更新:2022/8/29
本記事では、令和3年度秋季情報処理技術者試験受験予定の方に向けて、システム監査技術者試験の過去問の徹底解説をいたします。
1年前の過去問ですので、参考になるところが多いのではと思います。
ぜひ、不明点の洗い出しをしてみてください。
過去問はこちらです。
- 問題の全体像
- 設問1. 品管部門と保守部門の制約への対応
- 設問2. PoCのリスクコントロールの監査手続
- 設問3. 人事部門への監査手続
- 設問4. 権限や責任の明確化を要する理由
- 設問5. 人事部門への監査手続
- 監査手続の設問の振り返り
- おわりに
問題の全体像
DX推進プロジェクト
午後I問1は、DX推進プロジェクトに関する問題です。
3か年計画の、2年目に差し掛かっている時点です。
問題文を読み進める際は、
1年間プロジェクトを回した現在、計画の支障となりそうな制約がどの程度出ているか
をチェックしながら読んでいくのがよいでしょう。
設問形式:T氏と監査室長の会話
設問は5問です。
各設問1~5は下線①~⑤に対応しており、下線①~⑤は、問題文の最終段落である〔本調査のための検討〕に登場します。
〔本調査のための検討〕はT氏と監査室長の会話で進みます。
無理やり5問の設問に絡めるため、会話の内容は不自然に連続していきます。
皮肉な言い方ですが、会話文がどこで不自然になるかを見極められれば、どこからどこまでが設問の範囲かがわかります。
監査手続を問う設問
設問2, 3, 5 は監査手続を問う問題であり、システム監査技術者の頻出問題です。
本問題は5問中3問が問われており、よく問われる形式であることがわかります。
監査手続の問は、型で考えて回答しましょう。
監査証跡とリスクとコントロールについては、以下記事にまとめていますので、合わせてご確認ください。
それでは、各設問の解説に参りましょう。
設問1. 品管部門と保守部門の制約への対応
次のような設問です。
下線①品質管理部門や保守サービス部門でDX推進の制約となっている状況への対応として、本調査で確認するべき具体的な内容を、40字以内で述べよ
回答は、下線①の直後「システム再構築計画を見直しているか確認する」が述語になります。
回答の肝は、「どんな再評価を踏まえてか」ということになります。
下線①の主語は品質管理部門と保守サービス部門なので、各部門の持つ制約を盛り込めばよいです。
どんな制約があるか、ですが、〔DX-PJの活動状況〕に書かれています。
品質管理部門には次のような記載があります。
品質管理部門では、製品部門のデータと組み合わせた分析を予定している。ただし、品質管理システムは、製品番号の下位の枝番レベルの詳細度の品質データを保持していないので、分析には制約がある。
一方、保守サービス部門では、次のような記載があります。
保守サービス部門では、サービス窓口への問合せの分析を踏まえて、チャットボットによる応答の自動化を試行している。ただし、サービスサポートシステムが老朽化しているので、問合せ内容の分析に基づいたチャットボットの回答用データベースを1か月に2回以上の頻度では更新できないという制約がある。
40字以内という指定で、後半部分「システム再構築計画を見直しているか確認する」(21字)は決まっているので、前半部は大して字数をかけられません。
- 品質管理部門は、赤字部分を、部門間のデータ共有の制約
- 保守サービス部門は、赤字部分を、データ更新頻度の制約
くらいに丸めてしまう必要があるでしょう。
回答例としては、
部門間データ共有やデータ更新頻度の制約を加味して再構築計画を見直していること (38字)
というところでしょう。
ただ、試験センターの回答例では、保守サービス部門の制約には触れておらず、疑問が残ります。
採点講評には、「必要な詳細度や頻度をもったデータ」という記載があることから、考え方としては、それぞれの部門の制約(詳細度=品質管理部門の制約、頻度=保守サービス部門の制約)を回答の根拠とすれば、正答としてもらえるでしょう。
設問2. PoCのリスクコントロールの監査手続
次のような設問です。
下線②そのリスクが低減できているかどうかを監査を行うための具体的な監査手続を45字以内で述べよ。
分かりやすい設問です。
下線②周辺の監査室長のコメントに、「DX-PJの活動目標」を基にせよとあるので、回答の素材は活動目標から拾います。
また、下線②の「そのリスク」とは、直前のT氏の発言に、PoCから役に立つ効果が得られないリスクとあるので、これも頭に入れておきます。
以上より、設問2で問われている監査の目的は、PoCから役に立つ効果が得られないリスクをコントロール(回避)できるか確認するため、ということになるでしょう。
そのために何をどう確認する(=監査手続)かを念頭に置き、「DX-PJの活動目標」を読んでみます。
すると、1年目の活動目標に、「活動テーマに即した仮説を設定した上で、PoCをする」という活動が書かれています。
最後に、監査人として、何を(どのドキュメントを)確認するか、ということでPoCに関連する資料を探します。
すると、〔DX-PJの活動状況〕の(1)に、「PoC報告書」という資料が定義されていることがわかります。
以上より、回答例は次の通りです。
PoC報告書を査閲して、活動テーマに即した仮説が設定されているかを確認する(37字)
設問3. 人事部門への監査手続
次のような設問です。
下線③人事部門を対象とした監査を行うための具体的な監査手続を45字以内で述べよ。
これも分かりやすい設問です。
問題全体において、人材・スキルに関する記述は少ないからです。
下線③の会話の直前に、T氏と室長は、DX推進の人材が不足していることのリスクに言及しています。
人事部門に関する記述は、〔情報システムに関係した施策の状況〕の(2)にしか記載されていません。
人事部門は、人材類型定義書を作成しており、これが査閲対象になることは容易に予測がつくと思います。
書類名を入れておけば、それだけで部分点は狙えるでしょう。
回答例は次の通りです。
人材類型定義書を査閲して、DXに必要な人材像が明確になっているかを確認する(37字)
設問4. 権限や責任の明確化を要する理由
次のような設問です。
下線④データの収集・蓄積・活用のための責任と権限を定めたルールの整備について、室長がルールの整備も必要と考えた理由を、〔DX-PJの活動状況〕の内容を踏まえて、35字以内で述べよ。
実務のリーダやMGRクラスであれば易しかったように思います。
組織間の責任や権限について常日頃から考えているだろうからです。
データ活用について、責任や権限に関する制約が述べられているのは、〔DX-PJの活動状況〕の(7)です。
他部門へのデータの提供可否判断や、データ内容の正確性や網羅性の確保について、責任や権限が不明確なため、活用が困難という意見がある。
35字以内に理由部分をまとめます。
回答例は次の通りです。
責任や権限が不明瞭であると、部門間のデータ活用に支障があるため(31字)
設問5. 人事部門への監査手続
次のような設問です。
下線⑤そのリスクに対応できているかどうかの監査を行うための具体的な監査手続を45字以内で述べよ。
これも実務に携わっている方であれば回答しやすかったと思います。
一言で言うと、進捗管理しているかを議事録見て確認しよう、ということです。
当たり前すぎて回答しにくいという声もあるかもしれませんね。
詳しく見ていきましょう。
下線⑤にある「そのリスク」とは、直前の室長の発言に書かれています。
DX-PJの進捗状況を把握していないと、活動目標が、どの程度、達成できているかが曖昧になるリスクがある。
リスクは、「目標の達成具合がわからなくなること」ですね。
DX-PJとしては、そのリスクをコントロールするため、月次でDX-PJ定例会を開催しています。
このことは、〔"デジタル経営構想"の概要〕の (2)推進体制に書かれています。
経営企画室がDX-PJの事務局となり、各部門の代表者によるDX-PJ定例会を月次で開催し、進捗状況を確認している
また、DX-PJ定例会の成果物として、議事録があるということは、〔DX-PJの活動状況〕の1行目に書かれています。
T氏は、予備調査として、DX-PJ定例会の議事録を閲覧して、DX-PJの活動状況を把握した。
以上より、DX-PJ定例会の議事録を監査証跡として、目標の達成具合が確認されているか、ということが回答の骨子となります。
回答例は次の通りです。
DX-PJ定例会の議事録を査閲して、目標に対する進捗状況が管理されているか確認する(40字)
監査手続の設問の振り返り
設問2, 3, 5 は監査手続を問う問題でした。
もう一度、リスクとコントロールと監査手続の「3点セット」を当てはめて通して考えてみましょう。
3点セットの考え方については、以下記事にまとめていますので、合わせてご確認ください。
まず、リスクから、設問横断的に見てみましょう。
[リスク]
- 設問2 PoCから役に立つ効果が得られないリスク
- 設問3 DX推進の人材が不足していることのリスク
- 設問5 目標の達成具合がわからなくなるリスク
次に、コントロールを考えてみます。
[コントロール]
- 設問2 活動テーマに即した仮説を設定した上で、PoCをする
- 設問3 求める人材像を明確にする方針のもとで人材類型定義書を作成・更新する
- 設問5 各部門の代表者によるDX-PJ定例会を月次で開催し、進捗状況を確認する
コントロールは、リスクとの関係を明らかにするために、「(コントロール)することにより(リスク)を減らす」のように文を作ってみると分かりやすいと思います。
設問2の場合で言うと、
活動テーマに即した仮説を設定した上でPoCをすることで、PoCから役に立つ効果が得られないリスクを減らす
ということになります。
最後に監査証跡を確認します。監査行為には、具体的な監査証跡が必要です。
[監査証跡]
- 設問2 PoC報告書
- 設問3 人材類型定義書
- 設問5 DX-PJ定例会の議事録
あとは、監査手続の型に当てはめて回答しましょう。
設問2の場合は、
PoC報告書を査閲して、活動テーマに即した仮説が設定されているかを確認する(37字)
ということになります。
実際は、制限字数があるので、この通りにあてはめられないこともあるでしょう。
しかし、この「型」を知っていることにより、字数の制限に合わせて適切な回答文を最短時間で導き出すことができるでしょう。
おわりに
いかがでしたでしょうか?
システム監査技術者試験は、リスク・コントロール・監査手続の3点セットが、大きな知識スタックとなるでしょう。
余談となりますが、私がシステム監査技術者に合格したのも令和2年度です。
その時の記事もまとめていますので、体験談として読まれたい方は、こちらもどうぞ。
本記事を読んでいただいた方も、同じ結果になることを、願っています。
ではそれまで。