応用情報技術者 2013年 秋期 午後 問11
ソフトウェア保守の監査に関する次の記述を読んで、設問1、2に答えよ。
G社は、機械部品を製造販売する中堅の上場企業である。最近、G社の監査部員がシステム監査に関する外部セミナに参加し、ソフトウェア保守の不適切な管理にまつわるリスクについての知識を得た。監査部では、G社の管理が適切かどうかを確認するために、基幹システムのソフトウェア保守について監査することにした。
〔ソフトウェア保守の現状〕
G社は、生産・販売・購買・会計の業務を統合的に扱うクライアントサーバ型の基幹システムを使用しており、そのソフトウェア保守はシステム部システム課の課長を含めた4名の社員で対応している。作業の手順は次のとおりである。
(1) ソフトウェア保守が必要な場合は、利用部門の担当者が変更要求書を作成し、利用部門の責任者の承認を得た後、システム課に電子メールで提出する。変更要求書への記載内容は、作成年月日、作成部門、作成者、該当システム、理由、内容、希望納期、緊急度である。
(2) システム課では、変更要求書を受け付けると、担当者が、システム設計書とプログラム設計書を基にして、プログラムの変更箇所を調査する。調査では、プログラム変更内容と他システムへの影響をチェックし、作業工数を算出する。調査結果をレビューして、システム課長が変更要求を承認する。
(3) システム課の担当者は、承認された変更について、システム設計書、プログラム設計書及びプログラムを変更し、その後システムテストを実施する。システムテストの計画と結果は、システム課長が承認する。
(4) システムテスト後に実施する受入れテストには、利用部門も参画する。受入れテストの計画と結果は、利用部門の責任者及びシステム課長が承認する。
(5) システム課の担当者がプログラムの本番移行計画を作成し、システム課長が承認する。承認が得られた後、変更前のプログラム及びデータのバックアップを取得し、プログラム変更者自身がプログラムを本番環境に反映させて、作業を終了する。システム課では、受付順に(2)~(5)の処理を行っている。
この手順をまとめると、図1のとおりになる。
〔監査の留意点〕
今回の監査を担当する監査部のメンバ(以下、監査チームという)は、基幹システムのソフトウェア保守の監査方針として、管理の適切性に加え、業務の効率向上の観点からも監査を行うことにした。
また、外部セミナでの次のような他社事例も念頭におくことにした。
・ソフトウェア保守に関する手順が守られておらず、誤った手順で行われた場合や誤った作業が行われた場合の発見的コントロールが考慮されていなかった例
・監査人が、被監査部門とのインタビュー内容を誤解したまま監査を進めた結果、監査意見が誤ったものになってしまった例
・監査人が、真の原因を把握せずに監査を進めた例
以上を受けて、監査チームは個別監査計画を文書化し、監査部長がこれを承認した。
〔インタビュー結果〕
監査チームは、ソフトウェア保守作業の状況を把握するために、利用部門とシステム課にそれぞれインタビューを行った。システム課のインタビュー時、①システム課長が、以前、部下であった監査チームのH君に、細かな問題点は指摘しないよう依頼していた。
(1) 利用部門へのインタビュー結果
・要求した機能を漏れなく実装してくれるので、とても助かっている。
・法規制や顧客からの要望など急いで対応しなければならないものもあるが、時間が掛かってしまうことがある。
・変更を行った結果、別の箇所に不具合が出たり、レスポンスが悪くなったりすることがある。
(2) システム課へのインタビュー結果
・利用部門の要望にできるだけ応えるようにしているが、変更要求書の数に変動があり、件数が多い場合には、利用部門の希望納期までに対応できないことがある。
・ソフトウェア保守は、少人数で対応できるようにしており、通常は1人で担当することが多い。
・担当者によって変更箇所の調査手順が異なっており、調査項目の漏れがあって、本番環境への反映後に不具合が発生することがあった。原因はリグレッションテストの不備にあると考え、この対策として、最近リグレッションテストを強化した。
〔文書のレビューと評価・結論〕
監査チームは、インタビューに加えて、ソフトウェア保守作業の過程で作成又は変更された文書のレビューを行った。さらに、他社事例も念頭において、インタビューで発見されなかった問題点がないかどうか、監査人が誤解していないかどうかについて、十分に確認した上で、改善勧告を次のとおり行った。
(1) 監査チームは、急を要する変更要求の希望納期に応えられない場合があることを問題点として指摘事項に挙げることにした。また、ソフトウェア保守作業の手順に工夫を加えることによって、現行の人数でも、緊急度が高い変更要求について、利用部門へのサービスレベルを落とさずに対応することが可能であると考えて、②改善勧告を行った。
(2) 変更箇所の調査における問題点については、③既に開始したリグレッションテストの強化では対策として不十分と考えて、変更箇所の調査手順を標準化するという改善勧告を行った。
(3) 本番環境へのプログラムの反映における内部統制上の問題点を指摘した。この対策として、④予防的コントロールと発見的コントロールのそれぞれの観点から改善勧告を行った。
設問1:
本文中の下線①のシステム課長の行為は、監査人にとってどのような脅威となるか。解答群の中から選び、記号で答えよ。
解答群
ア:完全性に関わる脅威
イ:信頼性に関わる脅威
ウ:透明性に関わる脅威
エ:独立性に関わる脅威
模範解答
エ
解説
解答の論理構成
- 監査チームのインタビュー結果には、下線①として
「システム課長が、以前、部下であった監査チームのH君に、細かな問題点は指摘しないよう依頼していた」
と記載されています。 - 被監査部門(システム課)の責任者が、かつての上下関係を利用し監査担当者へ発言内容をコントロールしようとしているため、監査担当者が客観性・公正性を保てなくなるおそれがあります。
- 監査基準では、このように「被監査部門の影響力が監査人へ不当な圧力を与え、監査意見の形成を左右する危険性」を「独立性の脅威」と位置付けます。
- よって該当する脅威は「エ:独立性に関わる脅威」と判断できます。
誤りやすいポイント
- 「以前の上司‐部下」という人的関係を「信頼性(イ)」と取り違えるケース。信頼性は証跡や情報の真偽に関する問題で、今回のような行為圧力とは別物です。
- 「細かな問題点を指摘しないよう依頼」という行為を「透明性(ウ)の低下」と誤解しやすいですが、核心は“監査人の態度に影響を与えるか”です。
- 「完全性(ア)」はデータや記録の欠落・改ざんリスクに関する脅威であり、人間関係による監査妨害とは区別しましょう。
FAQ
Q: 上司だった人物の依頼を断れない雰囲気も独立性の脅威に含まれますか?
A: 含まれます。監査人が心理的・経済的・権限的圧力を受ける状況はすべて独立性の脅威と定義されます。
A: 含まれます。監査人が心理的・経済的・権限的圧力を受ける状況はすべて独立性の脅威と定義されます。
Q: 独立性の脅威が判明した場合、監査チームが取るべき対応は?
A: 監査責任者へ速やかに報告し、担当替え・立会者追加などの safeguards(方策)を講じ、客観性を確保します。
A: 監査責任者へ速やかに報告し、担当替え・立会者追加などの safeguards(方策)を講じ、客観性を確保します。
Q: 被監査部門からの情報提供が止まった場合も独立性の脅威ですか?
A: 情報遮断自体は透明性や完全性の問題ですが、それを交渉材料に監査意見を左右させようとすれば独立性の脅威となります。
A: 情報遮断自体は透明性や完全性の問題ですが、それを交渉材料に監査意見を左右させようとすれば独立性の脅威となります。
関連キーワード: 内部統制、監査独立性、脅威、ソフトウェア保守、インタビュー
設問2:監査チームが行った改善勧告に関して、今回の監査方針を考慮して、(1)〜(3)に答えよ。
(1)本文中の下線②の改善勧告の内容は、どのようなものか。システム課が何を行うべきかを含めて、40字以内で述べよ。
模範解答
受付順ではなく、変更要求の緊急度を考慮して処理順を決定する。
解説
解答の論理構成
-
監査チームの問題認識
本文には「急を要する変更要求の希望納期に応えられない場合があることを問題点として指摘事項に挙げる」とあります。すなわち、受付順による処理では緊急度の高い案件が遅れるリスクが存在します。 -
監査方針との対応
監査方針では「管理の適切性に加え、業務の効率向上の観点からも監査を行う」と明記されています。利用部門のサービスレベルを維持・向上させるには、手順そのものを効率化する必要があります。 -
システム課の現状手順の課題
「システム課では、受付順に(2)~(5)の処理を行っている」とあり、優先度を考慮しない FIFO 処理であることが分かります。これが納期遅延の主因です。 -
改善勧告の趣旨
本文の下線②は「現行の人数でも、緊急度が高い変更要求について、利用部門へのサービスレベルを落とさずに対応することが可能」と述べています。したがって、勧告内容は“処理順の見直し”です。 -
解答の導出
以上を踏まえ、システム課が実施すべきことは「変更要求の緊急度を基準に優先順位を付け、処理順を決定する」こととなります。模範解答は「受付順ではなく、変更要求の緊急度を考慮して処理順を決定する。」であり、論理的に整合します。
誤りやすいポイント
- 「人数を増員する」と誤解しがちですが、本文には人員増強ではなく手順改善で対応可能と書かれています。
- 「希望納期を延長する」など利用部門側の調整策を答えてしまうケース。
- 「チケット制導入」など具体技術に踏み込みすぎて、本質である優先度管理を外すミス。
FAQ
Q: 優先順位は誰が決めるべきですか?
A: 「システム課が何を行うべきか」を問われているため、システム課が緊急度を考慮して処理順を決定します。利用部門は優先度情報を変更要求書の「緊急度」欄で提示します。
A: 「システム課が何を行うべきか」を問われているため、システム課が緊急度を考慮して処理順を決定します。利用部門は優先度情報を変更要求書の「緊急度」欄で提示します。
Q: 人数を増やせば解決しますか?
A: 本文は「現行の人数でも…対応することが可能」と明記しているため、手順の工夫が前提であり増員は必須ではありません。
A: 本文は「現行の人数でも…対応することが可能」と明記しているため、手順の工夫が前提であり増員は必須ではありません。
Q: 受付順処理を完全に廃止する必要がありますか?
A: 完全廃止ではなく、緊急度を基準とした優先順位付けを優先し、同一優先度内で受付順を適用するなど柔軟なルール設計が望まれます。
A: 完全廃止ではなく、緊急度を基準とした優先順位付けを優先し、同一優先度内で受付順を適用するなど柔軟なルール設計が望まれます。
関連キーワード: ソフトウェア保守、変更管理、優先度設定、内部統制
設問2:監査チームが行った改善勧告に関して、今回の監査方針を考慮して、(1)〜(3)に答えよ。
(2)本文中の下線③において、既に開始した対策では不十分と考えた理由を、40字以内で述べよ。
模範解答
リグレッションテストの強化では、調査項目漏れの原因を排除できないから
解説
解答の論理構成
- 監査チームが把握した事実
- システム課では「担当者によって変更箇所の調査手順が異なっており、調査項目の漏れがあって、本番環境への反映後に不具合が発生することがあった。」
- それに対しシステム課は「原因はリグレッションテストの不備にあると考え、この対策として、最近リグレッションテストを強化した。」
- 監査チームの評価
- 問題の直接原因は “調査手順のばらつき” にある。テストを強化しても、そもそも「漏れている項目」がテストケースに入らなければ検出できない。
- 結論(③の理由)
- よって「既に開始したリグレッションテストの強化では対策として不十分」と判断し、根本対策として「変更箇所の調査手順を標準化」する改善勧告に結び付けた。
- 以上から解答は「リグレッションテストの強化では、調査項目漏れの原因を排除できないから」となる。
誤りやすいポイント
- 「リグレッションテスト=万能」と思い込み、調査工程の欠陥を見逃す。
- “不具合の発生” を「テスト網羅率不足」と短絡的に結論付け、手順標準化の必要性を軽視する。
- 「テスト強化」と「漏れの発生防止」を同列で扱い、工程ごとの役割分担を混同する。
FAQ
Q: テスト強化が不十分とされるのはなぜ?
A: テストは後工程の検出コントロールであり、原因である「調査項目の漏れ」は前工程の予防コントロールで解決すべきだからです。
A: テストは後工程の検出コントロールであり、原因である「調査項目の漏れ」は前工程の予防コントロールで解決すべきだからです。
Q: 調査手順の標準化で何が改善される?
A: 担当者間の手順差異をなくし、必要項目を網羅的に確認できるため、調査漏れによる不具合発生を根本から防げます。
A: 担当者間の手順差異をなくし、必要項目を網羅的に確認できるため、調査漏れによる不具合発生を根本から防げます。
Q: リグレッションテストは不要になる?
A: いいえ。標準化された調査で漏れを防ぎつつ、リグレッションテストで変更影響を最終確認する “二段構え” が望ましいです。
A: いいえ。標準化された調査で漏れを防ぎつつ、リグレッションテストで変更影響を最終確認する “二段構え” が望ましいです。
関連キーワード: 内部統制、リグレッションテスト、変更管理、標準化、予防的コントロール
設問2:監査チームが行った改善勧告に関して、今回の監査方針を考慮して、(1)〜(3)に答えよ。
(3)本文中の下線④における、予防的コントロールの観点からの改善勧告と、発見的コントロールの観点からの改善勧告を、それぞれ30字以内で具体的に述べよ。
模範解答
予防的:プログラム変更者以外の者が本番環境に反映させる。
発見的:本番環境への反映の結果を第三者が確認する。
解説
解答の論理構成
- リスクの把握
- 【問題文】「プログラム変更者自身がプログラムを本番環境に反映」
- 同一人物が開発と本番反映を兼務すると、不正変更や誤操作を事前に防げず、統制上重大な欠陥になります。
- 監査方針の要求
- 【問題文】「④予防的コントロールと発見的コントロールのそれぞれの観点から改善勧告」
- 予防的=事前に誤りを発生させない仕組み、発見的=発生後ただちに検知する仕組みを明確に分ける必要があります。
- 予防的コントロールの具体策
- 職務分掌を徹底し、「プログラムを作った本人が本番投入をしない」体制を敷けば誤操作を未然に防げます。
- したがって解答は「プログラム変更者以外の者が本番環境に反映させる。」となります。
- 発見的コントロールの具体策
- 反映後に独立した第三者が結果を検証すれば、もし不正・誤操作があった場合でも早期に検知できます。
- よって解答は「本番環境への反映の結果を第三者が確認する。」となります。
誤りやすいポイント
- 予防的と発見的を混同し、同じ内容を重複して記述してしまう。
- 「テストを強化する」など調査工程の話を書いてしまい、本番反映工程の統制に触れない。
- 「利用部門が確認する」を予防的コントロールと誤認する。確認行為は一般に発見的コントロールです。
FAQ
Q: 職務分掌は必ず二人以上でなければいけませんか?
A: 原則として「開発」「承認」「本番投入」を別担当にしますが、小規模組織では第三者チェックを強化するなど代替統制で補完可能です。
A: 原則として「開発」「承認」「本番投入」を別担当にしますが、小規模組織では第三者チェックを強化するなど代替統制で補完可能です。
Q: 発見的コントロールはログ監査でも良いのですか?
A: はい。ログを改ざん不可な形で保全し、定期監査や自動アラートで検証すれば発見的統制とみなせます。
A: はい。ログを改ざん不可な形で保全し、定期監査や自動アラートで検証すれば発見的統制とみなせます。
Q: テスト工程の充実は予防的・発見的どちらですか?
A: テストは主に誤りの発見を目的とするため発見的コントロールですが、工程上は本番投入前に行うため「事前的発見コントロール」と整理する場合もあります。
A: テストは主に誤りの発見を目的とするため発見的コントロールですが、工程上は本番投入前に行うため「事前的発見コントロール」と整理する場合もあります。
関連キーワード: 内部統制、変更管理、職務分掌、コントロール手続、システム監査
