応用情報技術者試験 過去問 2013年(平成25年) 春期 午後 問12

障害管理のシステム監査

S社は,ファッション衣類・雑貨の卸売,販売を営む会社である。社内には販売管理,購買管理,店舗運営,人事給与などのシステムがあり,システム開発部が開発・保守を担当し,システム運用部が運用を担当している。

販売管理システムは,大手ベンダのソフトウェアパッケージを採用し,S社の独自要件に対するカスタマイズを加えて,約7年前にリリースされた。ソフトウェアの品質は安定しているが,経年劣化によるハードウェアの故障がこの数年間で増えてきている。そのうち幾つかの障害で復旧対応が遅れ,顧客への納品が遅れたり,業務に支障を来したりしていた。また,一昨年から本格的に開始したインターネット販売が好調で,1年間で取扱データ量が2倍以上に増えた。

S社では,監査部が毎年システム監査を実施している。監査部のT部長は,部下のU君をリーダとする監査チームを作った。U君は,システムの障害管理を重点項目として,販売管理システムを対象に監査を実施することにした。システム部門であるシステム運用部とシステム開発部を被監査部署とし,利用部門の代表として営業部と経理部を調査の対象に加えることにした。U君は,監査の個別計画書を策定し,T部長の承認を受けた。

監査チームによる予備調査

監査チームは,予備調査として,監査対象の業務やシステムに関する資料を収集し,内容を確認した。次に,被監査部署のシステム運用のコントロールに関するaを作成し,被監査部署及び利用部門に対して回答するように依頼した。

前年度の監査報告書に目を通すと,指摘事項として「販売管理システムにおいて,システム障害の発生件数が増加しており,システムの可用性が低下していると思われる。」と書かれており,それに対する改善勧告として「システム障害の原因の分析・究明を行い,再発防止に努める必要がある。」と書かれていた。U君は,①この指摘事項に対する再発防止策が,この1年で効果的に実施されているかどうかを確認することにした。また,発生したシステム障害の原因の分析・究明,及び再発防止の状況を詳細に確認することにし,監査を進めた。

監査で確認した事実

監査チームは,一連の監査手続の実施と関連資料の収集によって,次の事実を確認した。

  • システム障害対応手順書や緊急連絡網は明文化され,最新の状態に改訂されていた。
  • 表1のとおりに,システム障害の影響度(範囲及び重大性)を段階付けした障害レベルを設定していた。また,システム障害が発生した場合,表1の障害発生時の報告先に速やかに報告することが定められていた。
  • システム障害が発生したときの報告手段は,表1の障害発生時の報告先を宛先とした一斉メール送信であった。さらに,重要な関係者には対面や電話で報告していた。
表1 S社のシステム障害レベルの定義と報告先
障害レベル システム障害の影響度 障害発生時の報告先
A 顧客に重大な影響が及んだ障害
  • 経営層
  • 影響を受けた利用部門の部長
  • システム運用部長
  • システム開発部長
B 顧客に影響が及んだ障害,又は,利用部門に影響が及び,業務に支障を来した障害
C 上記以外の障害
  • 障害報告の発信者が報告時に障害レベルを仮設定し,システム運用部がその後の障害の影響などを考慮し,必要に応じて障害レベルを変更する運用になっていた。
  • 経営層へのインタビューによると,システム障害が発生した都度,経過を含めて対応の完了まで全て報告を受けていて,システム全体で毎月10~20件であった。「顧客に影響する障害を減らすことが重要である。顧客に影響しない障害レベルCの障害は,対応が完了した後に報告してくれればよい。」という発言が大半であった。
  • 事後報告としてシステム障害報告書を作成する手順になっていた。
  • システム運用部が検知したシステム障害は,その都度,システム部門の担当者がシステム障害報告書を漏れなく作成していた。
  • 利用部門から発信された障害連絡のうち,システム部門に起因する障害は,システム部門の担当者がシステム障害報告書を作成していた。一方,利用者が設定しているパラメタ類の設定誤りなど,利用部門に起因する障害は,利用部門がシステム障害報告書を作成していた。

システム運用部へのインタビュー結果

  • システム障害報告書を管理しているシステム運用部へのインタビューによると,システム障害報告書に,障害の原因を詳細に分析して記述しているものは全体の5割程度,再発防止策まで記述しているものは全体の2割程度ということであった。
  • システム運用部は,システム障害報告書を基に,表2のとおりに事象別に障害を集計し,分析していた。利用部門に起因する障害は,障害件数の集計対象にはなっていたが,分析はされていなかった。
  • 表2を見ると,前年度の障害発生総件数は前々年度に比べて減少しているが,ハードウェア障害件数とパッチ処理の遅延件数は前々年度に比べて増加していた。
  • システム部門へのインタビューによると,ハードウェア障害の主な原因は,ハードウェアの経年劣化による故障であった。パッチ処理の遅延の原因は,②インターネット販売の取扱データ量が増加したことが要因だと推測していた
表2 S社の販売管理システムの事象別の障害件数(年間)
表2 S社の販売管理システムの事象別の障害件数(年間)

監査結果の評価

監査チームは,これらの事実から指摘事項をまとめ,改善勧告の草案を作成した。

  • 障害の発生総件数はこの1年間で減少しているが,システム障害報告書の記述内容やシステム運用部の障害分析報告を見る限りでは,依然としてシステム障害の原因の分析が浅く,部分的なものにとどまっている。障害の引き金となったb原因の特定にとどまらず,c原因を究明し,再発防止策を講じることが必要である。
  • 全てのシステム障害が発生時に速やかに経営層に報告されているが,③経営層は障害報告メールを読まなくなって,重要な障害報告に対する経営層の意思決定が遅れてしまう懸念がある
  • 表2の事象別の障害の集計・分析に関して,障害発生の原因やソフトウェア障害におけるバグの埋込み時期といった視点を追加し,より詳細に分析すべきである。
  • ハードウェア障害とパッチ処理の遅延の増加は,このまま放置すると重大なシステム障害につながる危険性が増す。ハードウェア障害に対しては,既に経営層から今年度中のハードウェア更改計画の承認を得ていることを確認した。パッチ処理の遅延に対しても,具体的な対策の検討が必要である。

監査チームは,監査報告書の裏付けにするために,一連の監査手続の結果とその関連資料をdとして作成し,これらを基に監査報告書の作成に着手した。

出典:平成25年度 春期 応用情報技術者試験 午後 問12