AU 令和2年度秋期午後Ⅰ 問2

システム監査計画に関する次の記述を読んで，設問1〜5に答えよ。

　R社は，中堅の証券会社である。新たに就任した社長は，AIなどの技術を積極的に取り入れて，顧客向けのサービス拡大を図ることを経営戦略として打ち出している。例えば，チャットボットを活用した自動応答システムをコールセンタに導入するなど，戦略的に重要なシステムについて積極的な投資を行う方針である。
　R社監査部では，これまで，システム監査として，業務システムの監査及びテーマ別の監査を一定のサイクルで実施してきた。新社長の方針を受け，システム監査中長期計画の見直しを行い，今年度のシステム監査年度計画及び個別監査計画と併せて新社長に報告することになった。

〔システム監査中長期計画の概要〕
　監査部が見直しを行ったシステム監査中長期計画の概要は，次のとおりである。

（1）システム部が中心となって，主要システムの構築計画，インフラの整備計画を立案し，併せて，R社の保有するハードウェア，ソフトウェア及び業務システムを“情報資産一覧表”として作成している。監査部は，"情報資産一覧表”のうち，業務システムについては，それぞれシステムの機密性，完全性及び可用性についてリスクの評価を行う。

（2）業務システムについては，R社を取り巻く環境の変化を鑑み，毎年リスクを再評価し，その結果を踏まえて，監査対象を選定する。一方，インフラは，大きな更改があったときにリスクの再評価を行う。

（3）次の事項に該当する業務システムの開発プロジェクトについては，プロジェクト監査の対象とする。

　①業務への影響が大きい基幹系の業務システムの開発プロジェクト

　②開発予算が3億円を超える業務システムの開発プロジェクト

（4）災害対策，サイバーセキュリティ対策など，経営上重要なテーマと判断した場合は，システムや部門を横断的に対象とするテーマ別の監査を実施する。

（5）情報技術の高度化に対応できるよう，システム監査チームのメンバの教育，他部署からの異動，新規の人材の採用を進める。

（6）監査業務を支援する監査用ソフトウェアを導入して，作業の効率向上を図る。

〔システム監査年度計画の概要]〕
　システム監査中長期計画を基に監査部が策定した，今年度のシステム監査年度計画の概要は，次のとおりである。

（1）監査対象
　システム監査中長期計画に基づいて監査対象を選定し，表1のとおりシステム監査年度計画を作成した。業務システムについては，個人情報を取り扱う“顧客管理システム”などを対象とした。プロジェクト監査は，開発期間が1年以上に及ぶ“オンライントレーディングシステムの開発プロジェクト”を対象とすることになった。

表1　システム監査年度計画（抜粋）
監查对象	重点監査テーマ	監査対象部門	監査責任者及び監查担当者	監查時期
顧客管理システム	個人情報の取扱規程への準拠性及び個人情報管理の適切性	営業部	監査責任者：A 監査担当者：B	4月〜6月
オンライントレーディングシステムの開発プロジェクト	プロジェクトマネジメントプロセスの適切性	システム部	監査責任者：C 監査担当者：D	各工程の終了時

（2）システム監査チームメンバの教育計画
　リスク評価やセキュリティに関する教育のほかに，システム開発のプロセス，法令に関する教育を行う。システム開発のプロセスについては，システム部から監査部に異動してきたメンバを講師役とした勉強会を実施する。また，監査チームメンバには，システム監査技術者試験に加え，プロジェクトマネージャ試験などを受験させる。法令については，改正が行われた法令を中心に部内研修を実施する。

（3）監査環境の整備
　システム監査中長期計画に基づき，二つの監査用ソフトウェアの習得を進め，ノウハウを蓄積する。以前から利用している監査用ソフトウェアは，過去の監査手続書や監査調書，監査結果などが保存され，一覧形式での参照やキーワード検索の機能をもったソフトウェア（以下，電子監査調書ソフトという）である。また，今年度から新たに導入した別の監査用ソフトウェアは，収集したログなどを集計・分析する機能をもったソフトウェア（以下，データ分析ソフトという）である。

〔顧客管理システムの個別監査計画の概要〕
　システム監査年度計画の監査対象となっている顧客管理システムの個別監査計画の概要は，表2のとおりである。顧客管理システムは3年前にも監査対象となっていたので，その際に監査の対象外となった営業店を対象として監査することとした。

表2　顧客管理システムの個別監査計画の概要（抜粋）
（1）監査目的	マイナンバーを含む個人情報のアクセス権限管理の状況を確認し，個人情報が適切に管理されていることを検証する。
（2）監査の対象	・マイナンバー及び顧客から送付された本人確認書類を扱う端末のアクセス権限の管理（以下略）
（3）監査実施時期	4月〜6月（営業店への往査は5月下旬）
（4）監査手続の概要	・アクセスログをサンプリングによって抽出して，不正な端末利用の疑いのあるログがないか確認する。・営業店に赴いてアクセス権限管理状況の実査及び店長へのヒアリングを行う。（以下，略）
（5）監査責任者及び監査担当者	監査責任者：A，監査担当者：B

〔監査計画に関する社長からの指示〕
　監査部長は，システム監査中長期計画，年度計画，及び個別計画について社長に説明した。管理部門の経験があり，監査の知見もある社長からは，次のようなコメントがあった。社長からのコメントを受け，監査部長は監査計画を見直すことにした。

（1）監査対象システムの選定
　業務システムの監査対象候補について，環境の変化に応じてリスク評価を見直しているのは良いことだ。ただし，システムの機密性，完全性及び可用性の観点の評価結果だけで選定した場合，本来監査対象とすべきシステムが監査の対象とならない懸念がある。監査対象を選定する基準を見直す必要があるのではないか。

（2）プロジェクト監査
　システム部からの報告によると，システムのリリース延期や本番稼働後のトラブルも少なくないと聞いている。これまでの開発プロジェクトの監査では，主に開発工程の終了時の状態を監査しているが，それだけでプロジェクトの状況を適時に把握できるのか。例えば，監査人が，工程の進行中に開発プロジェクトの進捗会議に出席することは利点があると考えられるので，検討すること。

（3）監査部門の人材育成
　監査部門の要員の教育計画について，当社の経営戦略と整合させて具体的に作成すること。

（4）監査環境の整備
　電子監査調書ソフトを導入しているが，活用が進んでいないようなので計画を具体化して活用の推進を図ること。

　ー

IPA公開情報

出題趣旨

　システム監査人は，経営に寄与するという目的に沿ったシステム監査中長期計画，年度計画，個別計画を策定し，実施することが求められる。また，監査対象や監査テーマの選定，監査の実施体制や役割，監査手続などを計画する上で，常に最新の技術動向，経営方針，社内の環境などを視野に入れながら，これらの計画を策定する必要がある。さらに，計画的な採用・異動などで監査部門の人材を補強するとともに，要員の教育やリソースの最適な配置を実施し，監査用ソフトウェアの導入をはじめとした監査環境の整備も進めていく必要がある。
　本問では，上記の点を踏まえ，システム監査中長期計画や年度計画，個別計画を策定する能力，計画に基づいた適切な監査手続や監査ツールの利用を立案する能力を問う。

採点講評

　問 2 は，システム監査計画の策定及び見直しに際してのシステム監査人としての具体的な対応について出題した。全体として正答率は平均的であった。
　設問 1 は，監査対象の選定方法の見直しの内容を問うたが，本文中に記載してある選定基準をそのまま記載している解答が散見された。社長の指摘内容を参考に，戦略的に重要なシステムを監査対象に追加すべき点に気付いてほしかった。
　設問 3 は，監査部門の教育計画について問う内容であり，正答率はおおむね高かったが，AI の技術を習得するなど，システム部門の目線での解答も散見された。監査人の育成には，AI などの新技術を活用したシステムを評価、検証することが必要になるという点を踏まえて解答してほしかった。
　設問 5 は，データ分析ソフトを用いた監査手続について問うたが，アクセスログを全件対象にして集計分析することができる点は解答できていたので，確認する内容まで具体的に記述してほしかった。

前問ナビ次問