システム運用業務の監査に関する次の記述を読んで,設問に答えよ。
金融機関であるC社は,新しい情報技術やクラウドサービスなどの活用によって新たなサービスや業務の抜本的な改革を進めている。一方で,自社のコンピュータセンターで運用している基幹系を中心とする既存の情報システムにおいて障害が発生すると,顧客や業務に多大な影響を及ぼす可能性があることから,情報システムの安定稼働を重要な経営課題の一つと位置付けている。他の金融機関で発生したシステム障害の事例及び最近の自社での障害の発生状況などを踏まえ,システム部は,情報システムの安定稼働のための対策を実施中である。
監査部では,システム運用業務(以下,運用業務という)に関する監査を定期的に実施しており,今年度は運用業務の中から,リスクの高い運用管理及び障害管理について,3名の監査チームによるシステム監査を実施することにした。
〔運用業務の状況〕
C社では,十数年前の合併によるシステム統合の際に,運用業務をIT子会社であるD社に委託することにした。また,“運用管理規程”を見直して,運用業務の効率向上を図ってきた。
C社の運用業務の体制は,図1のとおりである。
図1 運用業務の体制
C社の運用業務の状況は,次のとおりである。
(1)C社システム部には,システム管理課と七つの開発課があり,各開発課はそれぞれの担当システムについて開発,保守を担当している。
(2)システム管理課は,D社への運用業務委託の窓口であり,C社システムの全体を統括する役割を担っている。
(3)D社では,運用管理部がC社の運用管理業務及び運用作業を受託している。実際の運用作業は,複数の会社に再委託している。
(4)再委託先は,C社の運用管理規程に基づいてD社が作成しC社が承認した運用手順書に従って,運用作業を実施している。
(5)運用手順書には,システムごとの作業手順を記載した個別運用手順書,及びシステム共通の作業手順を記載した共通運用手順書がある。個別運用手順書を作成又は変更する際には,C社システム部の保守担当者(以下,保守担当者という)がレビューし,承認している。共通運用手順書については,C社のシステム管理課がレビューし,承認している。
(6)障害が発生した場合には,C社システム部,D社及び再委託先が共通で参照更新できる障害管理データベース(以下,障害DBという)に障害内容を登録し,対策の内容及び再発防止策の策定までを管理することになっている。また,障害発生時の対応作業の実施前後には,保守担当者及びD社運用管理部の責任者による承認が必要であり,承認されると自動的に承認記録が更新される。
〔予備調査の結果〕
監査チームが実施した予備調査の結果は,次のとおりである。
(1)運用管理
①D社運用管理部は,C社との間でSLAを締結し,運用レポートをC社システム管理課に毎月提出している。運用レポートの書式や作成方法を統一し,簡易なツールを整備することで,運用レポート作成の負荷軽減を図っている。
②D社では,運用業務の効率向上を図るために,再委託先への運用作業の委託を進めてきた。再委託先の要員は,短期間で入れ替わることも多いことから,運用管理規程に関する研修を実施することで,作業品質の維持向上を図っている。
③定例の運用作業は,運用手順書に従って実施されている。ただし,想定外のエラーが発生した場合の対応方法については,必ずしも決められているわけではない。
(2)障害管理
①夜間の運用作業は,再委託先の要員だけで実施していることが多い。障害の発生によって運用手順書に記載されていない作業が必要となった場合には,保守担当者の承認を得てから作業を実施するルールになっている。しかし,夜間の障害発生時に,速やかに保守担当者に連絡が取れるとは限らず,その場合は,D社運用管理部の責任者の承認の下に必要最小限の対応を行うことになっている。保守担当者には,事後に承認を得るルールになっている。
②最近,オンラインシステムの画面処理が大幅に遅延する障害が発生した。原因は,データベース上のデータの断片化が進んでいたことによるものであった。保守担当者とD社運用管理部のデータベース管理者とが協力して再発防止策を策定し,今後同様の障害が発生しないよう対策を講じた。
③障害発生状況の分析結果を調べたところ,共通運用手順書による作業が起因となる障害は減少していた。しかし,個別運用手順書による作業が起因となる障害は,減少していなかった。システム管理課の見解では,“データ量の増加があったシステムにおいて,C社システム部が想定していなかった障害が発生しているようだ”とのことであった。
〔監査手続書の作成〕
監査チームは,予備調査の結果を踏まえて,監査手続書案を作成した。作成した監査手続書案を表1に示す。
| 項 | 監査項目 | リスク | 監査手続 |
| 1 | 運用管理規程の変更時における運用作業の品質確保 | 運用手順書の作成の経緯を熟知している要員がいない状況で,作成された背景や理由を十分理解しないまま誤った運用作業を実施してしまう。 | 再委託先要員への教育記録を査閲し,運用管理規程が変更された都度,全ての再委託先要員に対して運用管理規程の研修を実施していることを確認する。 |
| 2 | 障害対応時における運用管理規程の遵守状況 | a | 再委託先の要員にインタビューし,夜間に発生した障害の対応時に,D社運用管理部の責任者の承認の下に実施されていることを確認する。 |
| 3 | 再発防止策の横展開の状況 | 障害対応が現場レベルでの対応にとどまり,C社の責任において組織的に実施されず,同様の障害が再発する。 | D社運用管理部のデータベース管理者に全システムに再発防止インタビューし,策の横展開が実施されていることを確認する。 |
| 4 | 障害の予防対策の状況 | 再発防止策がその場限りの対応にとどまり,将来の障害に備えた対策が実施できない。 | 障害DBを査閲し,将来の障害に備えた再発防止策が記載されていることを確認する。 |
監査部長は,監査手続書案をレビューし,次のように内容を見直すよう,監査チームに指示した。
(1)運用管理
①表1項番1について,運用管理規程の変更があった際に,運用作業の品質が確保されるようになっているかどうかを,C社システム管理課に対して確認する監査手続を追加すること。
(2)障害管理
①表1項番2について,追加の監査証拠として,障害DBから過去1年分の障害管理データを入手して,分析,調査すること。
②表1項番3について,経営課題を踏まえてシステムの運用状況を確かめるには,D社運用管理部のデータベース管理者だけでなく,障害管理の責任部門であるC社システム管理課にもインタビューすること。
③表1項番4について,障害DB中の再発防止策の欄には,将来の障害に備えた対策までは記載されていない可能性があるので,C社システム部から保守の計画書を入手して,将来のことを考慮した障害の予防対策が検討,実施されているかどうかを確認すること。
設問1 表1項番1について,監査部長の指摘を踏まえ,監査チームが追加の監査手続として確認すべき内容を,40字以内で答えよ。
解答・解説
解答例
運用管理規程の変更があったときに運用手順書を見直すルールになっていること
解説
ー
設問2 表1項番2について答えよ。
(i)監査チームが想定した,表1中の a に入れるリスクを,40字以内で答えよ。
(ⅱ)〔監査手続書の作成〕(2)①を踏まえ,障害管理データを分析,調査するに当たって監査チームが抽出すべきデータを10字以内で答えよ。また,抽出したデータを使用して確認すべき内容を30字以内で答えよ。
解答・解説
解答例
(i)承認されていない作業を実施することによって二次障害を引き起こすおそ れがある。
(ⅱ)抽出すべきデータ:夜間に発生した障害
(ⅱ)確認すべき内容:作業の実施内容が C 社の保守担当者に承認されていること
解説
ー
設問3 〔監査手続書の作成〕(2)②について,監査部長がシステム管理課にもインタビューする必要があると指摘した理由を,40字以内で答えよ。
解答・解説
解答例
障害対応が C 社の責任において実施されていることを確認する必要があるから
解説
ー
設問4 表1項番4について,〔監査手続書の作成〕(2)③を踏まえ,監査チームが確認すべき内容を,40字以内で具体的に答えよ。
解答・解説
解答例
データ量の増加を検知するための仕組み及び実施可能な対策が記載されていること
解説
ー
IPA公開情報
出題趣旨
運用業務で事故が発生すると業務に多大な影響を与える場合があり,システム運用業務を外部委託した場合でも,委託元企業は,委託先の運用業務のサービスレベルや作業手順,障害発生の状況や再発防止策を十分に把握する必要がある。委託先に任せっきりにならないように,自らの責任において対策の検討,推進を実行することが大切である。
本問では,システム監査人として,システムの運用業務を外部委託した場合のリスクを把握し,リスクを軽減するためのコントロール,マネジメント,ガバナンスの構築及び運用,並びにそれらを監査する場合の着眼点や監査手続を理解して監査を実施する能力を問う。
採点講評
問 3 では,システム運用業務の監査を題材に,システム運用業務を外部委託している場合の運用業務品質確保や再発防止策に関するリスク,監査の観点及び監査手続について出題した。全体として正答率は平均的であった。
設問 1 は,正答率がやや低かった。運用手順書や教育記録の閲覧といった監査技法の解答が多かった。また,再委託先の要員変更時の教育に関する解答も散見された。監査部長の指摘内容は,“運用管理規程の変更があった際”に運用品質を確保するようになっているかどうかを確認する監査手続の追加である。“C 社システム管理課に確認する監査手続”について問うている設問の趣旨を理解して解答してほしい。
設問 4 は,正答率が平均的であった。運用手順書や障害管理データベースを閲覧する監査手続及び確認事項の解答が散見された。監査部長の指摘内容は,“保守の計画書を入手して”確認する内容であることをよく理解してほしい。
