AU 令和4年度秋期午後Ⅱ 問2

システム障害管理態勢に関する監査について

　ビジネスを取り巻く環境が大きく変化する中，企業などの組織は，事業の再編，新規市場への参入，提供するサービスの高度化などによって，競争力を高めていくことが求められている。そのためには，例えば，既存の情報システムを統合又は連携させたり，外部組織が提供する情報システムを利用したりするなど，情報システムの改変が必要になる。最近では，API接続などによって，外部組織の情報システムと連携するための改変を行って，付加価値を高めている事例も増えている。
　一方，情報システムの改変によってシステム構成などが複雑になると，システム障害が発生する可能性が高くなる。また，システム障害がどの箇所でいつ発生するのかの予測も困難であり，外部接続先の情報システムの障害による影響なども想定される。さらに，既存システムには，ソフトウェアの肥大化，複雑化，保守サービスの終了，運用・保守人材の不足などの問題もある。
　このような状況において，システム障害管理が不十分であると，障害発生時にサービスへの影響が拡大したり，根本的な対策が実施されずに障害が再発したりするおそれがある。したがって，情報システムの改変を踏まえて，障害に対する基本方針，体制，訓練，見直しなどのシステム障害管理態勢の構築が重要になる。
　システム監査人は，以上のような点を踏まえて，改変後のシステム障害管理態勢に関する着眼点を設定して，適切かつ十分な監査証拠を入手し，実効性のあるシステム障害管理態勢が構築されているかどうかを確かめる必要がある。
　あなたの経験と考えに基づいて，設問ア〜設問ウに従って論述せよ。

設問ア　あなたが関係する組織が提供するサービスを支える情報システムについて，改変の内容，システム障害によってサービスへの影響が拡大する要因，及び改変後このシステム障害管理態勢の概要を，800字以内で述べよ。

設問イ　設問アで述べた要因を踏まえて，システム監査人として，システム障害管理態勢の実効性を確かめるために設定すべき着眼点及びその設定理由を，700字以上1,400字以内で具体的に述べよ。

設問ウ　設問イで述べた着眼点について，入手すべき監査証拠，及びその監査証拠に基づいて確かめるべき具体的な内容を，700字以上1,400字以内で述べよ。

IPA公開情報

出題趣旨

　情報システムの改変によるシステムの複雑化・高度化に伴い，システム障害の影響がますます大きくなっていることから，障害の発生を防ぐとともに，発生時の影響を最小にすること，再発を防止することが重要になる。
　一方で，システム障害がどの箇所でいつ発生するのかの予測は困難であり，外部接続先の情報システムの障害による影響なども想定される。このような状況を踏まえて，システム監査人は，改変後のシステム障害管理態勢が構築され，実効性があるかどうかを確かめる必要がある。
　本問は，システム監査人として，改変後のシステム障害管理態勢の実効性を確かめるための着眼点について具体的に論述することを求めている。論述を通じて，適切かつ十分な監査証拠を入手し，検証，評価するための知識・能力などを評価する。

採点講評

　システム監査技術者試験では，問 1 で個別監査計画と監査手続について，問 2 でシステム障害管理態勢の実効性について，システム監査人としての知識と能力・見識を問うているが，設問の内容を踏まえた論述は少なかった。また，設問ア～設問ウに一貫性がなかったり，一般的な内容の記述にとどまっていたりする解答が散見された。問題文の趣旨を理解した上で，システム監査人としての経験と考えに基づいて，具体的に論述するように心掛けてほしい。

　問 2 では“態勢”の意味の理解が不十分で，狭い意味での障害管理の内容にとどまっている論述が目立った。設問アで求めたシステム障害管理態勢の概要では，“体制”についての記述にとどまる解答が多かった。設問イでは，改変の内容を踏まえて具体的に着眼点を記述している解答は少なく，一般的な着眼点であったり，設定理由が不明確であったり，着眼点が不十分であったりする論述が散見された。設問ウでは，監査証拠と確かめるべき内容を具体的に記述している解答が多かったものの，着眼点が不十分なことから，入手すべき監査証拠も不十分である解答が目立った。また，確かめるべき内容ではなく，監査手続として記述している解答も散見された。設問で求めている内容を踏まえて，論述してほしい。