています。よって、システム部に所属しているプロセスオーナー=PM=T氏では、要件の最終確定(優先順位付け)を行うことが困難です。
設問4(1) ツールの使用方法を参加メンバに周知する場が設けられているか アジャイル開発に不慣れな者が多く、ツールに習熟しないメンバが多いため、開発開始段階でツールを利用できるように使い方等を周知する必要があると考えられます。
設問4(2) 事前に決められたルールに従って成果物が作成されているかどうかを確認する。 ツール利用が適切になされているか確認する監査手続なので、成果物を通じて確認します。

問2

【IPA出題趣旨】
病院は,多種多様な専門職が所属する多くの部門から構成される。各部門は業務に特化したシステムを使用し,各システムは,電子カルテシステムを中心に,処理及び情報共有を行う。病院業務を支えるシステムは無停止稼働が求められており,エラー又は障害が,患者の生命や健康に損害をもたらすこともある。本問では,このようにエラーや障害に対する厳格な対応が求められる電子カルテシステムの運用を例にして,システム運用に伴って発生するリスクの種類や程度に応じたコントロール,発見事項を裏付ける監査証拠,及びシステム監査人による判断の根拠を識別する能力を問う。

【IPA講評】
問2では,情報システム運用の監査について,電子カルテシステムを題材として出題した。 設問 2 は,機能強化について具体的に述べた解答が多く,正答率が高かった。しかし,“自動確定後も医師が確定操作できる設定にする”,“自動確定しないようにする”など,問題文の趣旨に沿わない解答も散見された。自動確定が,やむを得ない場合の措置として必要とされている背景を理解していれば正解を導けたはずである。 設問3は,“表1の項番2(見読性)の二つの観点”に基づく解答を求めたが,問題文の趣旨から外れ,保存性及びその他の観点からの解答が散見された。また,バックアップデータが取得された時期とそれらのデータを参照するための専用ソフトウェアのバージョンとの関係を把握していない解答も多かった。 設問 4 は,システム監査人が,“手書き伝票による代替運用が実質的に機能しない可能性がある”と考えた理由を問うたが,“運用手続が定められていないから”,“BCP が策定されておらず,訓練も行われていないから”など,表面的な事象に関する解答が多く見られ,正答率は低かった。コントロールの不備に起因するリスクを識別する能力は,システム監査人にとって不可欠なので,是非身につけてほしい

設問番号 IPA解答 解説
設問1 ・ユーザID及びパスワードの管理が適切で,なりすましの可能性がないこと
・調査の対象となる操作ログが全てそろっており,改ざんが行われていないこと
設問2 自動確定前に,医師へ承認及び確定操作を促す通知を表示する機能
設問3 (1) 異なるバージョンで作成されたバックアップデータを参照するテストが行われていないから
設問3 (2) 適切な時間内に遠隔地のバックアップデータを入手し書面化するテストが行われていないから
設問4 ・手書き伝票で運用を代替した場合の業務負荷の増加分が検証されていないから
・手書き伝票起票後の各部門システムとの連携方法が検証されていないから

問3

【IPA出題趣旨】
情報システム開発,各種コンサルティングなどの企業においては,顧客から受注した案件単位でのプロジェクトとして業務が遂行されることが多い。それぞれのプロジェクトの目標達成のためのプロジェクトマネジメントは当然のことながら必要だが,同時に,プロジェクトの売上,原価及び損益を正しく把握することも,企業経営における重要な課題となる。本問は,このような企業におけるプロジェクト会計を管理するシステムについて,必要な観点を理解して監査する能力を確かめることを狙いとしている。

【IPA講評】
問3では,会計システムの監査について,開発プロジェクトの損益管理を題材として出題した。 設問 1(1)は,業務上のリスクを問うたが,正式な注文が得られないという手続面での問題にとどまっている解答が多かった。結果として損益が悪化するなど経営に与える影響に踏み込んで解答する必要がある。 設問 2 は,技術者の作業時間を管理しているのはプロジェクト管理者であることが理解できれば解答できる問題であるが,“勤怠管理システムとの整合性が確認されていない”,“技術者が自己申告で入力している”といった解答が見られた。本来承認を行うべき者が承認しているかどうかという正当性の概念を正しく理解する必要がある。 設問 3(1)は,業績管理という動機となる原因から,プロジェクト管理者が指示する可能性を理解できているかを問う問題である。しかし,一般作業として作業時間を入力するなど,単に入力方法の記述にとどまっている解答が散見された。 設問 4 は,プロジェクト責任者が損益の悪化を早期に把握する仕組みを問うたが,単にアラーム機能や,損益の悪化を予想する機能など,具体性に欠ける解答が見られた。更に踏み込んで,問題文に示された状況から,どのような機能が望ましいかを具体的に提言できる能力をつけてほしい

設問番号 IPA解答 解説
設問1(1) 顧客から正式な注文が得られず,損益が悪化するリスク
設問1 (2) 仮発番から2週間を過ぎると警告が表示される機能
設問2 プロジェクト管理者が入力された作業時間を承認していないから
設問3 (1) 業績評価を良くするため,プロジェクト管理者が作業時間を過少に入力させることがあるから
設問3 (2) 作業実績管理サブシステムの作業時間と勤怠管理システムでの実働時間を突合する。
設問4 プロジェクト管理者の入力内容をプロジェクト責任者が承認する機能

問4

設問番号 IPA解答 解説
設問1 規程は概括的で,担当者によって妥当性の判断に差異が生じる可能性があるから 「販売プロセスに関連するシステムの概要及びその環境」の「システム管理規程、情報セキュリティ規程などの情報システムに関する管理規程・手順書は懐疑的であり、利用者IDなどの申請フォームの記載もなく、パスワードの桁数などの具体的な数値も記載されていない」とあります。よって、監査手続き①aの実施にあたっては、各監査担当者の事前の統一した理解がないと、監査結果に差異が生じる可能性があります。
設問2 他システムの権限を含めて検討すると、職務分離が適切でない可能性があるから 「各システムには、個別にアクセスコントロール機能が組み込まれている。利用者は、システムごとに申請を行い、適切な責任者の承認を受ける。各システムの管理部署は、申請に基づき、利用者IDの登録・削除を行う」とあります。表2で監査要点①cの対象システムが「全てのシステム」となっているため、前述の各システムごとにバラバラに設定された付与権限が適切か、個々の監査担当者のみでは判断するのが困難だと想定されます。
設問3 出荷実績データの正確性及び網羅性を保証するために,出荷指示データとマッチングする。 倉庫業者とは「出荷指示データ」「出荷実績データ」の2つのデータでやり取りをしています。よって、この2つのデータに矛盾が生じていないか確認する必要性が考えられます。
設問4 出力されたエラーデータが,全て会計システムに入力されているか確かめる。 項目チェックでエラーが検出されたトランザクションは、エラーリストに出力され、経理部で修正して、会計システムに入力される」とあります。よって、この入力に漏れがないか確かめる必要があります。
設問5 月末において請求データが作成されていない当月
項目 概要
IPA出題趣旨 業務プロセスは,必ずしも一つのシステムだけがサポートしているわけではなく,複数のシステムが連携してサポートしていることが多い。このような状況では,個々のシステム単位で監査を行うのでなく,システムの関連性や複数のシステムを一体として監査しなければリスクを適切に評価できない。本問は,このような,複数システムの連携に着眼して監査を効果的に実施できる能力や経験を問う。
IPA講評 問4では,販売プロセスのシステム監査について,複数システムの密接な連携処理を題材として出題した。設問 1 は,システム環境や規程類の整備状況に着眼すれば解答できる問題である。事実だけの記載にとどまり記載が十分でない解答が散見されたものの,正答率は高かった。 設問 2 は,内部けん制に配慮した権限の監査において,複数のシステムを一貫して,分離すべき職務を確認することが必要である点に着眼すれば解答できる問題である。しかし,システム間での職務分離の必要性同一人物に一緒に付与すべきでない権限の考慮についての解答は少なかった。 設問 4 は,会計システムにおける請求データのインタフェース処理でエラーが発生していることを理解できれば解答できる問題であり,正答率は高かった。 設問 5 は,当月売上データにおいて,正常にプロセスが運用されていて,会計システムにインタフェースされない売上データがあることを理解できれば,解答できる問題である。しかし,販売プロセスにおけるデータフローが十分に理解できていない解答などが散見された。
システム監査技術者試験(AU)の概要、試験対策、攻略法
システム監査技術者試験の概要、攻略法についてまとめました。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の試験要綱で整理されている分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、I...

コメント

タイトルとURLをコピーしました