【システム監査技術者試験】受験予定者の作成解答［令和2年度（2020年度） 午後Ⅱ 問２］

前提事項

現在、【令和6年度（2024年度） システム監査技術者試験】受験予定者である純然たる日本人へ当該試験学習を含めた助言を行っている。
その一環で、当該受験予定者の許可を得て、当該受験予定者が作成した当投稿タイトルの午後Ⅱ（論述式）過去問題の解答を下記2点の目的から当Webサイトに掲載する。
①私と当該受験予定者がいつでも当解答を閲覧可能とすることで、私からの助言時の参考とすると共に、将来にも当時点での当該受験予定者の論述解答作成能力の振り返りができるようにする。
②他の情報処理技術者試験受験予定者等の試験学習・自己研鑽等の一助として頂く。

補足事項

①上記目的故、当解答はあくまで受験予定者が作成した「解答例」であり、必ずしも「正答例」ではないことに留意すること。
②「受験予定者の作成解答」は、当Webサイト掲載用に、原文に対して、原文骨子に影響無い範囲で、軽微な誤字訂正を含めた極めて軽微な校正を私が行っている。
③論述練習のため、現時点では字数制限に対して多少過不足が有っても良いこととしている。
④各設問の「見出し」に記載した「文字数」は、Microsoft Wordの「校閲」→「文字カウント」の「文字数（スペースを含める）」で簡易算出したものである。
　従って、実際に原稿用紙に論述する場合は、改行に起因して、実質的文字数はこの「文字数」より多くなる可能性が高いことに留意すること。

過去問題 独立行政法人情報処理推進機構（IPA） 公式情報源

過去問題 | 試験情報 | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「過去問題」に関する情報です。

www.ipa.go.jp

上記内の【システム監査技術者試験】令和2年度（2020年度） 午後Ⅱ

問題冊子

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_au_pm2_qs.pdf

解答例

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_au_pm2_ans.pdf

採点講評

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_au_pm2_cmnt.pdf

【問題文】及び【設問文】

問２　IT組織の役割・責任に関するシステム監査について

　企業などにおいては、業務改革、コスト削減、新サービス開発などを目的として、パブリッククラウドなどの外部サービスの利用拡大、AI、IoTなどの新技術の導入が進んでいる。これらのIT環境の変化に対応していくために、企業などは、IT組織の役割・責任を適時に見直し、変更する必要がある。
　変更されたIT組織がその役割・責任を果たすためには、IT組織内の体制変更や新たな能力の獲得・維持、必要な要員の確保・調整などの取組が求められる。また、IT組織は、役割・責任の変更に伴って新たに発生するリスクを認識する必要がある。
　例えば、開発・保守における外部サービスの利用を拡大した場合、外部サービスをマネジメントする役割・責任が求められる。また、外部サービスの利用拡大によって、IT組織内でのOJTの機会が減り、開発工数の見積りなどの能力やシステム機能の知見が維持できなくなるリスクが生じる。さらに、新技術の導入・推進については、新たなソフトウェアや開発手法などの知識・経験不足によって、開発・運用を失敗するリスクが高まる。
　システム監査人は、このようなIT環境の変化を踏まえ、IT組織の役割・責任の変更に伴うリスクが適切に認識され、対応策が適切に実施されているかどうかについて確かめる必要がある。
　あなたの経験と考えに基づいて、設問ア～ウに従って論述せよ。

設問ア　あなたが関与しているIT組織について、現状の体制及び役割・責任の概要、並びにそれに対して影響を及ぼすIT環境の変化を、800字以内で述べよ。
設問イ　設問アで述べた状況を踏まえて、IT環境の変化に対応してIT組織の役割・責任をどのように変更すべきであるか、及びIT組織の役割・責任の変更に伴って新たに発生するリスクについて、700字以上1,400字以内で具体的に述べよ。
設問ウ　設問イで述べたリスクに対応するための具体的な対応策と、その取組状況を確かめるための監査手続及びその留意事項について、700字以上1,400字以内で具体的に述べよ。

受験予定者の作成解答

設問ア　【720文字】

１　私が関与しているＩＴ組織の現状の体制及び役割・責任の概要と、それに対して影響を及ぼすＩＴ環境の変化
１．１　私が関与しているＩＴ組織の現状の体制及び役割・責任の概要
　当社は日本国内の特に東京都を中心とした関東地方で各種ニッチ領域商品の小売業を行っている株式会社である。従業員数は約２，０００名である。当社に勤務する私が関与しているＩＴ組織は、当社の情報システム部門であり、その所属員は約１０名である。
　ＩＴ組織たる情報システム部門の体制は、１名の情報システム部門長と、その配下に５名の開発・保守担当者がおり、４名の運用担当者がいる。そして、当社のＩＴ環境は全て自社開発・運用しており、その名の通り、開発・保守担当者がＩＴ環境の開発・保守業務を役割・責任として、運用担当者がＩＴ環境の運用業務を役割・責任としている。
　私は、当社の内部監査部門長として、このＩＴ組織たる情報システム部門に対して、主にシステム監査をすることで関与している。
１．２　上記１．１のＩＴ組織の現状の体制及び役割・責任に影響を及ぼすＩＴ環境の変化
　昨今、企業などにおいては、業務改革、コスト削減、新サービス開発などを目的として、パブリッククラウドなどの外部サービスの利用拡大、ＡＩ、ＩｏＴなどの新技術の導入が進んでいる。これを受けて、当社では、主に業務改革とコスト削減を目的として、これまで自社開発・運用していたＩＴ環境を廃止して、ＩＴ環境を全面的にパブリッククラウドなどの外部サービスの利用へ変更することとした。
　このＩＴ環境の変化が、後述の通り、上記１．１で述べた当社のＩＴ組織たる情報システム部門の現状の体制及び役割・責任に影響を及ぼすこととなる。

設問イ　【1,114文字】

２　ＩＴ環境の変化に対応したＩＴ組織の役割・責任の変更と、新たに発生するリスク
　前述の１で述べた状況を踏まえて、ＩＴ環境の変化に対応してＩＴ組織の役割・責任をどのように変更すべきか、及び、このＩＴ組織の役割・責任の変更に伴って新たに発生するリスクについては、以下の通りである。
２．１　ＩＴ環境の変化に対応してＩＴ組織の役割・責任をどのように変更すべきか
　前述の１．２で述べたように、これまで自社開発・運用していたＩＴ環境を廃止して、ＩＴ環境を全面的にパブリッククラウドなどの外部サービスの利用へ変更することとした。
　これを受けて、当社のＩＴ組織たる情報システム部門は、１名の情報システム部門長を責任者として、所属員が約１０名で変更なしである一方で、従来の５名の開発・保守担当者と４名の運用担当者の合計９名全員が、外部サービスのマネジメント業務を役割・責任とするように変更すべきである。なぜならば、当然のことながら、ＩＴ環境を全面的に外部サービスの利用へ変更することから、自社開発・保守が不要となる一方で、外部サービスのマネジメントが新たに必要となるためである。
　この情報システム部門の役割・責任の変更に伴って、各人で程度の大小があるものの、約１０名の情報システム部門の全員には新たな取組が求められる。具体的には、まず、情報システム部門全員が新たに外部サービスのマネジメント業務の知識・技能を獲得・維持することである。そして、状況によっては追加的に必要な要員の確保・調整が必要となるが、当社の人事戦略上はこれ以上の自社従業員を雇用しない方針であることから、本件で必要な場合は、必要な知識・技能を有する外部専門家へ一時的な外部委託を行うこととする。
２．２　ＩＴ組織の役割・責任の変更に伴って新たに発生するリスク
　前述の２．１で述べた情報システム部門の役割・責任の変更に伴って、下記のようなリスクが新たに発生する。
２．２．１　外部サービスの利用拡大によって、ＩＴ組織内でのＯＪＴの機会が減り、開発工数の見積りなどの能力やシステム機能の知見が維持できなくなるリスク。
　なぜならば、これまでは開発・保守業務を開発・保守担当者が行っており、その業務を通じて開発工数の見積りなどの能力やシステム機能の知見の維持・向上ができていたが、自社で開発・保守業務をすることがなくなり、これらの知識・技能をＯＪＴを通じて習得できなくなるためである。
２．２．２　新技術の導入・推進時に、新たなソフトウェアや開発手法などの知識・経験不足によって、開発・運用を失敗するリスク。
　この理由も、前述の２．２．１と同様である。

設問ウ　【1,366文字】

３　リスクに対応するための具体的な対応策と、それを確かめるための監査手続・留意事項
　前述の２．２で述べたリスクに対応するための具体的な対応策と、その取組状況を確かめるための監査手続及びその留意事項については、以下の通りである。
３．１　リスクに対応するための具体的な対応策
　前述の２．２で述べたリスクに対応するための具体的な対応策としては、以下のものが考えられる。
３．１．１　外部サービスの利用拡大によって、ＩＴ組織内でのＯＪＴの機会が減り、開発工数の見積りなどの能力やシステム機能の知見が維持できなくなるリスクに対応するために、約１０名の情報システム部門の全員が四半期毎に外部ＩＴ教育機関で開発・保守の研修及び技能実習を受講する。
　この中では、単に研修で「知識」のみの習得・向上のみならず「実技」の習得・向上のための技能実習を受講していることがポイントである。
３．１．２　新技術の導入・推進時に、新たなソフトウェアや開発手法などの知識・経験不足によって、開発・運用を失敗するリスクに対応するために、必要な知識・技能を有する外部専門家へ一時的な外部委託を行う。そして、当社の情報システム部門は、その外部専門家が遂行する業務のモニタリングを通じて、新技術の習得を行っていく。
３．２　具体的な対応策の取組状況を確かめるための監査手続及びその留意事項
　前述の３．１で述べた具体的な対応策の取組状況を確かめるための監査手続及びその留意事項は、下記の通りである。
３．２．１　情報システム部門の「研修・技能実習受講履歴」と「研修・技能実習報告書」の閲覧によって、約１０名の情報システム部門の全員が四半期毎に外部ＩＴ教育機関で開発・保守の研修及び技能実習を受講していることを確かめる。
　これに関する留意事項は、単に研修で「知識」のみの習得・向上のみならず「実技」の習得・向上のための技能実習を受講していることも確かめる点である。これに加えて、単にこの対応策通りに研修・技能実習を受講していることを確かめるのみならず、「研修・技能実習報告書」に記載された報告内容がこのリスク対応策として有効な内容であるか否かを確かめる点である。
３．２．２　外部専門家に関する「相見積書」「稟議書」の閲覧により、開発・運用を失敗するリスクに対応するために、必要な知識・技能を有する外部専門家へ一時的な外部委託を行っていることを確かめる。
　これに対する留意事項は、単に形式的に外部専門家を選任するのではなく、目下または将来の開発・運用に資する知識・技能を有する外部専門家を選任していることを確かめる点である。
　そして、追加の監査手続として、外部専門家の「月次業務報告書」の閲覧と、情報システム部門員へのインタビューによって、当社の情報システム部門が外部専門家の業務のモニタリングを実施すると同時に新技術の習得していることを確かめる。
　これに対する留意事項は、「月次業務報告書」に情報システム部門員全員の確認印が押印されていることに加えて、情報システム部門員が外部専門家が実施した業務内容を理解できていることを確かめることである。
　以上が、前述の３．１で述べた具体的な対応策の取組状況を確かめるための監査手続及びその留意事項である。
－以上－