【AP試験/AU試験】システム監査に関する問題の解き方のパターン

デジタルフォーメーションを推進するにあたり、監査人として必要な監査を行っていくという問題（令和０２年・システム監査技術者試験・午後I-問1）についての個人的なメモ書きです。応用情報技術者試験の対策になるそうなので読み込んでみました。「・（なかぐろ）」で記述しているものが問題本文から抜き出したもので、「※（アスタリスク）」で表記しているのが個人的な見解です。

問題１

・設問にて「品質管理部門や保守サービス部門でDX推進の成約となっている状況」への対応として本調査で確認するべき具体的な内容は何か？と問われている。

・品質管理部門において「製品部門のデータと組み合わせた分析を予想している」ただし製品番号の下位の枝番レベルの詳細な品質データを保持しておらず、分析には制約がある。

・保守サービス部門においては「サービス窓口への問合わせの分析を踏まえて」チャットボットの自動化を施行しているが、サービスサポートシステムが老朽化しており、そのデータベースの更新頻度を２ヶ月に１回しか行うことができないという制約がある。

※以上のことから、品質管理部門と保守サービス部門における共通の制約を一言でいえば「分析に必要なデータの取得ができないこと」になるので解答は、「分析に必要なデータが取得できるように、システム再構築計画を見直していること」になるのだそうだが。あれ？

※個人的にIPAの解答が変だと思う点を挙げる。保守サービス部門の問い合わせ分析は、データが取得できないことではなく、分析結果をもとに作り上げた回答用データを最新の状態に更新できないことだ。だから、設問で聞かれている”具体的な内容”は不正確だ。監査において”細かいことはどうでもいい（不正確でもよい）”ということなのだろうか？（謎であるが）おそらく、この問題は、本分から読み取る“国語の問題”ではなく、DXを推進しようとすると必ずぶつかる、レガシーなシステムから「分析に必要なデータを取得できない」というよくある事象を知っていないといけない”経験で解く問題＝記憶で解く問題”なのではないだろうか？であるから「DXを推進するにあたり（現行のシステムの）データで、各部門が行いたい分析ができるか本調査で見直す」と経験的に回答できないとダメなのだ。…とりあえず、このように解釈すればしっくりくる。

問題２

・製品部門が昨年度に続いて、今年度もPoCを予定している。

・PoCとは「概念実証」で商品やサービスに用いられるアイデアや技術が実現可能か確認する一連の検証作業のことを指す。

・「先端技術の利用に積極的なことは良いが、一方で技術の利用が目的になると、PoCから役立つ結果が得られないことがある」というリスク軽減を行う監査をどうすべきか。監査人として考えないといけないそうだ。

※これってつまり、新しい技術にふれるのが好きな部門だが、使うだけで評価は適当だから時間が無駄になるので、監査チームの私たちがツッコミを入れないといけないよね（それも監査の仕事のうち）ということらしい。システム監査人って、他部門のそんなことまで面倒をみないといけないのか。システムの運用に関することだけが業務の責任範囲だと思っていました（汗）より正確にいうと「内部統制が機能している」ところまでを見守るのがシステム監査人の役割とのこと。

・だから回答は「PoC報告書を閲覧して、活動テーマに即した仮説が設定されているかどうかを確認する」ことが必要になる。

※しかし、この回答には納得するものの…当たり前過ぎて違和感がある。書いてあることを読み解けば解けるので「国語の問題」かな。

問題３

・本調査では人事部門を対象にした監査も行うが、各部門でDX推進の人材が不足しているため「人材類型定義書を閲覧して、DXに必要な人材が明確になっていることを確認する」

※人材類型定義書というか「人材類型」はIPAが定めたもので、このような書類が一般にあるわけではない（汗）「IPA、IT人材を「3つの人材類型」と「6つの人材像」に定義」これを見る限りは、人材類型は高度情報処理技術を持った人材が定義されている。レベルは１～７まであるが、レベル５以上は普通の人では到達できないのではないか。

問題４

・データの収集・蓄積・活用のための責任と権限を定めたルールの整備も必要になるのはなぜか？解答から先に書くと「他部門のデータを活用するための責任や権限を明確にする必要があるから」だ。

※なぜこの解答が導けるかというと「他部門へのデータの提供可能判断や、データ内容の正当性や網羅性の確保について、責任や権限が不明確なため、活用が困難」という意見があるためであり、ようはこれとは逆のことをシステム監査で明示できればいいことになる。

問題５

・DX化のプロジェクトの活動目的が、どの程度、達成できているかが曖昧になるリスクの解消をするための具体的な取り組みは？（本分から抜け出せればよいが、）「DX-PJ定例会の議事録を閲覧して、進捗管理指標が明確かどうかを確認する。」

※本文最後に進捗管理指標のことが書かれているが、本文の最初に出てきたP社が取り組んでいる、”定例会の議事録を閲覧して”進捗管理指標をチェックできるかどうか？具体的に回答しないといけないようです。

まとめ、並びに、問題の解釈について

・「分析に必要なデータを取得できるか本試験で確認する」という解答を見るに、本文に書いてないことで要約しないといけない事がある。←（当たり前だが、）知らないと解けない問題もある。

・「責任や権限が不明確である」という本文の書き込みから逆に「責任や権限を明確にする必要」を導けなければならない。 ← 書かれている問題点の逆のことを監査対象として扱えるようにすること。

・後は本文を良く読んで適切な語句を常識に抜き出して回答する国語力を身につける。←国語力は大事。

以上。