応用情報技術者 2010年 秋期 午後 問12
システムテストの監査に関する次の記述を読んで、設問1、2に答えよ。
C社は、電子機器の製造販売会社である。C社の監査部は、現在の監査部長が着任した昨年から、定期的にシステム監査を実施している。このたび、最近再構築した会計システムについて、経理部主体で行った運用テストの責任者から、システム要件定義どおりにシステムが作られていないという不具合が多く見つかったと報告された。そこで、その前の工程であるシステム適格性確認テスト(以下、システムテストという)の妥当性評価をテーマに、C社のシステム開発規程の遵守状況を確認する監査を行うことになった。
〔監査部の状況〕
C社の監査部では、システム監査をまだ数回しか実施しておらず、監査部長以外のメンバはシステム監査の経験が浅い。監査部長は、この監査チームのリーダとして、監査部のD君を指名した。D君は、監査リーダを担当するのは今回が初めてである。
〔会計システム開発の概要〕
今回再構築した会計システムは、ERPパッケージと社内のほかの複数のシステムとのインタフェースから構成されている。社内のシステム部と経理部が中心となり、ウォータフォールモデルで開発した。
〔システム開発規程〕
C社のシステム開発規程には、システムテストに関して、次のような記述が含まれている。
(1) システムテストは、運用テストを開始してもよいかどうかを決定するために、システム結合テストの後に行われる。システムがシステム要件定義どおりに作られているかどうかを、システム全体の品質、性能、運用、操作などの総合的な観点から検証するテストである。
(2) システムテストは、システムテスト計画に基づいて実施しなければならない。システムテスト計画は、システムテスト責任者と開発責任者の承認を得なければならない。
(3) システムテストは、本番環境から隔離された環境で行わなければならない。
(4) システムテストには、開発当事者以外の者が参画しなければならない。また、システムの設計者やプログラマは、自身が関係したプログラムのシステムテストに関与してはならない。
(5) システムテストでは、機能テスト以外に負荷テスト、性能テストも実施しなければならない。その際、システム要件定義を網羅したテストケースを作成しなければならない。
(6) すべてのテストケースについて、システムテストの経過及び結果を記録し、保管しなければならない。
(7) システムテストの目的を達成したかどうかを十分に検討した上で、システムテストの完了判定を行わなければならない。
(8) システムテスト結果報告書は、システムテスト責任者、開発責任者、運用保守責任者、ユーザ責任者が承認しなければならない。
〔監査の実施〕
D君は、個別監査計画書に従い、まず、予備調査としてC社のシステム開発規程を閲覧した後、監査手続書を完成させた。その後、作成した監査手続書に基づいて本調査を実施した。本調査では、システムテストの各工程で作成された次の書類を閲覧した。
・システムテスト計画工程で作成されたテスト計画書
・テストケースの作成工程で作成されたテストケース
・システムテストの実施工程で作成されたテスト結果
・システムテスト結果の評価工程で作成されたシステムテスト結果報告書
さらに、システムテスト責任者、設計者、プログラマ、運用保守責任者へのインタビューを実施した。
監査実施中、①自らの監査意見を立証するのに必要な事実をそのほかの関連資料などと併せて取りまとめ、②監査業務の実施記録として、監査部で決められた様式で作成し、保管した。
〔監査で判明した事実〕
(1) システムテスト計画書には、システムテストの目的と範囲、種類、前提条件、全体スケジュール、チーム体制、役割分担、環境、テストツール、データとテストケースの作成方法、進捗管理方法、問題管理方法、記録保管方法及びテスト完了基準が記述されていた。システムテスト計画書には、システムテスト責任者と開発責任者の承認印があった。
(2) システムテスト計画書に含まれるチーム体制は、会計システムの設計者を中心とした開発当事者だけのメンバで構成されていた。
(3) テストケースやテストデータは、システム要件を基に、システムテストの実施前に作成されていた。テストケースには、機能テストだけでなく、負荷テストや性能テストは含まれていたが、例外などの特殊な場合の処理の確認は含まれていなかった。
(4) システムテストの実施前に、システム結合テストが適切に実施されたことが確認されていた。
(5) システムテストは、本番環境から隔離された環境で実施されていた。
(6) システムテストの結果は、異常があった場合だけ記録されていた。その際に画面コピーや印刷結果が添付されていた。
(7) システムテスト結果報告書には、システムテスト責任者、開発責任者、運用保守責任者及びユーザ責任者の承認印があった。システムテスト結果報告書には、すべてのテストケースを実施したことをもって完了としていたことが記述されていた。
〔監査結果〕
D君は、本調査の結果を基に、図に示す監査報告書(案)を作成した。
設問1:本文中の下線①、②について、(1)、(2)に答えよ。
(1)経済産業省“システム監査基準”によると、下線①、②のことをそれぞれ何と呼ぶか。“監査”という字句を含めて、名称を答えよ。
模範解答
①:監査証拠
②:監査調書
解説
解答の論理構成
-
下線①は【問題文】で “①自らの監査意見を立証するのに必要な事実” と説明されています。
システム監査基準では、監査人が意見を形成する根拠となる事実を “監査証拠” と定義しています。したがって①は「監査証拠」です。 -
下線②は【問題文】で “②監査業務の実施記録として、監査部で決められた様式で作成し、保管した。” とあります。
システム監査基準では、監査手続の実施状況や得られた証拠を整理・保管する記録を “監査調書” と呼びます。よって②は「監査調書」です。 -
以上より、 ① 監査証拠
② 監査調書
が解答となります。
誤りやすいポイント
- 監査証拠と監査調書を「同じもの」と混同しやすいですが、証拠は事実そのもの、調書はその事実を含め監査活動を記録した書類です。
- “監査記録” という用語を使いたくなりますが、正式名称は “監査調書” です。
- 監査証跡という用語もありますが、これはシステムの処理のトレース目的で使われ、監査証拠とは異なります。
FAQ
Q: 監査調書には監査証拠をそのまま貼り付ければ十分ですか?
A: いいえ。証拠の出所や取得方法、評価結果などの説明も盛り込み、第三者が追跡できるように整理する必要があります。
A: いいえ。証拠の出所や取得方法、評価結果などの説明も盛り込み、第三者が追跡できるように整理する必要があります。
Q: 監査証拠は必ず書面でなければなりませんか?
A: 書面だけでなく、電子データや口頭証言も含みます。ただし信頼性評価と保存方法に注意が必要です。
A: 書面だけでなく、電子データや口頭証言も含みます。ただし信頼性評価と保存方法に注意が必要です。
Q: 調書の保存期間は決まっていますか?
A: 自社の規程や関連法令で定められた期間保存します。システム監査基準では保存義務を規定し、期間は自社判断に委ねられることが多いです。
A: 自社の規程や関連法令で定められた期間保存します。システム監査基準では保存義務を規定し、期間は自社判断に委ねられることが多いです。
関連キーワード: 監査証拠、監査調書、システム監査基準、監査意見、実施記録
設問1:本文中の下線①、②について、(1)、(2)に答えよ。
(2)〔監査部の状況〕を考慮した際、下線②の有効な活用方法は何か。解答群の中から二つ選び、記号で答えよ。
解答群
ア:外部監査人への提示による外部監査の効率向上
イ:監査報告会で監査報告書とともに回付
ウ:監査部長のレビューによる監査品質の向上
エ:今回の個別監査計画書への反映
オ:次回以降のシステム監査の参考
模範解答
ウ、オ
解説
解答の論理構成
- 下線②は【問題文】で“②監査業務の実施記録として、監査部で決められた様式で作成し、保管した。”と示されています。これは一般に「監査調書」に相当し、監査手続の実施状況や証拠をまとめた内部文書です。
- 〔監査部の状況〕には“システム監査をまだ数回しか実施しておらず、監査部長以外のメンバはシステム監査の経験が浅い。”とあります。すなわち経験不足を補うため、熟練者によるレビューや将来の参考資料として活用することが重要となります。
- 解答群の各選択肢を照合します。
- ア:外部監査人への提示は外部監査向けの調書として位置付けが異なり、本問の目的に合いません。
- イ:監査報告会で報告書と回付すると、詳細な調書まで一般部門に渡すことになり秘匿性を欠きます。
- ウ:監査部長によるレビューは経験不足を補完し“監査品質の向上”につながります。
- エ:実施記録は実施結果を示すものであり、計画書(将来形)に直接組み込むものではありません。
- オ:経験不足の組織では“次回以降のシステム監査の参考”とすることでノウハウを継承できます。
- よって、最も適切な活用方法はウとオになります。
誤りやすいポイント
- 実施記録を“監査報告書の添付資料”と誤解し、外部や被監査部門に広く配布すると秘匿性違反となる点。
- 個別監査計画書と混同し「エ」を選択してしまうケース。計画書は監査前に作成する文書であり、実施記録を反映するのは次回以降です。
- 「外部監査=品質向上」と短絡的に判断して「ア」を選びやすい点。
FAQ
Q: 監査業務の実施記録は被監査部門に共有しないのですか?
A: 通常は内部専用文書です。被監査部門には要約された監査報告書のみを提供します。
A: 通常は内部専用文書です。被監査部門には要約された監査報告書のみを提供します。
Q: 監査部長レビューは必須でしょうか?
A: 規程で明示されていなくても、経験が浅いチームでは品質確保の観点から実施が推奨されます。
A: 規程で明示されていなくても、経験が浅いチームでは品質確保の観点から実施が推奨されます。
Q: 次回以降への活用とは具体的に何を指しますか?
A: 手続の妥当性、作業時間、改善点などを次回の監査計画立案時の根拠資料として参照することです。
A: 手続の妥当性、作業時間、改善点などを次回の監査計画立案時の根拠資料として参照することです。
関連キーワード: 監査調書、品質レビュー、内部統制、ベストプラクティス、ナレッジマネジメント
設問2:“図監査報告書(案)”について、(1)、(2)に答えよ。
(1)a〜cに入れる適切な指摘事項を、それぞれ30字以内で述べよ。
模範解答
a:開発当事者以外がチームに含まれない計画書を作成している。
b:正常終了した場合の結果を記録していない。
c:目的を達成したかどうかが十分に検討されていない。
解説
解答の論理構成
-
システム開発規程(4)には
「システムテストには、開発当事者以外の者が参画しなければならない」と明記されています。
しかし監査で判明した事実(2)は
「チーム体制は、会計システムの設計者を中心とした開発当事者だけのメンバ」となっており、規程違反です。
⇒ a は「開発当事者以外がチームに含まれない計画書を作成している。」 -
システム開発規程(6)は
「すべてのテストケースについて、システムテストの経過及び結果を記録し、保管しなければならない」と規定。
ところが監査で判明した事実(6)では
「システムテストの結果は、異常があった場合だけ記録されていた」とあります。
⇒ 正常終了時の記録が欠落しており、b は「正常終了した場合の結果を記録していない。」 -
システム開発規程(7)は
「システムテストの目的を達成したかどうかを十分に検討した上で、システムテストの完了判定」と規定。
監査で判明した事実(7)は
「すべてのテストケースを実施したことをもって完了としていた」とあり、目的達成の検討がありません。
⇒ c は「目的を達成したかどうかが十分に検討されていない。」
誤りやすいポイント
- 「開発当事者以外の者が参画」の要件を“承認印の有無”と混同し、チーム構成の問題に気付かない。
- テスト結果の記録義務を「異常のみ」と誤解し、正常系のログが不要だと判断してしまう。
- テスト完了基準を「全ケース実施=完了」と短絡し、目的達成の検証を省略する。
FAQ
Q: テストチームに外部者を入れる目的は何ですか?
A: 利害関係のない第三者視点を確保し、バイアスのない品質評価を行うためです。
A: 利害関係のない第三者視点を確保し、バイアスのない品質評価を行うためです。
Q: 正常系の結果も保存することで得られるメリットは?
A: 後日のトレーサビリティ確保や、再発防止分析時の比較データとして活用できます。
A: 後日のトレーサビリティ確保や、再発防止分析時の比較データとして活用できます。
Q: 全テストケース実施済みであれば十分では?
A: ケース数達成だけでは品質目標の達成が担保されません。要件適合・性能・運用性など目的ごとの達成度を評価する必要があります。
A: ケース数達成だけでは品質目標の達成が担保されません。要件適合・性能・運用性など目的ごとの達成度を評価する必要があります。
関連キーワード: システムテスト、監査証拠、負荷テスト、完了判定、トレーサビリティ
設問2:“図監査報告書(案)”について、(1)、(2)に答えよ。
(2)監査報告書(案)には重要な項目が欠落している。追加すべき項目を答えよ。
模範解答
改善勧告
解説
解答の論理構成
- 監査報告書に盛り込むべき基本要素
システム監査基準では、監査人は“指摘事項”だけでなく、それに対応する“改善勧告”を提示し、被監査部門が取るべき是正措置を明確化するとされています。 - 問題文中で示された監査報告書(案)の構成を確認
図の監査報告書(案)には
・「総合評価」
・「助言意見」
・「指摘事項」
が記載されていますが、“改善勧告”の項目が見当たりません。 - 指摘事項はすべて“重大”
図の【指摘事項】欄には
「① システムテスト計画工程において、a 重大」
など4件すべてが“重大”と格付されています。重大な不備がある場合は、監査人は必ず是正の方向性を示す必要があります。 - よって欠落している重要な項目は「改善勧告」
以上から、監査報告書(案)に追加すべき項目は「改善勧告」と結論づけられます。
誤りやすいポイント
- 「助言意見」があるため“改善勧告”も含まれていると早合点してしまう。助言は任意、勧告は必須です。
- “重大”指摘があるとき、監査報告書に改善勧告を書面ではなく口頭で伝えてもよいと誤解しがち。正式な書面で残さなければ監査プロセスが完結しません。
- “改善提案”や“是正要求”など似た表現を解答に用い、用語ブレで減点されるケース。設問は「項目名」を聞いているため、正式名称「改善勧告」を選ぶ必要があります。
FAQ
Q: 「助言意見」と「改善勧告」はどう違いますか?
A: 「助言意見」はシステム効率化・高度化など任意の改善提案で、対応は被監査側の裁量に委ねられます。一方「改善勧告」は不備・リスクを是正するための必須事項であり、追加でフォローアップ監査が発生する場合もあります。
A: 「助言意見」はシステム効率化・高度化など任意の改善提案で、対応は被監査側の裁量に委ねられます。一方「改善勧告」は不備・リスクを是正するための必須事項であり、追加でフォローアップ監査が発生する場合もあります。
Q: 重大な指摘がなく“軽微”の場合でも改善勧告は必要ですか?
A: 軽微な指摘のみであれば、改善勧告は必須ではなく、助言意見だけで済ませることも可能です。重大・中程度の指摘がある場合は改善勧告を行うのが原則です。
A: 軽微な指摘のみであれば、改善勧告は必須ではなく、助言意見だけで済ませることも可能です。重大・中程度の指摘がある場合は改善勧告を行うのが原則です。
Q: 監査報告書に改善勧告を載せ忘れた場合の影響は?
A: 是正措置が具体化せず、システムテストの不備が解消されないリスクが残存します。さらに監査部門の品質自体が問われ、次回監査の信頼性にも影響します。
A: 是正措置が具体化せず、システムテストの不備が解消されないリスクが残存します。さらに監査部門の品質自体が問われ、次回監査の信頼性にも影響します。
関連キーワード: システム監査、監査報告書、改善勧告、指摘事項、是正措置
