2010年04月20日
2010年システム監査技術者試験小論文 概況
2010年システム監査技術者試験 午後II 小論文の総評
■総評
- 非常に意欲的で、システム監査技術者としての実力を問うようなテーマが出題された
- 問2の内部統制報告と問3の事業継続計画はもしかすると、予想が当たった方もいると思う。
- 全3問のなかで問2が一番難しいなと思った。
全体的に良く練られていて、相対的に難しい。小論文試験では、その意図を 解答者が読み取って、網羅的に小論文を執筆することが出来るかが合否を分けるポイントであろう。あえて言うと 問2がもっとも難しい問題ではないかと思われる。
■難易度
[難易度]★が多いほど難しい
- 問1 ★★★★☆
- 問2 ★★★★★
- 問3 ★★★★☆
上記の難易度を決めた理由は次の通りである。
- 問1:システム管理基準にシステムの安全性の確認事項が掲載されている。自分勝手に論文を書くと合格できない。
- 問2:文書の共有化とアクセス管理のトレードオフの問題。両者のバランスの取り方が難しい
- 問3:システム管理基準の該当箇所を今回のテーマである「IT運用コストの削減」に置き換えれば 簡単に解答できる
■問題別、小論文戦略
合格できるか、否かについての基準を示そう。
| 問題 | 問題の必須条件 | 合格のための工夫 |
| 問1 | システム管理基準が理解できているか | システム開発工程に遡っての監査がかけるか |
| 問2 | アクセス管理と文書共有化の妥当な共存点をみつけられるか | 電子文書の共有化の有効性と監査証跡とを合理的に結び付けられるか |
| 問3 | システム管理基準が理解できているか | コスト削減の実現性とコスト削減のリスクの両論を明確に書き抜くこと |
■総評と解答速報
●総評
●午後Ⅱ
■2010システム監査技術者試験 解答速報目次に戻る
■システム監査技術者試験小論文合格講座
平成22年度(2010年)システム監査技術者試験 小論文 解答速報
2010(平成22年度) システム監査技術者試験午後Ⅱ解答速報
※留意事項
この解答速報は、システム監査小論文試験等の
「合格のためのガイドラインを予測するもの」
です。完全性を保障するものではなく、また、
利用される皆さんの合格を保証するものではありません。その点を十分、
ご留意いただいたうえでご利用ください。
新版CD「ITストラテジスト小論文突破講座(ver2.0)」は
2010年4月16 リリース!
ライバルは既に持っている!
基本的仕様:CD
オプションで午後I,午後IIの添削がつきます。
■合格のためのガイドラインと正答率
合格と足切りのガイドラインは正答率60%であると予想します。
■総評と解答速報
●総評
●午後Ⅱ
2010年システム監査技術者試験 午後II 問1 解答例
平成22年 システム監査技術者試験 午後Ⅱ 問1 解答例
1.1 組み込みシステムの概要
私が内部監査を実施したシステムはA社の自動倉庫システムの開発システムである。特に自走ロボットのブロック間移動制御、フォークリフトアームの動作制御システムである。このロボットは自動倉庫内を走行し、指定された貨物を指定された場所に搬送する機能を有している。必要に応じてスタッフのいない深夜にも稼動する。また、スタッフのいる昼間も稼動する。
1.2 設計に関して配慮が必要なこと
自走ロボットの組み込みシステム設計に当たっては、概要設計書が作成され、①自走ロボットの機能定義、②自走ロボットの安全制御機能定義、③①と②の性能定義が記載された。
そのうえで、①や③もさることながら②の安全制御機能が最重要課題となり、制御異常を検知した場合、最悪の場合システムを全面停止にする必要がある。
1.3 不具合が業務や社会に及ぼす影響
自走ロボットの誤動作が業務や社会に及ぼす影響は以下のとおりである。
1.3.1 基本的機能、性能要件を満たさないケース
- 物流業務が遅滞して、荷主、消費者に迷惑がかかる
- (1)により荷主、販売主に経済的損害が発生する
- (2)により、自動倉庫会社の信頼が損なわれる
1.3.2 安全性を満たさないケース
フォークリフト異常、走行異常による影響は次のとおりである。。
- )自走ロボットの暴走で自動倉庫の施設を破壊する
- (1)により、倉庫内の商品を破壊する、倉庫内作業員の身体生命に脅威を与える。
- (1)により、企業の設備投資計画、財務状態の悪化
- (2)による労働災害の発生とA社の使用低下
2.組み込みシステムのシステムテスト内容
2.1 システムテストに当たって準拠する文書
以下の文書に準拠してシステムテストを実施する。- 顧客からいただいたRFP(Request For Proposal)
- 顧客企業との開発打合せ記録
- システム要件定義書、概要設計
- テスト計画書、テストデータ、テスト結果報告書
2.2 監査の要点
以下の観点で監査を実施する。
- システム開発計画書が顧客によって承認されているか
- システム開発計画にあたって、リスク分析を網羅的に実施しているか
- 組み込みシステム異常時の事業継続計画が計画化されているか、システム開発にその要件が組み込まれているか
- フォークリフトの安全性についてコンプライアンスを満たしているか。
- システム開発に要する資材の調達が調達基準に適合して適切に実施されているか
- システム開発の各段階において、担当責任者がシステムの安全性基準への適合性を検証しているか。それをユーザが承認しているか
- 開発にかかわる以下の要点への準拠を確認すること
- 情報システムの性能は要件定義を満たしていること
- 組み込みシステムの保守点検が容易にするために保守性を高めること
- 他の自動倉庫システムとの整合性を確保すること
- 障害対策を設計段階で講じていること
- 誤謬対策を講じていること
- モニタリング機能を備えていること。
2.3 システムテスト
上記の観点でシステムテストの実施計画を述べる。- (1) システムテスト計画書は開発担当者とテスト担当者が承認していること
- (2) システムテストに当たっては、システムの安全性の要求事項を網羅的にテストケース設定しておくこと
- (3) テストデータ作成はテスト計画に基づいて行われること
- (4) システムテストデータはユーザ、開発、運用、保守責任者すべてが承認すること
- (5) 上記の記録をすべて保存すること
3 監査手続き
システムテストの適切性を確かめるために、組織的な協力が不可欠である
(1)開発関係者のヒアリング
ユーザ、依頼者である開発プロジェクトマネージャ、運用担当者、保守責任者のヒアリングを実施して、監査要件を把握する。
(2)予備調査
①必要とする、安全性にかかわるコンプライアンス要件の調査
②「要件定義書」レビューによるシステム概要やシステム構成の把握
③運用担当者、保守責任者アンケートによる、安全性確保の実務の把握
④「プロジェクト計画書」レビューによる、開発組織と工程管理の概要の把握
⑤「単体、結合テスト報告書」レビューによる品質、性能の状態の把握。
(3)個別計画
被監査組織、調査する文書。監査証跡、アンケート、チェックリストおよび監査スケジュールの準備を実施して、被監査組織とスケジュール調整を実施する。
(4)監査の実施
被監査組織を訪問し、チェックリストに基づいて、①インタビュー、②テスト立会い、③テストデータの評価、④テスト立会い者の意見、結論の記録、⑤そこで発生した不具合、その是正予防計画について監査調書としてとりまとめる。
(5)監査報告書の取りまとめ
監査目的にあわせて①被監査組織の開発活動の妥当性、②ユーザが求める安全性への準拠基準への適合性、③潜在するリスクへの考慮事項、④事故発生時の事業継続計画への配慮事項について監査報告書にまとめる。
監査報告書を上長に提出し、意見を聞き、修正を加える。
(6)監査結果報告会
被監査組織、利害関係者を含めて監査結果報告会を実施する。そのなかで監査根拠を提示しつつ監査結果を説明して、助言型監査報告を行う。
報告書の中で修正事項がある場合は相互に検討し報告書を修正する。
(7)是正、予防計画の監視
被監査組織の不備の対処、是正予防に状況を監視する。
(8)フォローアップ監査
(7)で安全性が確保されたかについてフォローアップ監査を実施する。
(9)計画の見直し
A社の開発計画のすすめかたに問題があった場合、開発計画の見直しを助言する。
以上
平成22年度、システム監査技術者試験 午後II、問3
平成22年 システム監査技術者試験 午後Ⅱ 問3 解答例
1.ITコスト削減とその理由
1.1 ITコスト削減の概要
私が内部監査を実施したシステムはC社のWeb販売システムの運用コストである。C社では農作物系の加工品 をインターネットで販売している。
1.1.1 現行システム
現在稼動しているWebシステムは2つある。1つは大手ショッピングモールであり、いまひとつはWeb専門企業に構築、運営を任せている独自ドメインWebサイトである。この独自ドメインWebサイトは運営業者サイトにおかれていて、業者の提供する機能を利用している。
1.1.2 削減取り組み内容と目的
経営層によるWebにかかわるITコスト削減の方針は次のとおりである。
- 大手ショッピングサイトを、5年をめどに撤退する。その結果、システム利用料を0円にする
- 独自ドメインサイトの運営を自主運営として、別サーバに移転する。この結果、毎月業者に支払っているWebサイト運営費を0円とする。
この結果、C社のネットビジネス事業の営業利益を売上げに対して7%確保する。
1.2 ITコスト削減の理由
大手ショッピングモールでは、売上課金やメルマガ課金などが負担になっており、現在では月額1,000万円近くシステム使用量の名目で支払っている。また、独自ドメインサイトでは、月額10万円程度の運用コストがかかっていて、Webショップの費用対効果を低下させている。 また、大手ショッピングモールに毎月支払う1000万円の金額が事業運転資金の資金繰りを悪化させている。この問題を放置すると、黒字倒産になる可能性もある。このほか前年度の税理士法人監査でも独自ドメインサイトの運営コストの高さが指摘事項でもあった。2.監査項目
監査上、重要な点は情報システムコスト削減が経営方針や戦略的目標を実現するために貢献できるかがポイントである。2.1 コスト削減計画についての監査項目
C社ではシンクライアントに関する情報システムリスクを次のように認識している。
- ITコスト削減計画がITガバナンスに基づいて行われているか
- ITコスト削減計画が情報化投資構想と矛盾しないこと
- ITコスト削減後の情報システムが組織の情報システムのあるべき姿と矛盾しないこと
- ITコスト削減計画が情報セキュリティ基本方針と合致すること。
- 上記のITコスト削減案を含めた全体計画が組織の長の承認を得ているとともに利害関係者の合意を得ていること。
- ITコスト削減案の後の経営資源を明確にすること
- ITコスト削減案の投資効果、リスクが明確になっていること
- ITコスト削減後の情報システムの品質が明確になっていること
- ITコスト削減の優先順にが明確になっていること
- ITコスト削減にあたっては外部資源の活用を考慮していること
- 情報システム化委員会でITコスト削減案を策定し、モニタリングし、検討すること
- 情報システム化委員会でITコスト削減案の技術採用方針を明確にすること
- ITコスト削減について、影響、効果、実現等の観点から選択肢を検討すること
- ITコスト削減について投資対効果の算出方法を明確にしておくこと
2.2ITコスト削減によるリスク監査
以下の観点で監査を実施する。
- 情報資産の管理方針、体制を明確にすること
- 業務手続の変更が必要になる
- ITコスト削減にあたってはユーザ、開発、運用、保守責任者が承認するこ
- IT資源の調達にあたっては組織のルールにしたがって行われること
- ITコスト削減に当たってユーザの利便性が確保されること
- ITコスト削減はユーザ要求を満たすこと
- ITコスト削減によって障害対策機能が劣化しないこと
- 誤謬、不正防止、機密保護対策が設計されているこ
- モニタリング機能を考慮して設計しておくこ
3 監査で発見された問題点と改善案
3.1 監査で発見された問題点
(1)ユーザの求める機能の確保にコストが必要であること
SSLやPOP Before SMTPなどのセキュリティ機能、ショッピングカート機能、認証機能、代金決済機能などASP(Application Service Provider)を利用するとコスト増に繋がる要因が発見された。
(2)ASPサイトのセキュリティ強度について
専門家の意見を求めたところ「ショッピングカートが外部の不正なアクセス者によって数ヶ月ダウンしたことがある」「そのような場合、代替案の検討も必要ではないか」とん指摘を受けた。ASPのセキュリティ強度の
検証が難しい
(3)ユーザ部門の不安
大手Webサイトを離脱すると顧客リストを返却しなくてはならず、顧客離れが発生するのではないかという
不安がweb運営担当者から提示された。
3.2 改善案
以上の問題についての改善案を監査報告書の中で助言した。
(2)ASPのセキュリティ強度
外部ASPを利用したコストモデルと現行のコストモデルの対比表を項目別に作成し、経営者や利害関係者に説明した。
比較も個別項目別比較と全体比較をサービス別に行いつつ、営業利益7%達成可能か検討した。
(1)ユーザの求める機能の確保にコスト
第三者組織に対して内部監査はできない。このため、ASP採用は代替案を含めて3案提示して、以下の項目について検討した。①ユーザ数、②おもな利用者の利用実績、③業界の評価、④過去の大きなセキュリティ事故
この報告データを利害関係者に提示した。
(3)ユーザの不安
集客の代替案を販売促進計画書としてとりまとめ、検索エンジン対策等の対策を含めて提示した。
以上