ホーム > 情報処理安全確保支援士試験 > 2013年 春期
情報処理安全確保支援士試験 2013年 春期 午前2 問25
新システムへの移行に関するシステム監査で確認した状況のうち,指摘事項に該当するものはどれか。
ア:移行作業と併せて,システム運用部門及びシステム利用部門に対する新システムの操作教育を計画し、実施していた。
イ:移行対象,移行方法,移行実施体制及び移行スケジュールを明記した移行計画に従って,移行作業を行っていた。
ウ:移行ツールを利用して, データベースの移行及びその移行結果の検証を行っていた。
エ:システム開発部門内に検証体制を作って移行結果の検証を行い,移行完了としていた。(正解)
解説
新システムへの移行に関するシステム監査で確認した状況のうち,指摘事項に該当するものはどれか。【午前2 解説】
要点まとめ
- 結論:移行結果の検証はシステム開発部門だけでなく、独立した第三者や運用部門が関与すべきであり、エが指摘事項に該当します。
- 根拠:システム監査では客観性と独立性が重要で、検証体制が偏ると不正確な評価や問題の見落としが起こりやすいです。
- 差がつくポイント:検証体制の独立性の有無を見極めることが重要で、単に検証を行っているだけでは不十分と判断されます。
正解の理由
選択肢エは「システム開発部門内に検証体制を作って移行結果の検証を行い、移行完了としていた」とあります。これは検証の独立性が欠如しており、監査の観点から指摘事項となります。システム監査では、開発部門が自らの作業を検証するだけでは客観性が保てず、問題の見逃しや不正確な評価につながるため、独立した検証体制が求められます。
よくある誤解
開発部門が検証を行えば十分と考えがちですが、監査では独立性と客観性が重視されるため、第三者の関与が必要です。
解法ステップ
- 問題文の「指摘事項に該当するもの」を確認し、監査の観点を意識する。
- 各選択肢の内容を「移行作業の適切さ」「検証体制の独立性」「教育や計画の実施状況」で比較する。
- 独立性が欠けている選択肢を特定する。
- 独立性がない検証体制は指摘事項となるため、それがエであることを確認する。
選択肢別の誤答解説
- ア: 操作教育の計画・実施は適切であり、指摘事項には該当しません。
- イ: 移行計画に基づく作業は基本的な管理であり、問題ありません。
- ウ: 移行ツールの利用と検証は適切な手順であり、指摘事項ではありません。
- エ: 検証体制が開発部門内に限定されており、独立性がなく監査上の指摘事項です。
補足コラム
システム監査では、移行作業の検証は独立した監査部門や運用部門が関与し、客観的に評価することが求められます。これにより、移行ミスやデータ不整合のリスクを低減し、信頼性の高いシステム運用が可能となります。
FAQ
Q: なぜ開発部門だけで検証してはいけないのですか?
A: 開発部門は自らの作業を評価するため、バイアスがかかりやすく、問題の見落としや不正確な判断が生じる可能性があるためです。
A: 開発部門は自らの作業を評価するため、バイアスがかかりやすく、問題の見落としや不正確な判断が生じる可能性があるためです。
Q: 移行計画があれば検証体制の独立性は不要ですか?
A: 移行計画は重要ですが、計画通りに実施されているかを客観的に検証するために独立性が必要です。
A: 移行計画は重要ですが、計画通りに実施されているかを客観的に検証するために独立性が必要です。
関連キーワード: システム監査, 移行検証, 独立性, システム移行, 検証体制