応用情報技術者試験 過去問 2018年(平成30年) 秋期 午後 問11

ERPソフトウェアパッケージを採用した基幹システムの運用・保守管理体制の監査

Y社は、菓子、飲料などを扱う中堅の食品会社である。Y社では、これまで自社開発した受発注管理、在庫管理、生産管理、財務会計の各システムを利用していたが、全社的な業務の効率向上のためにERPソフトウェアパッケージを採用した基幹システム(以下、新システムという)を導入することになった。

Y社情報システム部には、ERPソフトウェアパッケージの導入経験・開発ノウハウがないことから、新システムの導入に際してERPソフトウェアパッケージの販売代理店であるITベンダのZ社に導入作業を委託した。

Y社監査室は、新システムの本番稼働から3か月が経過し、安定稼働に入った段階で、新システムの運用・保守管理体制についてシステム監査を実施することにした。

新システムの予備調査

Y社監査室が予備調査で入手した情報は、次のとおりである。

  1. 導入概要

    新システムは、ERPソフトウェアパッケージの販売管理、購買管理、在庫管理、生産管理、財務会計のモジュールから成る。企画段階では、費用面を考慮し、ERPソフトウェアパッケージの機能に業務を合わせてそのまま利用する方針であった。

    しかし、販売管理については、営業部門から、複数の食品卸業者との受注管理、リベート情報管理などの業界及びY社固有の取引慣行に対応する必要があるとの要望を受け、これに対応する追加機能開発を行った。その他、購買管理、在庫管理、生産管理、財務会計についても、各利用部門と調整した結果、規模の大小はあるが追加機能開発を行った。

    Y社情報システム部は、現行業務の分析、要件定義、設計書の内容に関する各利用部門との調整のほか、テスト計画の作成、Z社が実施したテスト結果のレビューなどを担当した。

  2. 新システムの保守管理体制

    新システム稼働後の保守作業は、引き続きZ社に委託している。新システムの導入段階では、Z社開発チームがY社に常駐して、管理者権限を付与された開発用IDを使用して追加機能開発、本番環境の設定などを行っていた。本番稼働後は、Y社情報システム部が本番環境の管理を行うことにしたが、開発用IDは削除せず、管理者用IDを新たに登録した。Z社の保守担当者はZ社内の保守用端末からリモートアクセスし、開発環境及びテスト環境だけにアクセス可能な保守用IDを使用して保守作業を実施することにした。保守作業の手順は次のとおりである。

    Y社からの依頼に基づき、Z社の保守担当者が開発環境でプログラムの追加作成や変更作業を行った後、テスト環境でテストを実施する。

    Y社が受入テストを実施し、問題がないことを確認した後、Z社の保守担当者が本番環境へ移行するプログラムの準備を行い、Y社に移行申請を行う。

    Y社情報システム部の担当者が移行処理を実行すると、テスト環境から本番環境へプログラムが移行され、登録される。

    Z社が実施した保守作業の内容や日時などが記載された保守作業記録が、Z社内で承認され、毎月Y社に提出される。

  3. 新システムのID管理

    保守用IDなどのアクセス権限管理は、Y社情報システム部が"アクセス権限管理規程"を定めて実施している。"アクセス権限管理規程"の内容は次のとおりである。

    業務メニューだけが利用可能な一般利用者用ID

    利用部門が"ID登録申請書"を作成し、利用部門責任者の承認と情報システム部長の承認を受け、情報システム部担当者が登録・変更・削除を行う。

    ERPソフトウェアパッケージの管理者権限が付与された管理者用ID

    本番環境の設定、プログラム登録、全てのIDの登録・変更・削除のために、情報システム部担当者だけが使用する。使用の都度"管理者用ID使用申請書"を事前に作成し、情報システム部長の承認を受ける。パスワードは使用の都度、情報システム部のID管理者がID使用者に通知し、使用後に変更する。管理者用IDについては、ERPソフトウェアパッケージの機能を利用したアクセス履歴及び操作記録(以下、アクセスログという)が取得される。

    Z社が使用する保守用ID

    Z社から提出された"保守用ID登録申請書"に基づき、Y社情報システム部長の承認を受けた後、情報システム部担当者が管理者用IDを使用して登録・変更・削除を行う。保守用IDには、開発環境・テスト環境の開発及び保守作業の権限が付与され、アクセスログが取得される。

    IDの棚卸し

    情報システム部が半期に1回、全てのIDについて、ERPソフトウェアパッケージのレポート機能を利用して出力する"登録IDリスト"と、情報システム部で作成された"ID管理台帳"との照合を行うとともに、"登録IDリスト"を関係部門に回付することによって、不要なIDの有無、権限の妥当性を確認する。

    なお、Y社情報システム部の担当者にインタビューした結果、"本番稼働から3か月しかたっていないので、いまだIDの棚卸しは実施していない"とのことであった。

監査手続

Y社監査室では、予備調査の情報に基づいて監査項目及び監査手続を表1のとおり策定した。

表1 監査項目及び監査手続(抜粋)
項番 監査項目 監査手続
1 保守作業を適切に実施するための文書などが整備されているか。
  1. Z社との保守契約が締結され、新システムの保守ルール・手順が適切に作成されていることを確かめる。
  2. aが適切に作成・保管され、内容が最新で、保守作業に利用可能であることを確かめる。
  3. ERPソフトウェアパッケージのバージョンアップを適用する場合には、特にbを行った部分について影響調査、動作確認などを行う手順となっていることを確かめる。
2 本番環境へのアクセスが適切に制限されているか。
  1. 新システムの本番環境の管理者権限が管理者用IDだけに付与されていることを確かめる。
  2. 管理者用IDのパスワードの通知及び利用後の変更が"アクセス権限管理規程"にのっとり行われていることを確かめる。
3 Z社による保守作業が適切に管理されているか。
  1. Z社の保守担当者による保守用IDの使用が適切であることを確認するために、cdとを照合し、整合していることを確かめる。
  2. Z社に任せし、保守用端末が適切に入退室管理された室内に設置されていることを確かめる。
出典:平成30年度 秋期 応用情報技術者試験 午後 問11