応用情報技術者 2018年 春期 午後 問11
システム更改プロジェクトの監査に関する次の記述を読んで、設問1〜5に答えよ。
貸金業者のV社は、主要システムの一つである債権管理システムの稼働を7年前に開始し、これまで改修を重ねて、債権管理業務の変更に対応してきた。しかし、業務要件の多様化が進み、業務要件間の整合性を確保することが困難になってきた。そこで、V社の経営陣はシステム更改が必要と判断し、現在、債権管理システムの更改プロジェクト(以下、本プロジェクトという)を推進している。
V社の内部監査部長は、年度監査計画に基づき、システム監査チームに対して本プロジェクトの要件定義の適切性について監査を実施するよう指示した。
〔予備調査〕
システム監査チームは、X年6月上旬に予備調査を行い、本プロジェクトの概要を次のとおり把握した。
(1) システム更改スケジュールの概要は、図1のとおりである。
(2) 本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会(以下、運営委員会という)は、V社のシステム部担当役員を議長とし、システム部、債権管理部、法務部の各部長で構成される。運営委員会では、本プロジェクトの重要課題が記載された課題管理表を確認し、必要に応じて各部などに対応を指示する。運営委員会の会議内容は、議事録に記録される。
(3) 要件定義を行う要件検討会は、運営委員会が指名した各部の部員(以下、要件定義メンバという)で構成される。債権管理部及び法務部の要件定義メンバは、業務要件の検討結果を業務要件一覧にまとめ、システム部の要件定義メンバは、業務要件一覧に基づき、システム要件の検討結果をシステム要件一覧にまとめる。業務要件一覧の一部を表1に、システム要件一覧の一部を表2に示す。
(4) 要件検討会の議事録には、要件定義メンバの出席状況、検討テーマ、質疑応答・意見、検討結果などが記載されている。例えば、X年6月8日に開催された要件検討会の議事録には、「要件定義書の作成が遅れており、X年6月30日までに運営委員会で承認されないおそれがある」と記載されていた。また、Y社のプロジェクト管理基準では、要件検討会の開催後に、プロジェクトに参加している各部の管理職全員が、回覧される議事録を閲覧し、記載事項を確認するよう定められている。
〔本調査〕
システム監査チームは、予備調査の結果を踏まえ、要件定義書承認前の X 年 6 月中に本調査を実施した。
(1) 債権管理部及び法務部において、業務要件が適切に確認されているかどうかを、次のとおり確認した。
① 要件検討会の議事録を閲覧したところ、債権管理部の要件定義メンバP氏が第 2 回要件検討会を欠席していることが記録されていた。
②P氏にインタビューしたところ、P氏は、「欠席した第 2 回要件検討会を含めて、全ての要件検討会の議事録を閲覧し、記載事項を確認している」と回答した。
③ また、P氏は、“プロジェクト管理基準に従って、債権管理部の管理職全員が要件検討会の議事録の記載事項を確認していると認識している” と回答した。
④P氏の③の回答内容が事実かどうかを確認するために、追加の監査手続を行った。
(2) 業務要件の根拠が明確かどうかを、次のとおり確認した。
① 業務要件一覧に記載された業務要件をサンプル抽出し、根拠資料の内容と照合した。しかし、業務要件の一部は根拠資料の内容との関係が不明確であることから、業務要件の根拠が明確であることを証するための十分な a を得られなかった。例えば、表1項番①の業務要件が、債権管理法令集に記載されれた法令のどの条項に対応するのか、システム監査チームは確認できなかった。
② 業務要件の根拠が明確であることを証するために、b に c を説明するよう求めた。
(3) 業務要件とシステム要件が整合しているかどうかを、次のとおり確認した。
① 業務要件一覧とシステム要件一覧を照合したところ、業務要件ごとにシステム要件が定義されていた。
② 業務要件及び対応するシステム要件をサンプル抽出し、関連する要件検討会の議事録を閲覧するとともに、要件定義メンバにインタビューした。その結果、業務要件及びシステム要件の具体的な内容についての認識が、要件定義メンバ間で合致していないケースがあった。例えば、P氏は、表1項番③の当社処理時間帯が、前日の 20~21 時、及び当日の 8~9 時の間であると考えていた。一方、システム部の要件定義メンバは、表2項番③について、バッチ処理時間帯の制約があるので、前日の 8~9 時、及び前日の 20~21 時の間の発信記録を、要注意発信一覧として表示しようと考えていた。
③ ②の状況が生じた原因を確認した上で、“業務要件とシステム要件を整合させることが必要である”ことを指摘した。
(4) 要件検討会で認識された重要課題が、運営委員会で確認されているかどうかを確認するために d、e 及び f を照合した。
設問1:
〔本調査〕(1)④において、システム監査チームが行うべき追加の監査手続を解答群の中から二つ選び、記号で答えよ。
解答群
ア:P氏以外の要件定義メンバにインタビューして、P氏が第2回要件検討会を欠席したかどうかを確かめる。
イ:債権管理部の管理職にインタビューして、要件検討会の議事録の記載事項を確認したかどうかを確かめる。
ウ:要件検討会の議事録の回覧記録と債権管理部員の名簿を照合して、議事録が債権管理部の管理職全員に回覧されたかどうかを確かめる。
エ:要件検討会の議事録を閲覧して、債権管理部の管理職がP氏の代理として、第2回要件検討会に出席したかどうかを確かめる。
模範解答
イ、ウ
解説
解答の論理構成
-
監査目的の把握
【問題文】では、〔本調査〕(1)④で「P 氏の③の回答内容が事実かどうかを確認するために、追加の監査手続を行った」とあります。③の回答とは、
“プロジェクト管理基準に従って、債権管理部の管理職全員が要件検討会の議事録の記載事項を確認していると認識している”
というものです。したがって、追加手続は「債権管理部の管理職全員が議事録を確認したか」を実証するものに限るべきです。 -
選択肢の適合性を検討
ア:「P氏以外の要件定義メンバにインタビュー…」
→ “P 氏が欠席したか” の確認であり、③の回答の真偽とは無関係。
イ:「債権管理部の管理職にインタビューして、要件検討会の議事録の記載事項を確認したかどうかを確かめる。」
→ 直接、管理職自身に確認を取る手続であり適切。
ウ:「要件検討会の議事録の回覧記録と債権管理部員の名簿を照合して、議事録が債権管理部の管理職全員に回覧されたかどうかを確かめる。」
→ 回覧という客観的証憑を突合する手続であり適切。
エ:「…代理出席したかどうかを確かめる。」
→ 代理出席の有無は③の回答(議事録確認の有無)と無関係。 -
根拠の整理
①「プロジェクト管理基準」には「要件検討会の開催後に、プロジェクトに参加している各部の管理職全員が、回覧される議事録を閲覧し、記載事項を確認する」と規定。
② 追加手続は、この規定が履行されたかどうかを“インタビュー”と“証憑の突合”という互いに補完的な方法で確認するのが内部監査の定石。 -
結論
よって、正しい追加監査手続は
「イ」および「ウ」 です。
誤りやすいポイント
- 欠席や代理出席の事実確認(ア・エ)は、管理職による議事録確認とは別問題である点を見落としがちです。
- 「インタビューだけ」または「証憑突合だけ」で十分と判断し、一方を落とすミス。監査証拠は“十分かつ適切”が原則で、二方向からの裏付けが望まれます。
- “管理職全員”の確認というキーワードを読み飛ばし、一般メンバや代理人の出席状況に目を向けてしまうことがあります。
FAQ
Q: 回覧記録が存在しない場合、代替手続はありますか?
A: メール送信ログや電子ワークフローの閲覧履歴など、同等の客観的証拠を確認することで代替できます。
A: メール送信ログや電子ワークフローの閲覧履歴など、同等の客観的証拠を確認することで代替できます。
Q: インタビューは証拠として弱いのでは?
A: 単独では弱いですが、証憑との突合で整合が取れれば有効な補強証拠になります。監査基準でも「相互に補完する複数の証拠」を推奨しています。
A: 単独では弱いですが、証憑との突合で整合が取れれば有効な補強証拠になります。監査基準でも「相互に補完する複数の証拠」を推奨しています。
Q: 代理出席の有無を確認する意義は全くないのでしょうか?
A: 欠席理由や代理対応は別の統制(要件検討会の出席管理)には関係しますが、本設問のゴールである「議事録を管理職全員が確認したか」の実証には直接結び付きません。
A: 欠席理由や代理対応は別の統制(要件検討会の出席管理)には関係しますが、本設問のゴールである「議事録を管理職全員が確認したか」の実証には直接結び付きません。
関連キーワード: 内部監査手続, 監査証拠, インタビュー, 証憑突合, 回覧記録
設問2:
〔本調査〕(2)①の記述中のaに入れる適切な字句はどれか。解答群の中から最も適切なものを選び、記号で答えよ。
解答群
ア:監査計画
イ:監査証拠
ウ:監査調書
エ:監査手続
模範解答
a:イ
解説
解答の論理構成
-
監査の目的
【問題文】では「業務要件の根拠が明確であることを証するための十分な a を得られなかった。」とあります。ここで求められているのは“証するため”に用いる材料です。 -
用語の定義と照合
- 監査証拠:監査対象を評価・検証するために収集する情報や資料。
- 監査計画:監査の目的・範囲・方法をまとめた計画書。
- 監査調書:監査で得た証拠と判断を整理・保存した文書。
- 監査手続:証拠を収集するために実施する具体的な作業。
「証するための十分な○○を得られなかった」という文脈に合致するのは“監査証拠”です。計画・手続は取得方法、調書は整理結果であり、“得られたか否か”の対象は通常「証拠」を指します。 -
選択肢適合性の検討
- ア「監査計画」:得るものではなく策定するもの。
- イ「監査証拠」:情報を“得る”対象で表現と一致。
- ウ「監査調書」:証拠をまとめる書類で“得る”対象とは言いにくい。
- エ「監査手続」:証拠を“得る”ための行為であって得られるものではない。
-
結論
よって a に入る語は「監査証拠」であり、解答群「イ」が最も適切です。
誤りやすいポイント
- 「監査調書」と混同する
証拠を保管・整理した結果が調書ですが、問題文は“証明するための材料そのもの”を指しています。 - 「監査手続」を“得るもの”と誤解する
手続は方法論であって成果物ではありません。 - キーワード「証するため」に注目しない
“証拠”という言葉を連想できないと計画や手続に目が行きがちです。
FAQ
Q: 監査証拠には具体的に何が含まれますか?
A: インタビュー記録、書類コピー、ログファイル、システム設定画面のスクリーンショットなど、監査結論を裏付けるあらゆる資料が該当します。
A: インタビュー記録、書類コピー、ログファイル、システム設定画面のスクリーンショットなど、監査結論を裏付けるあらゆる資料が該当します。
Q: 監査証拠を十分に得られない場合、監査チームはどう対処しますか?
A: 追加の監査手続を実施したり、関係部署へ説明・資料の提示を求めたりして証拠を補完します。それでも不足する場合は監査意見で制限付き意見や不適正意見を表明することがあります。
A: 追加の監査手続を実施したり、関係部署へ説明・資料の提示を求めたりして証拠を補完します。それでも不足する場合は監査意見で制限付き意見や不適正意見を表明することがあります。
Q: 監査調書と監査証拠の違いは何ですか?
A: 監査証拠は“材料”、監査調書は“材料と判断を整理し保管した文書”です。調書は証拠を含みつつ監査人の考察も記録します。
A: 監査証拠は“材料”、監査調書は“材料と判断を整理し保管した文書”です。調書は証拠を含みつつ監査人の考察も記録します。
関連キーワード: 監査証拠, 監査手続, 内部監査, コンプライアンス
設問3:
〔本調査〕(2)②の記述中のb、cに入れる適切な字句を、それぞれ20字以内で答えよ。
模範解答
b:債権管理部及び法務部の要件定義メンバ
c:業務要件と根拠資料の内容との関係
解説
解答の論理構成
- 手掛かりは「〔本調査〕(2)②」の本文
「業務要件の根拠が明確であることを証するために、b に c を説明するよう求めた。」
- ここで監査チームが “説明を求める” 相手 [b] は、業務要件を作成した当事者です。予備調査(3)の記述に
「要件定義を行う要件検討会は、…債権管理部及び法務部の各部員(以下、要件定義メンバという)で構成される。」
とあり、業務要件一覧(表1)を作成したのは「債権管理部及び法務部の要件定義メンバ」です。したがって [b] は
「債権管理部及び法務部の要件定義メンバ」
となります。 - 次に [c]。監査チームは(2)①で
「業務要件の一部は根拠資料の内容との関係が不明確である」
と問題を指摘しています。従って説明してもらいたい内容は「業務要件と根拠資料の内容との関係」です。
以上より解答は
b:債権管理部及び法務部の要件定義メンバ
c:業務要件と根拠資料の内容との関係
b:債権管理部及び法務部の要件定義メンバ
c:業務要件と根拠資料の内容との関係
誤りやすいポイント
- “議事録を回覧する相手” と “根拠を説明させる相手” を混同し、[b] を「各部の管理職全員」と誤答しやすい。説明責任は業務要件作成者側にある点に注意。
- [c] を単に「根拠資料」とだけ書くと、何をどう説明させるのかが曖昧になる。監査の目的は “対応関係の明確化” である。
- 問題文の「業務要件の根拠が明確かどうか」というフレーズを読み落とし、[c] に「法令条項の番号」など限定的な要素を書いてしまう。
FAQ
Q: [b] で「システム部の要件定義メンバ」は含まれませんか?
A: 業務要件の根拠を説明できるのは、業務要件を策定した「債権管理部及び法務部の要件定義メンバ」です。システム部はシステム要件の作成担当であり、根拠資料との突合には直接関与しません。
A: 業務要件の根拠を説明できるのは、業務要件を策定した「債権管理部及び法務部の要件定義メンバ」です。システム部はシステム要件の作成担当であり、根拠資料との突合には直接関与しません。
Q: [c] の説明内容に条項番号まで求めるべきでは?
A: 監査指摘の趣旨は “業務要件と根拠資料が対応していること” を示すことです。条項番号は具体例の一部に過ぎず、包括的に「業務要件と根拠資料の内容との関係」を示せば十分です。
A: 監査指摘の趣旨は “業務要件と根拠資料が対応していること” を示すことです。条項番号は具体例の一部に過ぎず、包括的に「業務要件と根拠資料の内容との関係」を示せば十分です。
Q: 業務要件と根拠資料の関係が不明確だと、どんなリスクがありますか?
A: 法令違反・社内規程違反の発見遅延につながり、結果としてシステム完成後に再設計が必要になるリスクや、コンプライアンス違反による損失リスクが高まります。
A: 法令違反・社内規程違反の発見遅延につながり、結果としてシステム完成後に再設計が必要になるリスクや、コンプライアンス違反による損失リスクが高まります。
関連キーワード: 内部監査, エビデンス, 要件トレーサビリティ, コンプライアンス
設問4:
〔本調査〕(3)③で確認した②の状況が生じた原因は何か。解答群の中から最も適切なものを選び、記号で答えよ。
解答群
ア:運営委員会が、要件定義書を承認していなかった。
イ:債権管理部及び法務部の要件定義メンバが、業務要件一覧をまとめた。
ウ:システム部の要件定義メンバが、債権管理法令を知らなかった。
エ:要件検討会で、業務要件とシステム要件との整合性を十分に確認していなかった。
模範解答
エ
解説
解答の論理構成
-
事実確認
【問題文】〔本調査〕(3)②には
「業務要件及びシステム要件の具体的な内容についての認識が、要件定義メンバ間で合致していないケースがあった。」
と明記されています。さらに具体例として、表1項番③と表2項番③の時間帯の取り違えが示されています。 -
原因のヒント
同じ段落の〔本調査〕(3)③には
「“業務要件とシステム要件を整合させることが必要である”ことを指摘した。」
とあり、整合確認が十分でなかった点が監査チームの指摘事項になっています。 -
選択肢の検証
ア:「要件定義書を承認していなかった」は、承認前でも内容の認識がズレることは防げます。直接原因ではありません。
イ:「…業務要件一覧をまとめた」は通常プロセスどおりで、問題とは無関係です。
ウ:「…債権管理法令を知らなかった」は、示された例が“時間帯”の食い違いであり法令知識不足とは結び付きません。
エ:「要件検討会で、業務要件とシステム要件との整合性を十分に確認していなかった」は、監査指摘と一致し、メンバ間の認識不一致を直接説明できます。 -
結論
以上より、最も適切な原因は「エ」です。
誤りやすいポイント
- 「要件定義書の承認がまだ」という事実だけで原因と短絡する。承認プロセスとメンバ間の認識合わせは別物です。
- 「法令知識不足=すべての齟齬」と決めつける。例示されたテーマが法令ではなく時間帯設定である点を見落としがちです。
- 要件一覧をまとめた部門を疑ってしまう。作成部門は正しくても整合確認の場が機能しなければ同じ問題が起こります。
FAQ
Q: 要件検討会は開催されているのに、なぜ整合性確認が不十分になるのですか?
A: 会議体が存在しても、議事録・チェックリスト・合意形成のプロセスが弱いと実質的なレビューが行われません。今回は「要件検討会で…整合性を十分に確認していなかった」ことが指摘されています。
A: 会議体が存在しても、議事録・チェックリスト・合意形成のプロセスが弱いと実質的なレビューが行われません。今回は「要件検討会で…整合性を十分に確認していなかった」ことが指摘されています。
Q: 運営委員会での承認が遅れていることはリスクにならないのですか?
A: 承認遅延はスケジュール遅延のリスクですが、メンバ間の要件認識齟齬の“直接原因”ではありません。問題は整合性確認プロセスの欠如にあります。
A: 承認遅延はスケジュール遅延のリスクですが、メンバ間の要件認識齟齬の“直接原因”ではありません。問題は整合性確認プロセスの欠如にあります。
Q: 法令知識が不足している場合でも整合性は取れないのでは?
A: その場合は法令チェック項目の不足が原因になります。今回示された齟齬は時間帯の“定義”に関するものなので、法令知識より「要件間の合意形成」不足が焦点になります。
A: その場合は法令チェック項目の不足が原因になります。今回示された齟齬は時間帯の“定義”に関するものなので、法令知識より「要件間の合意形成」不足が焦点になります。
関連キーワード: 要件定義, システム監査, コミュニケーション, レビュー, ガバナンス
設問5:
〔本調査〕(4)の記述中のd~fに入れる適切な字句を、それぞれ10字以内で答えよ(d,e,fは順不同)。
模範解答
d:要件検討会の議事録
e:運営委員会の議事録
f:課題管理表
解説
解答の論理構成
-
対照すべき3種の記録を特定
【問題文】〔本調査〕(4)には、「要件検討会で認識された重要課題が、運営委員会で確認されているかどうかを確認するために d、e 及び f を照合した。」とあります。
ここで“照合”とは、同一内容が各種資料間で正しく引き継がれているかを突き合わせる行為です。したがって、
• 要件検討会で議論・決定した内容が記される「要件検討会の議事録」
• 運営委員会での最終確認内容が記される「運営委員会の議事録」
• 運営委員会で共有・管理される重要課題リストである「課題管理表」
の3点を照合対象とするのが自然です。 -
原文根拠の確認
- 「要件検討会の議事録」…【問題文】(4)「要件検討会の議事録には、要件定義メンバの出席状況、検討テーマ、…」
- 「運営委員会の議事録」…【問題文】(2)「運営委員会の会議内容は、議事録に記録される。」
- 「課題管理表」…【問題文】(2)「運営委員会では、本プロジェクトの重要課題が記載された課題管理表を確認し…」
これらが照合対象として機能しうる唯一の資料群であることが分かります。
-
結論
以上から d=「要件検討会の議事録」、e=「運営委員会の議事録」、f=「課題管理表」と導けます。
誤りやすいポイント
- 「要件定義書」や「業務要件一覧」を照合対象に選んでしまう
要件定義書は要件をまとめた成果物であり、“重要課題が委員会で確認されたか”の証跡としては不適切です。 - 「プロジェクト管理基準」など規程類を照合対象に混同する
規程は手続の枠組みを示すもので、実際の課題追跡には直接使われません。 - 「課題管理表」を失念し、議事録同士のみを照合すると判断する
課題の一覧性・更新履歴を持つ「課題管理表」を外すと、課題管理プロセスの本来目的(追跡可能性)が担保できません。
FAQ
Q: なぜ「設計レビュー記録」など他のドキュメントではないのですか?
A: 設問は“要件検討会で認識された重要課題”が“運営委員会で確認”されたかを確かめる意図です。要件段階で生成される議事録と、課題を集約した「課題管理表」、そして最終確認の議事録を突き合わせるのが最短で確実なルートです。
A: 設問は“要件検討会で認識された重要課題”が“運営委員会で確認”されたかを確かめる意図です。要件段階で生成される議事録と、課題を集約した「課題管理表」、そして最終確認の議事録を突き合わせるのが最短で確実なルートです。
Q: 「課題管理表」は運営委員会の外でも更新される可能性がありますが?
A: 可能性はありますが、【問題文】には「運営委員会では、本プロジェクトの重要課題が記載された課題管理表を確認し」と明記されています。この記載が「運営委員会で確認された証跡」として十分機能する根拠となります。
A: 可能性はありますが、【問題文】には「運営委員会では、本プロジェクトの重要課題が記載された課題管理表を確認し」と明記されています。この記載が「運営委員会で確認された証跡」として十分機能する根拠となります。
Q: 議事録照合では具体的にどんな監査手続を取りますか?
A: 例えば、課題管理表の項目IDと記載内容が、要件検討会議事録の“議論された課題”欄および運営委員会議事録の“審議事項”欄に一致しているか、タイムスタンプや担当者が引き継がれているかをチェックします。
A: 例えば、課題管理表の項目IDと記載内容が、要件検討会議事録の“議論された課題”欄および運営委員会議事録の“審議事項”欄に一致しているか、タイムスタンプや担当者が引き継がれているかをチェックします。
関連キーワード: 監査証跡, 課題管理, 議事録, トレーサビリティ
