AU 令和2年度秋期午後Ⅱ 問2

IT組織の役割・責任に関するシステム監査について

　企業などにおいては，業務改革，コスト削減，新サービス開発などを目的として，パブリッククラウドなどの外部サービスの利用拡大，AI，IoTなどの新技術の導入が進んでいる。これらのIT環境の変化に対応していくために，企業などは，IT組織の役割・責任を適時に見直し，変更する必要がある。
　変更されたIT組織がその役割・責任を果たすためには，IT組織内の体制変更や新たな能力の獲得・維持，必要な要員の確保・調整などの取組が求められる。また，IT組織は，役割・責任の変更に伴って新たに発生するリスクを認識する必要がある。
　例えば，開発・保守における外部サービスの利用を拡大した場合，外部サービスをマネジメントする役割・責任が求められる。また，外部サービスの利用拡大によって，IT組織内でのOJTの機会が減り，開発工数の見積りなどの能力やシステム機能の知見が維持できなくなるリスクが生じる。さらに，新技術の導入推進については，新たなソフトウェアや開発手法などの知識・経験不足によって，開発・運用を失敗するリスクが高まる。
　システム監査人は，このようなIT環境の変化を踏まえ，IT組織の役割・責任の変更に伴うリスクが適切に認識され，対応策が適切に実施されているかどうかについて確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア〜ウに従って論述せよ。

設問ア　あなたが関与しているIT組織について，現状の体制及び役割・責任の概要，並びにそれに対して影響を及ぼすIT環境の変化を，800字以内で述べよ。

設問イ　設問アで述べた状況を踏まえて，IT環境の変化に対応してIT組織の役割・責任をどのように変更するべきであるか，及びIT組織の役割責任の変更に伴って新たに発生するリスクについて，700字以上1,400字以内で具体的に述べよ。

設問ウ　設問イで述べたリスクに対応するための具体的な対応策と，その取組状況を確かめるための監査手続及びその留意事項について，700字以上1,400字以内で具体的に述べよ。

IPA公開情報

出題趣旨

　IT 組織は，外部サービスの利用拡大に伴って，従来の OJT による知識・経験が習得できなくなったり，IT 組織の要員削減や新たな能力の獲得・維持が求められたりする。また，AI システムなどの新技術の導入においては，新たな開発手法や技術に関連する知識・経験に加えて，組織全体のデジタル化推進役が IT 組織に求められる場合がある。
　これらの IT 環境の変化によって IT 組織に求められる役割・責任の変更は，新たな IT 組織の役割・責任を達成できないリスクを発生させる。したがって，IT 組織の役割・責任を適切に果たすためには，これらのリスクへの対応策を適切に構築し，有効に運用する必要がある。
　本問では，システム監査人として，IT 環境の変化によって新たに求められる IT 組織の役割・責任を適切に果たすことを阻害するリスクの評価及びこのリスク対応策が適切かどうかを監査するための知識・能力などを問う。

採点講評

　システム監査技術者試験では，システム監査人の立場から論述することを求めているが，システム担当者としての対応を論述している解答が散見された。また，監査手続を求めている論述では，そもそも監査手続の意味を理解できていなかったり，監査の実施内容を論述したりしているものが目立ち，確かめるべき監査項目と監査証拠について具体的に論述できている解答は少なかった。問題文の内容を踏まえて，設問で求めていることを論述するように心掛けてほしい。

　問 2 では，IT 組織の役割・責任の変更に伴うリスクと対応策，及びその取組状況を確かめるための監査手続について論述することを求めているが，個別の情報システム開発やクラウド導入プロジェクト管理などに関する論述が散見された。また，論述しているリスクについても，問題文の記述をそのまま使ったり，IT 担当者の能力だけの対応策であったり，設問アで論述した IT 環境の変化と整合していない一般論に終始したりする論述が目立った。問題文の趣旨を正しく理解して，設問ア，イ及びウで一貫した論述を心掛けてほしい。