2021年 秋期 応用情報技術者試験 問11
システム構築プロジェクトの監査
クレジットカード会社のU社では、顧客利便性の向上、コストの削減などを目的として、インターネットを通じて各種情報を顧客に提供するシステムの構築プロジェクト(以下、本プロジェクトという)を推進している。
U社の内部監査部長は、年度監査計画に基づき、システム監査チームに対して、本プロジェクトの各段階の適切性を監査するよう指示した。
【要件定義段階の監査で把握した事項】
システム監査チームは、要件定義段階の監査をX年5月に行い、本プロジェクトに関して、次のことを把握した。
なお、監査の結果、監査報告書に記載すべき重要な指摘事項はなかった。
(1) 要件の区分
要件は、機能要件、セキュリティ要件、運用要件などに区分される。
(2) 機能要件
従来、クレジットカード利用明細などの顧客向けの情報(以下、カード利用情報という)は、基幹系システムで作成して出力し、広告用パンフレットなどとともに、顧客宛に送付していた。本プロジェクトでは、カード利用情報、広告情報などを顧客がWebブラウザで閲覧できるよう、情報系システムを開発するとともに、基幹系システムを改修する。
(3) セキュリティ要件
情報系システム及び基幹系システムの基本設計で定めるセキュリティ対策は、U社の情報セキュリティ対策基準に準拠する。
(4) 要件の管理
要件定義段階で未確定の要件(以下、未確定要件という)は、課題管理表に記載し、確定するまで管理する。未確定要件は、基本設計の開始日から2か月以内に確定させる予定である。
(5) 本プロジェクトの運営体制
本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会は、U社のシステム部の部長を議長とし、業務管理部、顧客サービス部などユーザ部門の各部長、及びプロジェクトマネージャのV氏で構成される。プロジェクト運営委員会は月1回の定例開催に加えて、必要に応じて臨時に開催される。
(6) 本プロジェクトに適用されるプロジェクト標準
本プロジェクトには、U社のプロジェクト標準が適用される。プロジェクト標準の一部を表1に示す。
| 項番 | 項目 | 内容 |
|---|---|---|
| 1 | 要件定義 | ・検討した各要件に要件IDを付与し、要件定義書に記載する。 |
| 2 | 基本設計 | ・基本設計書は、"機能設計"、"セキュリティ設計"、"運用設計"などで構成される。 ・検討した各設計内容に設計IDを付与し、基本設計書に記載する。 ・要件IDと設計IDを対応付けた表(以下、要件対照表という)を作成し、基本設計書に添付する。 |
| 3 | 進捗管理 | ・プロジェクトの各段階のタスクの進捗状況は、タスク管理表に記載し、タスクが完了するまで管理する。 |
【基本設計段階の予備調査で把握した事項】
システム監査チームは、要件定義段階の監査に続いて、基本設計段階の監査を行うこととした。まず、予備調査をX年8月下旬に行い、プロジェクト計画書の確認などによって、次のことを把握した。
(1) 基本設計は、X年7月1日に開始した。
(2) 基本設計検討会は、V氏を議長とし、システム部及びユーザ部門の各部を代表する部員で構成される。基本設計検討会の議事録には、開催日時、出席者、検討事項、検討結果などが記載される。
(3) 機能設計では、Webページの構成、情報系システムと基幹系システムとのインタフェースなどを検討し、その結果を基本設計書に記載する。予備調査の時点では、機能設計に関する複数のタスクが未完了であった。
(4) セキュリティ設計では、アクセスの制御、データの暗号化などを検討し、その結果を基本設計書に記載する。
(5) 要件対照表は、X年8月31日までに作成を完了する予定である。
(6) プロジェクト運営委員会は、プロジェクト標準の内容を充足していることを確認して、X年10月31日に基本設計の終了を承認する予定である。
【システム監査チームの検討】
システム監査チームは、基本設計段階の監査について、予備調査の結果を踏まえて、本調査をX年9月10日~14日と計画した。また、監査結果に基づいて基本設計を見直すことができるよう、監査結果報告をX年aと計画した。システム監査チームが検討した監査要点及び監査手続の一部を表2に示す。
| 項番 | 監査要点 | 監査手続 |
|---|---|---|
| 1 | 要件定義の内容と基本設計の内容が整合していること | 要件対照表を閲覧して、要件ID及び対応する設計IDが記載されていることを確認する。 |
| 2 | 基本設計検討会での検討結果に基づき、機能が設計されていること | 基本設計書及びbを閲覧して、基本設計書の"機能設計"の内容が、基本設計検討会での検討結果と整合していることを確認する。 |
| 3 | 情報系システム及び基幹系システムのセキュリティ対策が適切に設計されていること | 基本設計書及びcを閲覧して、基本設計書の"セキュリティ設計"の内容が、セキュリティ要件を充足していることを確認する。 |
【内部監査部長の指示】
内部監査部長は、システム監査チームが検討した監査スケジュール、監査要点及び監査手続をレビューし、次のとおり指示した。
(1) 表2項番1の監査手続だけでは、監査要点を確かめるための十分な監査証拠を入手できないので、追加の監査手続を検討すること。
なお、要件対照表には多数の要件ID及び設計IDが記載されているが、監査要員、監査時間などには制約があるので、効率的な監査手続とすること。
(2) 【基本設計段階の予備調査で把握した事項】の(3)を考慮すると、表2項番2の監査手続では、監査要点を確かめるための十分な監査証拠を入手できない可能性がある。その場合に備えて、追加の監査手続を検討すること。
(3) 【要件定義段階の監査で把握した事項】の(4)を考慮して、本プロジェクトの未確定要件に関して、表2項番1~3の監査手続以外に、追加の監査手続を検討すること。
システム監査チームは、内部監査部長の指示を受けて、表3のとおり追加の監査手続を策定して、内部監査部長の承認を得た。
| 項番 | 内部監査部長の指示 | 追加の監査手続 |
|---|---|---|
| 1 | (1) | ①要件対照表に記載されている全ての要件IDをdとして、要件IDをサンプリングする。 ②①でサンプリングした要件IDについて要件定義書の内容と、対 応する設計IDについてeが整合していることを確認す る。 |
| 2 | (2) | fを閲覧して、機能設計のタスクにおいて、基本設計書 の"機能設計"の内容を記載する時期を確認する。 |
| 3 | (3) | 課題管理表を閲覧して、gを確認する。 |