システム構築プロジェクトの監査に関する次の記述を読んで,設問1〜6に答えよ。
クレジットカード会社のU社では,顧客利便性の向上,コストの削減などを目的として,インターネットを通じて各種情報を顧客に提供するシステムの構築プロジェクト(以下,本プロジェクトという)を推進している。
U社の内部監査部長は,年度監査計画に基づき,システム監査チームに対して,本プロジェクトの各段階の適切性を監査するよう指示した。
システム監査チームは,要件定義段階の監査をX年5月に行い,本プロジェクトに関して,次のことを把握した。
なお,監査の結果,監査報告書に記載すべき重要な指摘事項はなかった。
(1)要件の区分
要件は,機能要件,セキュリティ要件,運用要件などに区分される。
(2)機能要件
従来,クレジットカード利用明細などの顧客向けの情報(以下,カード利用情報という)は,基幹系システムで作成して出力し,広告用パンフレットなどとともに,顧客宛に送付していた。本プロジェクトでは,カード利用情報,広告情報などを顧客がWebブラウザで閲覧できるよう,情報系システムを開発するとともに,基幹系システムを改修する。
(3)セキュリティ要件
情報系システム及び基幹系システムの基本設計で定めるセキュリティ対策は,U社の情報セキュリティ対策基準に準拠する。
(4)要件の管理
要件定義段階で未確定の要件(以下,未確定要件という)は,課題管理表に記載し,確定するまで管理する。未確定要件は,基本設計の開始日から2か月以内に確定させる予定である。
(5)本プロジェクトの運営体制
本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会は,U社のシステム部の部長を議長とし,業務管理部,顧客サービス部などユーザ部門の各部長,及びプロジェクトマネージャのV氏で構成される。プロジェクト運営委員会は月1回の定例開催に加えて,必要に応じて臨時に開催される。
(6)本プロジェクトに適用されるプロジェクト標準
本プロジェクトには,U社のプロジェクト標準が適用される。プロジェクト標準の一部を表1に示す。
項番 | 項目 | 内容 |
1 | 要件定義 | ・検討した各要件に要件IDを付与し,要件定義書に記載する。 |
2 | 基本設計 | ・基本設計書は,“機能設計”,“セキュリティ設計”,“運用設計”などで構成される。 ・検討した各設計内容に設計IDを付与し,基本設計書に記載する。 ・要件IDと設計IDを対応付けた表(以下,要件対照表という)を作成し,基本設計書に添付する。 |
3 | 進捗管理 | ・プロジェクトの各段階のタスクの進捗状況は,タスク管理表に記載し,タスクが完了するまで管理する。 |
システム監査チームは,要件定義段階の監査に続いて,基本設計段階の監査を行うこととした。まず,予備調査をX年8月下旬に行い,プロジェクト計画書の確認などによって,次のことを把握した。
(1)基本設計は,X年7月1日に開始した。
(2)基本設計検討会は,V氏を議長とし,システム部及びユーザ部門の各部を代表する部員で構成される。基本設計検討会の議事録には,開催日時,出席者,検討事項,検討結果などが記載される。
(3)機能設計では,Webページの構成,情報系システムと基幹系システムとのインタフェースなどを検討し,その結果を基本設計書に記載する。予備調査の時点では,機能設計に関する複数のタスクが未完了であった。
(4)セキュリティ設計では,アクセスの制御,データの暗号化などを検討し,その結果を基本設計書に記載する。
(5)要件対照表は,X年8月31日までに作成を完了する予定である。
(6)プロジェクト運営委員会は,プロジェクト標準の内容を充足していることを確認して,X年10月31日に基本設計の終了を承認する予定である。
システム監査チームは,基本設計段階の監査について,予備調査の結果を踏まえて,本調査をX年9月10日〜14日と計画した。また,監査結果に基づいて基本設計を見直すことができるよう,監査結果報告をX年 a と計画した。システム監査チームが検討した監査要点及び監査手続の一部を表2に示す。
項番 | 監査要点 | 監查手続 |
1 | 要件定義の内容と基本設計の内容が整合していること。 | 要件対照表を閲覧して,要件ID及び対応する設計IDが記載されていることを確認する。 |
2 | 基本設計検討会での検討結果に基づき,機能が設計されていること | 基本設計書及び b を閲覧して,基本設計書の“機能設計”の内容が,基本設計検討会での検討結果と整合していることを確認する。 |
3 | 情報系システム及び基幹系システムのセキュリティ対策が適切に設計されていること | 基本設計書及び c を閲覧して,基本設計書の“セキュリティ設計”の内容が,セキュリティ要件を充足していることを確認する。 |
内部監査部長は,システム監査チームが検討した監査スケジュール,監査要点及び監査手続をレビューし,次のとおり指示した。
(1)表2項番1の監査手続だけでは,監査要点を確かめるための十分な監査証拠を入手できないので,追加の監査手続を検討すること。
なお,要件対照表には多数の要件ID及び設計IDが記載されているが,監査要員,監査時間などには制約があるので,効率的な監査手続とすること。
(2)〔基本設計段階の予備調査で把握した事項〕の(3)を考慮すると,表2項番2の監査手続では,監査要点を確かめるための十分な監査証拠を入手できない可能性がある。その場合に備えて,追加の監査手続を検討すること。
(3)〔要件定義段階の監査で把握した事項〕の(4)を考慮して,本プロジェクトの未確定要件に関して,表2項番1〜3の監査手続以外に,追加の監査手続を検討すること。
システム監査チームは,内部監査部長の指示を受けて,表3のとおり追加の監査手続を策定して,内部監査部長の承認を得た。
項番 | 内部監查部長の指示 | 追加の監査手続 |
1 | (1) | ①要件対照表に記載されている全ての要件IDを d として,要件IDをサンプリングする。 ②①でサンプリングした要件IDについての要件定義書の内容と,対応する設計IDについての e が整合していることを確認する。 |
2 | (2) | f を閲覧して,機能設計のタスクにおいて,基本設計書の“機能設計”の内容を記載する時期を確認する。 |
3 | (3) | 課題管理表を閲覧して, g を確認する。 |
出典:令和3年度秋期 問11
設問1 〔システム監査チームの検討〕に記述中の a に入れる最も適切な字句を解答群の中から選び,記号で答えよ。
解答群
- 9月9日
- 9月30日
- 10月31日
- 11月1日
解答・解説
解答例
イ
解説
設問2 表2項番2に記述中の b に入れる適切な字句を,15字以内で答えよ。
解答・解説
解答例
基本設計検討会の議事録
解説
設問3 表2項番3に記述中の c に入れる適切な字句を,15字以内で答えよ。
解答・解説
解答例
U社の情報セキュリティ対策基準
解説
設問4 表3項番1について,(1),(2)に答えよ。
(1) d に入れる適切な字句を,5字以内で答えよ。
解答・解説
解答例
母集団
解説
(2) e 手に入れる適切な字句を,10字以内で答えよ。
解答・解説
解答例
基本設計書の内容
解説
設問5 表3項番2に記述中の f に入れる適切な字句を,10字以内で答えよ。
解答・解説
解答例
タスク管理表
解説
設問6 表3項番3に記述中の g に入れる適切な字句を,20字以内で答えよ。
解答・解説
解答例
未確定要件の全てが確定していること
解説
IPA公開情報
出題趣旨
システム構築プロジェクトの基本設計段階では,要件定義の内容との整合性を確保すること,設計内容の適切性を確保すること,タスクや課題を管理することなどが重要である。
本問では,クレジットカード関連のシステム構築プロジェクトを題材に,基本設計段階の監査において,適時・適切な監査計画を策定する能力,十分な監査証拠を入手するための監査手続を策定する能力などを問う。
採点講評
問 11 では,クレジットカード関連のシステム構築プロジェクトを題材に,基本設計段階の監査について出題 した。全体として正答率は平均的であった。
設問 3 は,正答率が高かった。監査要点を確かめるための基本的な監査手続については,正しく理解できて いることがうかがえた。
設問 4 は,正答率がやや低かった。監査手続の一つであるサンプリングについて問うたが,サンプリングを理解できていないと思われる解答や,監査要点を確かめることができない資料などを挙げている解答が散見された。監査要点を確かめるための効率的な監査手続を策定する能力は重要であるので,是非身に付けてほし い。
設問 6 は,正答率が平均的であった。未確定要件に関する追加の監査手続を問うたが,未確定要件との関係が曖昧な解答が散見された。設問で問われていることを正しく理解した上で,解答してほしい。