折れない心

何度も敗北を味わってきた筆者が挫けずに試験勉強や語学を頑張ります。現在はAWS認定ソリューションアーキテクト[アソシエイト]に向けて対策を取り組んでいます。

システム監査技術者試験 その2 過去問演習(午後1)のメモ帳

ネットワークスペシャリスト試験(NW)のときにも演習で解いた過去問をQ&Aで自分なりにまとめましたが、システム監査技術者試験(AU)でも同じことをしたいと思います。

勉強したことをWebに残しておくと出先でもどこでも読めるので便利なので(自分にとって)、メモ帳代わりに過去問を解いて答え合わせをしたらどんどん追加したいと思います。

 

今のところ令和3年、令和2年、平成31年の3年分の午前1のQ&Aしか過去問を解く予定しかありません。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

(令和3年過去問より)

 

午後I

問1

(覚えておきたい出題パターン)

・「監査要点」としてはAI(新システム)の導入目的や利用範囲について、経営層が判断、承認しているかを確認したい。この点について「監査手続き」としては行うことは?

(ヒント)

・本文中で「議事録」という言葉は出ていないが「経営会議」「審議」「経営層が承認する」は記載あり。

(解答)

経営会議などの議事録を閲覧し、経営層によって十分に審議され、承認されているかを確かめる。

 

「監査要点」としてはPoC(新システムの概念)の計画と実施は適切に行われているか。この点について「監査手続き」として行うことについて【計画】と実施について行うことは何か?

【計画】

(ヒント)

・本文中で「PoC計画書」「評価基準」「終了基準」の記述あり

(解答)

PoC計画書を閲覧し、目的、結果の評価基準、終了基準の記述があることを確かめる。

実施

(ヒント)

・本文中で「PoC評価書」の記述あり

(解答)

PoC評価書を閲覧し、結果の評価や終了の判断についての記述を確かめる。

 

・システム本番移行工程について問題がある。本番運用において期待効果が得られない可能性がある。その問題とは何か。

(ヒント)

・本文の記述に「本番移⾏⼯程では時間が限られ,直前のテストエ程では結果が評価されることから,学習データと教師データの量を6か⽉分に増やして学習だけを⾏い,本番運⽤を開始する。」と書かれており、本番移⾏⼯程では学習だけを⾏い、結果の評価を⾏っていない。

(解答)

学習後に結果を評価しないで本番移⾏してしまうという問題

 

・オペレータ教育について、教育内容や実施計画が不十分と監査が指摘。その理由は?

(ヒント)

・本文には「結果の正しさや利⽤可否をオペレータ本⼈が判断すべきであることを教育する必要がある。その際,オペレータ教育の内容や実施計画の妥当性を事前に考慮することが重要である。」と書かれている一方、「開発概要書には,オペレータ教育について,“現⾏のマニュアルの中で操作⽅法が変更になる箇所だけを更新し,業務の繁閑を考慮しながらオペレータを教育する”と記述されている。」と書かれている。

(解答)

AI の特性の教育や,結果の正しさや利⽤可否を判断する教育の予定がないから

 

問2

(覚えておきたい出題パターン)

・プロジェクト運営委員会のメンバと’’システム投資規定’’の決済権限者とが整合しているかどうか(企画段階での体制の妥当性)について、監査部が確認しようとしている内容は何か?

(ヒント)

・本文に「予算額に応じた決裁権限者などが定められている。」と書かれている。これとプロジェクト運営委員会の関係を問われている。本文導出型問題。

(解答)

予算規模に応じた IT 投資の責任者がプロジェクト運営委員会のメンバとして参画しているか

 

・検討しているシステム再構築の再構築方法は3パターン(リホスト、リライト、リビルド)の中から検討中。コストに関する要件で選定を行いがちだが、リスク(=ビジネス目標に合致しないシステムになる)に対するコントロールが適切に検討されているかについて監査部が確認しようとしている具体的な内容は?

(解答)

再構築⽅式を⽐較検討した際の評価項⽬に,ビジネス⽬標の視点があること

 

・システム再構築時の設定工程で顕在化する可能性のあるリスクを答えよ。

(ヒント)

・現行システムの業務機能の全体を把握している従業員がいない

(解答)

現⾏システムの要件を熟知している者がいないので,仕様を適切に確定出来ない。

 

・システム再構築時のテスト工程のリスク(=テストが計画どおりに進捗せず、品質低下やスケジュール遅延を引き起こす)を引き起こす要因として考えられることは?

(ヒント)

・現行のシステムの業務機能の全体を把握している従業員がいない。保守用のドキュメントが不足している。それに対するコントールは「残すべき現行機能を明確にして合意を得る」

(解答)

業務要件が明確でないので,要件を充⾜しているかどうかのテストが出来ないこと

 

・新しいシステム基盤であるクラウドサービスに対して監査部が確認しようとしていることは?

(ヒント)

・本文にヒントはなし。完全に知識問題。

(解答)

セキュリティ,障害設計などの⾮機能要件の実現性が検討されていること

 

問3

(覚えておきたい出題パターン)

結合テストの品質評価結果で、「不良密度が基準範囲を下回っているが品質は問題ない」と報告されていた。しかし問題ないという理由がテスト項目数が十分であることとされているが、監査は不十分と判断した。その理由は?

(ヒント)

・本文の参照個所のやや後ろに「テスト密度は基準範囲内にあること、テスト項目はエラーケースも含めて質的に十分であること」と記載されている。

ここから抜き出す。当該システムの記述よりやや後ろに抜き出す場所があるから見つけにくいけど、「量が足りてて不足しているとしたらほかに何が不足してる?」と考えて答えを導きだしたい。

(解答)

テスト項⽬の質が⼗分であることが評価されていないから

 

・生産管理システムで発生した課題について、システムテストに向けて適切に対応が行われているかどうか確認したい。そのための監査手続きを監査証拠も含めて述べよ。

(ヒント)

・監査証拠として、システムテストに入る前の資料としては本文に書かれている「課題管理表」が該当する。それプラス、ヒアリングで出てきた生産管理システムの結合テスト時の問題である「マスタデータ作成のミス」に対しての「対応内容」「対応期限」の記述を絡める。いろいろな個所の複合の抜き出し問題なので100%回答するのは難しいと思う。

(解答)

課題管理表を閲覧し,マスタデータの作成ミスの再発防⽌策の内容と対応期限を確かめる。

 

・生産管理システムの品質評価結果に記載されている類似不良の品質向上策に関して、財務会計システムは他業務ともインターフェースがあることからプロジェクトとしての対応が適切かどうかを確認するが、このとき何を確認する?

(ヒント)

・「プロジェクトとしての」の意味を読み取れるかどうか。ここでは「生産管理だけでなく他システムの開発でも」という意図だということを汲み取りたい。

(解答)

類似不良点検について,開発チーム問で情報共有されているか

 

・購買管理システムと生産管理システムとのインターフェース機能の残課題について、その後工程のテスト(システムテスト)でのリスクを低減するための改善提案の内容を答えよ。

(ヒント)

・本文を読むと購買管理システムのプログラムの修正があり、その修正後のテストが、後工程のシステムテストに持ち越されそうなのはわかった(「プログラム修正とチーム内のテストは完了済。生産管理システムと接続させての確認はシステムテストで実施予定」という記述)。

ここについて本文を読んでいて違和感を感じた。それを解答として表現したい

(解答)

システムテスト開始前に購買管理システムと⽣産管理システムとの疎通確認テストを実施すること

 

・「準委任」に該当するシステムテストフェーズで問題になりそうなプロジェクトの体制について確認すべきことは?

(ヒント)

・易しい問題。システムフェーズが準委任であること・C社システム部がシステム開発のノウハウが不足していることは本文から判断できる。リスクになりそうな要素は読みながら本文に目印をつけておきたい。

(解答)

C社システム部及び利⽤部⾨が主体的にシステムテストを実施する体制を確保できるか

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

(令和2年過去問より)

 

午後I

問1

(覚えておきたい出題パターン)

・品質管理部や保守サービス部門でDX推進の制約となっている状況に対応しないといけない。この状況への対応として本調査で確認することは?

(ヒント)

・「制約」としては両部門とも現在のシステムでは分析用のデータ取得ができない状況

・既存のシステムを再構築するための''システム再構築計画''が進んでいる

(解答)

分析に必要なデータが取得できるように''システム再構築計画''を見直していること

 

・製品部門では新技術を利用してPoCを実施する(仮設をもとに施行して、PoCを実績とする)。しかし、新技術の利用そのものが目的となると業務、ひいては経営にとって役に立つ結果が得られないリスクがある。そのリスクが低減できているかどうかを監査するための具体的な監査手続きを述べよ。

(ヒント)

・PoCの前提としては活動テーマに即した仮説が設定されているかどうかが条件。

・PoCの実績は「PoC報告書」である。

(解答)

PoC報告書を閲覧して、活動テーマに即した仮説が設定されているかどうか確認する。

 

・DX推進のための人材を確保するための施策の実施状況を確認したい。人事部門を対象にした監査を行うための具体的な監査手続きを述べよ。

(ヒント)

・人事部は社内の人材として求める人材像を明確にする方針のもとに「人材類型定義書」を作成している。

(解答)

人材類型定義書を閲覧して、DXに必要な人材が明確になっていることを確認する。

 

・DX推進のためにはデータ活用が必要。データの収集・蓄積・活用のための責任と権限を定めたルールの整備が必要。そう考える理由は?

(ヒント)

・他部門のデータを活用したいニーズが大きい一方、他部門へのデータ提供可否の判断やデータ内容の正確性や網羅性について責任や権限が不明確な状況

(解答)

・他部門のデータを活用するための責任や権限を明確にする必要があるから。

 

・DX推進プロジェクト(DX-PJ)の進捗状況を把握しないと、活動目標がどの程度達成できているかあいまいになるリスクがある。そのリスクに対応できるかどうかの監査を行うための具体的な監査手続きを述べよ

(ヒント)

・DX-PJは各部門の代表者により毎月定例会が開催され、その際に進捗状況を確認している

・プロジェクトの進捗の指標としては、この会社では「進捗管理指標」が設定されている

(解答)

DX-PJ定例会の議事録を閲覧して、進捗管理指標が明確かどうかを確認する。

 

問2

(覚えておきたい出題パターン)

・R社では監査対象のシステムの選定には、各システムの「機密性」「完全性」「可用性」についてのリスクの評価をもとに行う。しかし、新社長としてはこの基準だけでは本来監査の対象とするシステムを外してしまう懸念がある。監査対象の選定方法はどのように見直せばいいのか?

(ヒント)

・一般論で解答の「あたり」をつける。本文中で明確なヒントは薄い

・新社長は方針としてITに関して新技術を経営戦略として導入したい意向

(解答)

戦略的重要度の観点も追加して対象システムを選定する。

 

・開発プロジェクトの監査において、今までは開発工程の終了時の状態を監査していたが、それでは適時把握が難しい。新社長の肝いりでプロジェクトの進捗会議に監査人が出席することを検討した。その利点は?

(ヒント)一般論より考えるべき、ということが解いていてわからないといけない

解答

(i)

プロジェクトの状態を適時に把握し、早期に改善を提案することができる

上記とは逆に問題点もあると考えた。想定される問題点は?

(ヒント)一般論より考えるべき、ということが解いていてわからないといけない

(ii)

監査人が出席することで、進捗に遅延があっても根本原因を隠すことがある。

 

・監査部門の人員の教育計画について、新社長としてはR社の経営戦略と整合させて具体的に作成を指示している。監査部長が作成すべきR社の教育計画の具体的な内容とは?

(ヒント)

・新社長はAIなどの技術を積極的に取り入れて、顧客向けサービス拡大を図ることを経営戦略としている。

・一方、現行のR社の監査部の人員教育は監査やPM、法令の教育。

(解答)

R社の経営戦略上重要なAIなどの技術について評価できる人材の育成

 

・R社では監査のためのツールとして「電子監査調書ソフト」を使用している。このソフトは過去の監査調書やドキュメントを保存し、参照や検索の機能を提供する。現状は活用が進んでおらず新社長は計画を具体化して活用の進捗を命じた。活用することによりどんな効果が期待できるか?

(ヒント)

・「電子監査調書ソフト」は監査の実施状況やノウハウを蓄積することを提供する。

・R社としては監査業務をこのようなソフトを用いて作業の効率向上を行いたい

(解答)

監査の実施状況やノウハウを共有でき、監査業務を効率化できる

 

・とあるシステムのR社の現行の監査手続きとして、不正アクセスの有無を確認するためにアクセスログをサンプリング調査して確認している。これをデータ分析ソフトを活用して制度の高い監査を実施したい。データ分析ソフトを活用した具体的な監査手続きを述べよ。

(ヒント)

・サンプルとしてランダムに抽出してデータ分析することの逆は「網羅的に」分析する。

・それを可能にするツールがデータ分析ソフト

(解答)

アクセスログの全件を集計・分析して不正な端末利用がないかを確認する

 

 

問3

(覚えておきたい出題パターン)

・A社のシステム開発の課題として社長は’’投資をして開発したにもかかわらず、十分に使用されていないシステム(特に「自己評価対象案件」に区分されるシステム)がある’’と述べた。

A社の内部監査部はIT投資効果を評価する際のプロセスには問題点があり、リスクがあると考えた。

その問題点を、原因とともに述べよ。

(ヒント)

・開発年度計画案は「経営会議」で審議される。

・「自己評価対象案件」に区分されるシステムの投資効果検証結果の最終報告先は現在オーナ部長となっている。

・問題文の最終盤に最終報告先がが変更されている記述がある。(オーナ部長から情報システム委員会へ)。ヒントが後半にあるので少し難しい問題。

(解答)

自己評価対象案件の投資効果検証結果がオーナ部門にとどまっているので、経営会議で伝わらない。

 

・当初の計画通りにアクティブユーザに活用されるシステムを開発されるために、システム開発案件の絞り込みの際に、情報システム事務局がオーナ部に確認すべきことがある。それは何か?

(ヒント)

・廃れて使われなくなったシステムについて、オーナ部門は計画段階で「外部コンサルタントのアドバイスを参考にしてシステム計画を企画していた」(つまり、自分たちの積極的な意思が無かった。言われたまま開発決定に突き進んでいた)

・文中にヒントは少ない。所与から自分で答えを考えて導き出す問題。

(解答)

開発システムが利用者のニーズに合致しているかどうか確かめること

 

・廃れてしまったとあるシステムの稼働後の活用状況の確認とこれまでの活用実績についてのヒアリングの結果から反面教師として、今後稼働後の活用状況の確認を適切に実施するための対策として学んだことは?(監査部として確認すること)。

2つ述べよ。

(ヒント)

・本文の指定個所のそのまま答えが書いてある。正直あまりにズバリ書いてあるのでそのまま解答として転記することに躊躇するレベル。そういう意味は悩む問題かも。

(解答)

・活用状況のモニタリングの仕組みを構築する

・活用状況の検証予定時期を定めておく

 

・稼働したあるシステムについて、利用の継続か廃止かの判断を確実かつ速やかに実施するための対策は?(監査部が確認すること)

(ヒント)

・継続か廃止か、の判断をするための新たなルールが必要という記載が本文にある。

・「新たなルール」を「基準」と自分の言葉に置き換えられるかどうか試されている。

(解答)

利用継続か廃止かを判断するための基準値を稼働前に定めておく

 

・A社の情報システム部は''システム開発標準化''の改訂を検討している。その改訂が情報システム部だけでなく、オーナ部にとっても適切な内容であること確認するための監査手続きを述べよ。

(ヒント)

・文脈から推測する問題。情報システム部が独断で決めたことにしないようにするには情シスが行った改訂原案にオーナ部がどう関われば良いのかを考える。

(解答)

経営企画部(オーナ部)が改訂原案に賛同していることをヒアリングで確認する。

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

(平成31年過去問より)

 

午後I

問1

(覚えておきたい出題パターン)

・P社はシステムのロボット化(RPA)の開発により業務効率向上の効果を目指す。開発を効率よく行うために複数の部署の類似作業を共通化した上で開発する。しかし、この共通化には、業務に関わるリスクがある。監査部が懸念したそのリスクをひとつ挙げて述べよ。

(ヒント)

・開発部は共通化しようとする類似作業の差異分析、共通化した場合の影響評価を検討している。

・ヒントから一般論で答えを導き出す。

(解答)

類似作業の差異を考慮しないで共通化することにより、業務に支障が生じる。

 

・RPA導入の恩恵で業務処理の時間が短くなる一方で、RPAの関連システムの稼働に関わるリスクがあると考えられる。監査部が懸念した関連システムの稼働に関わるリスクを述べよ。

(ヒント)

・関連システムの中には構築から長期間経過して機能不足や業務量増加によるレスポンス遅延が出ているものがある。ここからあとはもう一般論で記述する。

・RPA(ロボット処理)は関連システムとインターフェースで連携して実行される。

(解答)

処理速度が速くなるので関連システムの負荷が増大して、レスポンスが低下する。

 

・RPA(ロボット)が使用する関連システムのIDとパスワードは、関連システムを管理している部署の許可を得て使用し、その部署はロボットが使用するIDとパスワードをID一覧表に記載して管理している。監査部はその関連システムのIDとパスワードの管理方法について、説明資料を閲覧して問題ないことを確認した。監査部が確認した内容を述べよ。

(ヒント)

・問われているのはIDとパスワードの「管理方法」。ここでいう「管理方法」とは何か、について発想できないと正解できない。正直設問が何を訊きたいのかYuubariは検討がつきませんでした。

(解答)

ロボットの仕様するIDとパスワードをアクセス制限された環境で保管していること

 

・RPAの関連システムは改修されることがある。そのときRPAシステムに必要な対応が行われているかどうかを開発部の変更管理プロセスの手順書を監査部は閲覧して確認した。監査部が確認した内容を述べよ。

(ヒント)

・RPTと関連システムの関係性を考えればおのずと解答の方向性は見えてくる。しかし模範解答のように適切に文章をまとめることが難しい。

(解答)

関連システム改修時に、RPAシステムの管理部署に連絡し影響調査をする規定があること。

 

・RPAの利用拡大による費用対効果について開発部にヒアリングした。RPAシステムの管理画面を活用した取り組みを開発部は計画しているが、その取り組みの内容を答えよ。

(ヒント)

・本文によれば、管理画面からは実行環境のロボットの稼働状況を閲覧でき、ロボットの稼働回数・稼働時間などのデータをダウンロードして分析することが可能。

・本文中の該当箇所を見つければ簡単に解答できる。

(解答)

ロボットの稼働回数・稼働時間などのデータを分析し、費用対効果を検証する。

 

問2

(覚えておきたい出題パターン)

・A社のシステム開発において、''重要度''の項目が関連部門から出された要望をまとめた要望事項一覧に漏れなく設定されているかどうかを確認するという監査手続きだけでは不十分、と監査人S氏が考えた理由を答えよ。
(ヒント)
・これは難問。本文の''重要度''という言葉は「プロジェクトの優先順位」という概念とは別のものだという発想に至らなくては正解できない。

(解答)
重要度の設定の確認だけではプロジェクトとしての優先順位が検討されているかどうか確認できないから


・要件定義書の作成時に利用部門の代表者が参画しているかという監査要点について、監査部は監査手続きとしてプロジェクトの体制図を閲覧して確認した。

しかしそれだけでは不十分で要件定義作成時の議事録の閲覧、利用部門の代表者へのヒアリングを行う必要があると判断した。その理由は?
(ヒント)
「利用部門が参加した」と記載された書類の閲覧だけでは不十分だから利用部門にヒアリングを行った。そう考えると答えはおのずと出る。

(解答)
利用部門の代表者の要件定義書の作成への十分な関与を確認する必要があるから


システム開発の一部の工程を委託先に委託した。委託先の開発の進捗状況を適時に、正確に把握したい。システム企画書を閲覧して確認するという監査手続きでは不十分。委託先から提出される進捗報告資料や成果物の一部とテスト結果をもとにA社が想定している進捗状況と比較したい。その理由は?

(ヒント)
業者から報告された進捗状況を現物をもって実際の進捗として確認する意味は?

(解答)
委託先が進捗状況を正確に報告しているかどうかをA社として確認する必要があるから。


・開発に着手した後の体制と役割は明確になっているが、「成果物を検収した後の体制」については確認できなかった。検収完了後から本番リリース準備開始までのA社内の体制について具体的に確認した内容は?

(ヒント)
本文から「成果物を検収した後」は「ユーザ受入テスト」があるという個所を見つけて抜き出す

(解答)
ユーザ受入テストの役割分担、体制について明確に定められていること

 

・開発着手後の要件の追加・変更に関して、開発責任元であるシステム部は開発委託先と手順の順守を求めると確約した。委託先だけではなく利用部門にもこの手順を周知していく予定である。

監査部は要件の追加・変更の要求がある程度増えても期間内に対応できるような対策をシステム部に求めていく。

監査がシステム部に求める具体的な内容は?

(ヒント)

条件を確認するのはすぐめぼしが付く。それを委託先と利用部門の両方に対応するように回答したい。

(解答)
開発着手後の追加・変更の要求に対応する際の採用条件を明確にし、利用部門と合意すること。

問3

(覚えておきたい出題パターン)

・B社の基幹システム(現行システム)をメインフレームからWebベースのシステムに再構築する案件がある。
現行システムの再構築を行うにあたり、再構築範囲を決定する分析工程において、情シスが計画の詳細に関して確認すべき具体的な内容を述べよ。
(ヒント)
・利用部門のヒアリングでそのまま「現在では使用されていない機能・画面・帳票も存在する」と記載があるのでそのまま書き写すだけ。
(解答)
未使用の機能・画面・帳票について、再構築対象範囲からの除外を検討していること

 

・再構築は可能な限りプログラム変換ツールを使用するが変換作業で問題が発生し、本番稼働が遅れるというリスクが存在する。そのため本調査として追加して確認したいことを具体的に述べよ。
(ヒント)
・「変換」のトライアルとして「実際に幾つかのプログラムを変換し、変換の可否及び精度を確認する」という本文の記述が目に付く。
・「一部のテストで問題あるならば網羅的に全部チェックしては?」と回答してしまったが、それは極端すぎた考えでした。

(解答)
プログラム変換ツールのトライアル対象範囲が狭過ぎたり、偏ったりしていないこと。

 

・変換ツールで変換できない現行システムのプログラムに関しては、手作業で変換作成するが、手作業で作成したプログラムを含む現新比較テストが計画通り進まず、本番稼働が遅れるというリスクが存在する。そう考えた理由は?

(ヒント)
・本文で、追加機能を現システムにもたせるときに設計書(仕様書)に変更内容を記載していないという記載がある。
・回答の方向性はすぐわかるが、問いは「計画通り進まない理由」を訊いている。つまり仕様書とプログラムの不一致を指摘しただけでは回答として不十分と思われる。

(解答)
設計書が最新ではないので、現新比較テストで不一致発生時に、原因分析に時間を要するから。

 

・新システムのユーザ受入テストの際に、システムの操作性で問題が表面化するリスク(利用部門が使いこなせない)が存在する。それを防ぐ適切なリスク軽減策は何か具体的に述べよ。
(ヒント)
・新しいシステムの操作にユーザが当惑するならばどうすればよい?ということを問う問題。
・過去のIPAテストの経験から「新旧を並行稼働すればいい」と回答してしまったが、その発想は飛躍しすぎでした。
・気づきにくいが本文に「利用部門はテスト工程から参画する」というヒントがあり、そこから正解を発想しないといけなかった。

(解答)
設計工程にも利用部門が参画、プロトタイプなどで早期に操作性を確認してもらう

 

・再構築が完了して本稼働したあと、第2段階としてシステム機能の再配置、業務処理の最適化など業務機能を見直す計画がある。
「現行システムの状況を考慮すると」第2段階の業務機能の見直しが円滑に進まないリスクが存在する。
これに向けて開発担当の情シスが対応計画を立てたが、監査人がこの対応計画に関して確認すべき事項を具体的に述べよ。
(ヒント)
・なかなか答えが思い浮かばなかったが、その理由は「現行システムの状況を考慮すると」が何を指しているかわからなかったこと。
・普通に考えると第2段階の目標を達成するために必要なことを書くべきということは方向性としてはつかめた。
・正直、模範解答をみてもピンとこないので自分にとっては難問だった。

(解答)
要件定義書や設計書を整理し、最新の要件や定義を反映する計画が存在するか