ローコード/ノーコード開発ツールを利用したシステム開発の監査に関する次の記述を読んで,設問に答えよ。
C社は,自動車部品を製造販売する企業である。販売,購買,生産などを管理する基幹系システムの開発・保守は,システム部が主体となって行っている。一方,業務効率の向上を目的とした簡易なシステム(以下,アプリという)については,利用部門が主体となって,プログラムのコードを書かなくても開発できるローコード/ノーコード開発ツール(以下,開発ツールという)を利用して開発を行ってきた。
C社のCIOは,開発ツールを利用したアプリの開発(以下,アプリ開発という)には利点があることは認識していた。一方で,アプリ開発の管理ルールが定められていなければ,開発者の異動や退職などによって保守できなくなるアプリが発生するといったリスクがあることを懸念していた。そこでCIOは,システム部にアプリ開発の管理ルールを作成するよう指示し,システム部のシステム企画課に設置された事務局が管理ルール案を作成した。
〔アプリ開発の状況〕
営業部などの各利用部門でクラウドサービス事業者と契約して開発ツールを導入し,データの照会や集計など,簡易で高い可用性を求められないアプリを中心に開発している。
〔システム監査の目的と対象部門〕
監査部では,アプリ開発の状況を監査することにした。監査目的は,管理ルール案によってアプリ開発のリスクが低減できるかどうか,という点である。監査部は,アプリ開発を積極的に行っている営業部,及び管理ルール案を作成したシステム企画課を対象に予備調査を実施した。
〔予備調査の結果〕
監査部が予備調査を行った結果,次のことが分かった。
1.営業部長へのインタビュー結果
(1)アプリ開発は,短期間・低コストで,利用部門のニーズに合致したアプリが開発できるという利点がある。
(2)開発ツールの利用方法に習熟してもらうために,営業部の全部員に利用者用IDとは別に開発用IDを付与している。利用者用IDでは,権限に応じてデータの参照更新の範囲が設定される。一方,開発用IDでは,開発を効率よく進めるために,本番環境のデータの参照が可能となる設定にしている。
2.システム企画課長へのインタビュー結果
(1)アプリ開発の利点を生かし,かつ,リスクを低減するために,必要最小限の管理ルールの作成を行う。
(2)事務局が作成した管理ルール案の概要を表1に示す。システム部が開発するアプリについても,開発コストの削減や開発期間の短縮を目的として,開発ツールの利用を検討している。
表1 管理ルール案の概要(抜粋)
(3)これまで開発されたアプリの中から,他のアプリでも利用可能なアプリの部品をシステム部が選定し,動作確認や分類を行ってテンプレートとして登録する。今後開発するアプリは,それらのテンプレートを可能な限り利用する。開発ツールの利用方法や登録したテンプレートの利用ルールについて,利用部門に対して説明会を実施する予定である。
〔リスクの識別〕
監査部は,予備調査の結果を踏まえ,アプリ開発のリスクを識別し,それに対応する管理ルール案の内容を洗い出した。アプリ開発のリスクと管理ルール案の内容を表2に示す。
表2 アプリ開発のリスクと管理ルール案の内容(抜粋)
〔監査手続書の作成〕
監査部はリスクの高い項目について,本調査で確認すべきことを整理し,監査手続書を作成した。その概要は次のとおりである。
(1)営業部長へのインタビュー結果(1)を踏まえ,表1の管理ルール案の適用によっアプリ開発の利点が損なわれる可能性がないか,管理ルール案の内容を確認する。
(2)表2項番1(1)について,開発判断基準がリスクを低減する内容になっているか開発の可否を判断するのに必要な項目に漏れがないことを確認する。
(3)表2項番1(2)についてシステム部に確認したところ,システム部で利用している開発標準を流用して進捗管理や品質管理を行う予定であるとのことであった。しかし,そのまま流用するのは適切ではない場合もあることに留意する。
(4)表2項番1(3)について,開発用IDを申請に基づいて必要最小限の部員に付与することでリスクの低減が期待できることに留意する。
(5)表2項番2(1)について,設計ドキュメントの作成基準として,記載が必要な項目の一覧と標準フォーマットが示されている。この作成基準の適用が実効性のあるものかどうかを事務局に確認する。
(6)表2項番2(2)について,開発ツールには,画面操作を行った利用者用ID,操作内容などを記録した操作ログを取得する機能が備わっている。ただし,操作ログを取得するだけでは不十分なので,その他に必要なログの保全の要件についてもルールが定められていることを確認する。
設問1 〔監査手続書の作成〕(1)について,監査部が考えた,アプリ開発の利点が損なわれる可能性を35字以内で答えよ。
解答・解説
解答例
開発申請手続の適用によって利用部門の負担が増える可能性
解説
ー
設問2 〔監査手続書の作成〕(2)について,検討されている開発判断基準に追加すべきと思われる項目を答えよ。
解答・解説
解答例
類似アプリの有無
解説
ー
設問3 〔監査手続書の作成〕(3)について,そのまま流用するのが適切ではない場合とはどのような場合か。25字以内で答えよ。
解答・解説
解答例
開発するアプリの規模が小さく難易度が低い場合
解説
ー
設問4 〔監査手続書の作成〕(4)について,監査部が考えたリスク ア を35字以内で答えよ。
解答・解説
解答例
権限を与えるべきでない利用者が本番環境のデータを参照できる。
解説
ー
設問5 〔監査手続書の作成〕(5)について,監査部が事務局に確認しようとしている内容を45字以内で答えよ。
解答・解説
解答例
標準フォーマットを使用した設計ドキュメント作成が可能かどうかを営業部に確認していること
解説
ー
設問6 〔監査手続書の作成〕(6)について,監査部が確認すべき具体的な要件を30字以内で答えよ。
解答・解説
解答例
取得した操作ログが改ざん・消去されないよう保護すること
解説
ー
IPA公開情報
出題趣旨
システム開発の生産性向上や納期の短縮を目的としてローコード/ノーコード開発を採用する組織が増えてきている。しかし,開発手法の標準化や管理ルールを明確に定めずに導入を進めると,あまり利用されないシステムが増えたり,開発手法や開発ツールが乱立して管理不能になったりするといったリスクがある。
本問では,ローコード/ノーコード開発ツールを利用したシステム開発を題材として,システム監査人として,開発手法の特性,長所・短所を理解し,開発業務を監査する場合の監査手続を設定する能力を問う。
採点講評
問 2 では,ローコード/ノーコード開発ツールを利用したシステム開発の監査を題材に,開発ツールを効果的に活用していく上でのリスクや開発手法の標準化に関する監査手続について出題した。全体として正答率は平均的であった。
設問 1 は,正答率はやや高かった。“短期間・低コスト”で開発できるという利点と直接関連しない解答も散見された。リスクを問う設問ではあるが,一般的なリスクではなく,監査要点に沿ったリスクを把握することが重要である点を理解してほしい。
設問 5 は,正答率が平均的であった。管理ルールが運用開始前にもかかわらず,実際のドキュメントを査閲して“分かりやすい記述になっていることを確認する”といった趣旨の解答が散見された。本設問は,管理ルール案の適用前に確認すべきことを問うており,運用段階の監査ではないことを理解してほしい。
設問 6 は,正答率がやや低かった。ログの種類や操作ログによる不正検知などの解答が散見された。ログの取得だけではなく,“ログの保全”に関する要件まで理解してほしい。また,監査手続や監査ポイントなど設問の趣旨と異なる記載も多く見られた。システム監査実務では,必要なコントロールを理解して,それが有効に機能しているかという観点で監査手続を検討する必要があることを理解してほしい。
