AU 令和2年度秋期午後Ⅰ 問3

システムの有効性の監査に関する次の記述を読んで，設問1〜5に答えよ。

　保険会社であるA社の内部監査部は，毎年，経営陣の課題認識をインタビューし，翌年度のシステム監査計画の策定に活用している。昨年度のインタビューでは，社長が“投資をして開発したにもかかわらず，十分に使われていないシステムがあるのではないか”と発言していた。そこで内部監査部は，今年度，A社の情報システム部と，このところシステム開発案件が増えている営業推進部を対象として，システムの有効性を監査することにした。これまでに判明した事実は，次のとおりである。

〔ITガバナンス〕
　A社は，経済産業省の“システム管理基準”に記載されたITガバナンスの定義に基づき，ITガバナンスを実践するために，経営陣が，情報システムに関するマネジメントとそのプロセスを評価し，指示し，モニタするように努めている。

〔IT投資の決定プロセスと情報システム戦略委員会〕
　A社は，情報システム戦略委員会（以下，情シス委員会という）を設置している。情シス委員会は，A社のIT投資計画全般の調整を行うことなどを目的とした委員会であり，IT投資の年度計画案を策定している。A社は，情シス委員会で協議した年度計画案を経営会議で審議し，取締役会で決議することで，IT投資を決定している。
　また，情報システム関連事項を経営会議に付議・報告する際には，事前に情シス委員会で協議するルールとしており，情シス委員会がA社のITガバナンスの要になっている。情シス委員会の事務局（以下，情シス事務局という）は，情報システム部と経営企画部が務めている。情シス委員会の体制は，図1に示すとおりである。

図1　情シス委員会の体制

〔システム開発体制とシステム開発年度計画案の策定手順〕
　A社では，システムごとに管理責任をもつ部（以下，オーナ部という）を定め，情報システム部とオーナ部が連携してシステムを開発する体制になっている。情シス事務局を務める経営企画部は，オーナ部を代表している。オーナ部の主な役割は，システム開発の起案，要件検討，テストの一部実施及び稼働後の活用推進などである。システム開発年度計画案は，表1に示す手順で策定され，情シス委員会によって承認されている。これらの役割・手順は，情報システム部が主管する“システム開発標準化規程”に定められている。

表1　システム開発年度計画案の策定手順の概要
項番	実施主体	実施内容
1	情シス事務局	システム開発案件の申請の受付を開始する。
2	オーナ部	優先順位を付したシステム開発案件を申請する。
3	情報システム部	システム開発案件ごとに工数・コストの見積りを行う。
4	情シス事務局	第1次事務局案を策定する。
5	情シス事務局	第1次事務局案を基にオーナ部に確認した上でシステム開発案件を絞り込み，絞り込み結果を基に第2次事務局案を策定する。
6	情シス委員会	第2次事務局案を基にシステム開発年度計画案を承認する。

〔IT投資効果検証の現状〕
　A社は，表2に記載のとおり，1案件当たりの投資額が5億円以上の大規模システム開発案件と，それ以外の中小規模システム開発案件（以下，自己評価対象案件という）について，2分類して投資効果検証を実施している。

表2　IT投資効果検証の現状
	大規模システム開発案件	自己評価対象案件
適用ルール	投資額が5億円以上の案件に適用される“投資規程”，及び“システム開発標準化規程”	“システム開発標準化規程"
対象案件数	年間約20件程度	年間約200件程度
投資額	年間のシステム開発費の約7割	年間のシステム開発費の約3割
検証主体	オーナ部と情報システム部	オーナ部
検証方法	計画段階で投資の回収に要する期間を明示し，検証予定時期が到来した時点で回収状況を検証する。	計画段階で期待効果を明示し，稼働後はシステムの活用状況と期待効果の達成状況を検証する。
最終報告先	経営会議	オーナ部長

〔自己評価対象案件に関するヒアリング結果〕
　内部監査部は，予備調査の初期段階で，自己評価対象案件の中に，計画どおりに活用されていないシステムが存在するという仮説を立てた。そして，営業推進部がオーナ部を担う自己評価対象案件のうち，直近3年分のシステム開発計画に関する資料を情報システム部から入手した。次に，内部監査部は，資料に記載されたシステムの用途と推定利用者数などを閲覧した。
　そして，稼働開始から短期間で多数の利用者数を見込んでいる“Web契約更改システム”が，計画どおりには活用が進んでいない可能性が高いと考えて，本調査で営業推進部にヒアリングした。ヒアリングの結果は，表3のとおりであった。

表3　“Web契約更改システム”のヒアリング結果（抜粋）
項番	項目	ヒアリング結果
1	システムの用途	インターネットを利用して顧客が保険の契約更改申込を行うためのシステムと定義されていた。
2	現時点の活用状況	システム開発計画段階では，外部コンサルタントの予測数値を基に稼働後の利用者数を推定していたが，利用開始から約2年経過した現時点での利用者数は，当初推定の約3%にとどまっていた。
3	計画段階での利用者ニーズの把握	外部コンサルタントのアドバイスを参考にしてシステム開発を企画していた。
4	稼働後の活用状況の確認方法	活用状況をモニタリングする仕組みを備えていないので，今回のヒアリング用に，情報システム部に依頼して直近の利用者数を把握していた。
5	これまでの活用状況の確認実績	稼働直後の数か月間は情報システム部に依頼して利用者数を把握していたが，検証予定時期をあらかじめ定めていなかったこともあり，その後は利用者数を確かめていなかった。

〔営業推進部の課題認識〕
　本調査でのヒアリングを通じて，営業推進部は，"Web契約更改システム”の実態を踏まえて，システム計画段階での対策と稼働後の活用推進などのための対策が必要と認識していることが分かった。営業推進部は，特に，計画どおりには活用されていないことを認識した時点で，利用を継続するか，又は廃止するかの判断を確実かつ速やかに実施するための新たなルールが必要だと，強い課題認識をもっていた。

〔情報システム部の課題認識と対策検討状況〕
　本調査での情報システム部へのヒアリングを通じて，情報システム部が，自己評価対象案件について営業推進部と同じ課題認識をもち，経営企画部と連携して対策の検討を開始していることが分かった。情報システム部は，対策として，次の2点を基本方針とする“システム開発標準化規程”の改訂を検討中であり，現在，改訂原案の策定を終えて，部内のりん議を上げる直前の段階であった。

（1）自己評価対象案件の活用状況と期待効果の達成状況の最終報告先を，情シス委員会に変更する。

　ー

IPA公開情報

出題趣旨

　近年，IT ガバナンスの重要性が増加している。“システム管理基準”についても，経済産業省は平成 30 年に改訂し，IT ガバナンスに関する内容を大幅に拡充している。具体的には，IT ガバナンスに関わる組織体制を示し，その中における経営陣や情報システム戦略委員会などの各種委員会，さらには情報システム部門や利用部門などが果たすべき役割を明確にし，それを受けて IT ガバナンスを構築・運用する際の指針と着眼点を例示している。このような基準の整備と併せて，IT ガバナンスへの関心の高まりもあって，IT ガバナンスに関する監査への期待も増してきている。
　本問では，システムの有効性を着眼点とする内部監査を通じて，IT ガバナンスの適切性を評価・検証する場合のリスク，コントロール及び監査手続に関して必要な能力を問う。

採点講評

　問 3 は，システムの有効性を着眼点とする内部監査を通じて，IT ガバナンスの適切性を評価・検証する場合のリスク，コントロール及び監査手続について出題した。全体として正答率は平均的であった。IT ガバナンスに関する内部監査としてのシステム監査人の対応にポイントがあった。
　設問 1 は，IT ガバナンスにおける経営陣の関与について問うたが，正答率は低かった。経営陣への報告や情報システム戦略委員会への報告について記述した解答が少なく，評価の時期や評価基準について記述した解答が散見された。まずもって，IT ガバナンスの意義についての理解を深めてもらいたい。
　設問 2 及び設問 4 は，リスクに対するコントロールを問うた。正答率は平均的であったが，解答の中には，利用者へのアンケートの実施などの特定の対策や，特定の部署に限定した対策を記述した解答が散見された。状況を正しく捉え，汎用的な対策を解答してほしかった。
　設問 5 は，監査手続を問うたが，正答率はやや低かった。監査項目だけを記述した解答が散見され，監査手続として何をどのように確認するのかを記述した解答は少なかった。状況を正しく捉え，適切な監査手続を記述してほしかった。

前問ナビ