🍀概要
システム監査技術者試験 令和6年 午後1 問2について、AIを活用して、解答を導き出す過程を示します。また、午後2論述式に接続するための整理した情報を提示します。
🧾問題・設問(AU-R06-PM1-Q2)
出典:情報処理推進機構 システム監査技術者試験 令和6年 午後1 問2
📘問題
問2 システム監査報告書の作成に関する次の記述を読んで,設問に答えよ。
B社は,中堅の食品専門商社である。近年の厳しい経営環境の中,ITコスト低減のために,従来オンプレミスで開発・運用していた基幹システムを1年前にクラウド環境に移行した。B社内部監査室のシステム監査チームは,クラウド環境に移行した基幹システムの信頼性及び安全性について,ITコスト低減による問題が生じていないか,統制の整備状況及び運用状況のシステム監査を実施した。
〔システム監査報告書案の作成〕
システム監査チームは,監査結果をまとめ,表1のとおり,システム監査報告書案を作成した。また,システム監査チームが実施した監査手続及びその結果は,表2~表4に示す監査調書にまとめられている。
内部監査室長は,監査調書を参照しながらシステム監査報告書案をレビューした。
(コピペ可能形式)「表1 システム監査報告書案(抜粋)」
1.監査目的
クラウド環境に移行した基幹システムの信頼性及び安全性について,統制の整備状況及び運用状況の観点から評価及び検証を行う。
2.監査対象
基幹システム(会計システム,販売システム,購買システム)のうち,会計システムと販売システムを対象とする。
3.監査対象部門
情報システム部
(システム開発チーム,システム運用チーム)
4.監査対象期間
(省略)
5.実施体制
内部監査室 システム監査チームリーダー以下2名
6.実施スケジュール
(省略)
7.監査手続の概要
・情報システム部長及び担当者へのインタビュー
・システム開発,システム運用及び情報セキュリティに係る規程,マニュアル,記録などの閲覧
・基幹システムの情報セキュリティに係る設定状況の目視による確認
8.総合評価
基幹システムの信頼性及び安全性はおおむね良好である。ただし,システム開発及び情報セキュリティに関して各1件の発見事項があったので、次項に報告する。
(コピペ可能形式)「表1 システム監査報告書案(抜粋)(続き)」
9.発見事項
(1)
・指摘事項
監査対象期間におけるシステム変更申請書を20件サンプリングしてチエックしたところ,情報システム部長の承認記録がないものが3件あった。
・改善提案
システム変更申請書について規程に従って情報システム部長が適時に承認し,記録を残す。
(2)
・指摘事項
情報システム部のシステム開発チームリーダーに本番環境の更新権限があり,常時本番環境のデータベースにアクセスできてしまう。
・改善提案
システム開発チームリーダーに更新権限を付与せず,本番環境の作業は全てシステム運用チームが行う。
(コピペ可能形式)「表2 監査調書(リスク1)」
・リスク1
情報システム部の体制と役割が明確でない場合,業務のミス及び遅延が発生する。
・監査目標
情報システム部の業務と体制が明確になっているかどうかを確かめる。
・監査手続
①情報システム部の体制図や職務分掌規程などの資料を閲覧し,情報システム部の体制と役割が明確になっていることを確かめる。
②情報システム部の体制と役割について情報システム部長及び各チームリーダ一に質問し,体制図や職務分掌などと整合がとれていることを確かめる。
・監査結果
①情報システム部の体制図及び職務分掌規程を閲覧し,情報システム部の業務と職務分掌が明確に規定されていることを確かめた。
②情報システム部の関係者にインタビューを行い,上記①で把握した業務及び職務分掌に基づいて業務が実施されていることを確かめた。
・システム開発チームリーダーは開発,変更したプログラムのリリース後の稼働状況確認のほか,本番環境におけるインシデント発生時の原因調查及び緊急対応を行っている。システム開発チームは,クラウド環境への移行に伴い,変更管理ツールを導入した。本ツールには変更したプログラムの本番環境へのリリース時に本ツール上での申請,承認を必須とすることができる機能があるが,その機能は使用していない。
・システム運用チームリーダーは,本番環境の維持管理として,本番リソースの使用状況や各種設定を管理している。システム運用チームは,基幹システムの機能や仕様については熟知していない。
・情報システム部長は,情報システム部の中で最も経験年数が長く,利用部門の業務知識も豊富で,要件定義における利用部門のサポートも行っている。情報システム部長は,システム開発チーム及びシステム運用チームの作業内容が適切かどうかを適宜チェックしている。なお,情報システム部長は来年退職予定である。
・指摘事項
なし
(コピペ可能形式)「表3 監査調書(リスク2)」
・リスク2
基幹システムの本番環境のプログラムに未承認の変更が加えられてしまう。
・監査目標
基幹システムの本番環境のプログラムに対する全ての変更が適切に承認されていることを確かめる。
・監査手続
①変更管理規程を閲覧し,基幹システムの本番環境のプログラムを変更する際のルールを確かめる。
②変更ログ及び関係書類の閲覧によって,基幹システムの本番環境のプログラムに対する全ての変更が規程及び手続に基づき承認されていることを確かめる。
・監査結果
①変更管理規程を閲覧し,次のことが規定されていることを確かめた。基幹システムの本番環境のプログラムを変更する前に,システム開発チームがシステム変更申請書を作成し,情報システム部長の承認を得る。
②監査対象期間におけるシステム変更申請書から監査実施要領に従い20件をサンプリングしてチェックしたところ,情報システム部長の承認記録がないものが3件あった。情報システム部長の説明では,変更内容は別途確認しているが,忙しくて承認の押印が漏れてしまったとのことである。
・指摘事項
監査対象期間におけるシステム変更申請書の20件中3件について,情報システム部長の承認記録がなかった。情報システム部長の承認の押印が漏れていることから,運用上の不備とする。
(コピペ可能形式)「表4 監査調書(リスク3)」
・リスク3
基幹システムの本番環境が不正に変更されてしまう。
・監査目標
基幹システムの本番環境の更新権限が適切に制限されていることを確かめる。
・監査手続
①情報セキュリティ管理規程を閲覧し,本番環境の更新権限を制限する規定及び更新権限付与ルールを確かめる。
②本番環境の更新権限を有するアカウント一覧を出力し,正当なアカウントだけが権限を有していることを確かめる。
・監査結果
①情報セキュリティ管理規程を閲覧し,本番環境のアカウント及びアカウントの権限は業務上必要最小限に制限することが規定されていることを確かめた。
②本番環境のアカウント一覧を出力し,更新権限を有するのはシステム運用チーム2名,システム開発チームリーダーの3名であることを確かめた。
・指摘事項
情報システム部のシステム開発チームリーダーに本番環境の更新権限があり,常時本番環境のデータベースにアクセスできてしまう。システム開発チームが本番環境の更新権限をもっていることは統制が不十分であることから,整備上の不備とする。
〔内部監査室長の指示〕
内部監査室長は,監査調書及びシステム監査報告書案をレビューし,次のように内容を見直すよう,システム監査チームに指示した。
(1)表1の“8.総合評価”については,“1.監査目的”に照らすと,記載内容が不十分であるので,必要な事項を追記すること。
(2)表1の“9.発見事項”(1)に関連して,次の2点を確認すること。
①表2及び表3の“監査結果”を踏まえると,“改善提案”がこれで妥当かどうか疑問である。情報システム部と協議の上,“改善提案”の内容を必要に応じて修正すること。
②表3の“監査手続”の下線部について,網羅性の観点から,“監査結果”の②でシステム変更申請書からサンプリングするのに先立って実施した監査手続とその結果を監査調書に記載しておくこと。
(3)表1の“9.発見事項”(2)の“改善提案”の内容については,表2の“監査結果”から,情報システム部の業務に支障を来す可能性があると考えられる。“改善提案”の内容が実行可能かどうか,情報システム部と十分にコミュニケーションを取って検討すること。
(4)表2の“監査結果”から,情報システム部の来年度以降の体制について懸念すべき事項があるので,今後継続して確認していくこと。
📗設問
■設問1
〔内部監査室長の指示〕(1)について,不十分な点を,35字以内で答えよ。
■設問2
〔内部監査室長の指示〕(2)の①について,修正後の改善提案として考えられる内容を,50字以内で答えよ。
■設問3
〔内部監査室長の指示〕(2)の②について,先立って実施した監査手続として監査調書に記載しておくべき内容を,50字以内で答えよ。
■設問4
〔内部監査室長の指示〕(3)について,支障を来す可能性がある情報システム部の業務を,25字以内で答えよ。
■設問5
〔内部監査室長の指示〕(4)について,懸念すべき事項を,45字以内で答えよ。
📙模範解答(IPA)
■設問1
統制の整備状況と運用状況についての評価が明記されていない点
■設問2
変更したプログラムの本番環境へのリリース時に変更管理ツール上での申請,承認機能を活用する。
■設問3
本番環境のプログラムに対する全ての変更ログについて,システム変更申請書があることを確かめる。
■設問4
本番環境におけるインシデント発生時の緊急対応
■設問5
情報システム部長の退職に際して部長のノウハウの伝承が適切に行われない。
📔出題趣旨・採点講評(IPA)
■出題趣旨
システム監査では,監査手続の実施によって監査証拠を入手し,合理的な根拠に基づき監査の結論を導く必要がある。そのためには,監査の実施記録である監査調書に基づいて監査報告書を作成する必要がある。また,監査調書には,リスクとそれに対応する監査目標を踏まえて,システム監査人が実施した監査手続とその結果,及び発見事項を記載し,監査責任者によるレビューを受ける必要がある。
本問では,基幹システムの信頼性及び安全性に関する統制の整備状況・運用状況の監査を題材として,監査調書に基づいて合理的な指摘事項及び改善提案を含む,監査報告書を作成する能力を問う。
■採点講評
問2では,基幹システムの信頼性及び安全性に関する統制の整備状況・運用状況の監査を題材に,監査調書に基づいて指摘及び改善提案が行えるような監査報告書の作成について出題した。全体として正答率は平均的であった。
設問1は,正答率がやや低かった。本設問はシステム監査報告書の監査目的に照らして総合評価の記載が十分であるかどうかを問う問題であったが,監査目的に記載のないITコスト低減の有効性について記述している解答が散見された。システム監査報告書の総合評価には,監査目的に対応する評価結果を漏れなく明瞭に記載する必要があることを理解してほしい。
設問3は,正答率が低かった。統制の運用状況の評価において,サンプリングによる検証を行う際の母集団の網羅性に関する監査手続を問う問題であったが,サンプリングの手法や件数に焦点を当てた解答が散見された。システム変更に関する運用状況の検証としては,システム変更ログを母集団とすることが望ましく,システム変更申請書からサンプリングする場合には,その前提としてシステム変更申請書に漏れがないことを変更ログによって確認する必要があることを理解してほしい。また,監査を実施する際の正確性,網羅性,実在性などの意味についても正確に理解してほしい。
🪄模範解答への道しるべ(AI解説)
【Step 1】設問構造の把握と分類
| 設問 | 💡問うている内容 | 📚必要知識の種別 | 🧠読解の難易度 |
|---|---|---|---|
| 設問1 | 総合評価が監査目的に照らして不十分な点を指摘 | 問題文から導出可能 | 中:目的と総合評価の照合が必要 |
| 設問2 | 発見事項(1)の改善提案の修正案 | 知識補完型(統制手段の妥当性) | 中:監査結果と改善提案の整合性理解が必要 |
| 設問3 | ログ→申請書サンプリングの前提となる監査手続 | 知識補完型(網羅性評価の常識) | 高:網羅性と監査順序の理解が必要 |
| 設問4 | 改善提案が影響を与える情報システム部の業務 | 問題文から導出可能 | 低:業務記述からの抽出 |
| 設問5 | 情報システム部長退職による体制上の懸念 | 問題文から導出可能 | 中:文末にあるノウハウ伝承の記述を拾う力 |
【Step 2】模範解答に至る思考プロセスの解説
■設問1
✅模範解答:
統制の整備状況と運用状況についての評価が明記されていない点
🧠解説:
- 🔍「1.監査目的」で「統制の整備状況及び運用状況の観点から評価」とある。
- 🔍「8.総合評価」では「信頼性と安全性はおおむね良好」とだけある。
- ✂️→「統制の整備」と「運用状況」という2軸に照らして評価がなされていない=記載不足。
🔁誤答例:
- ITコストの効果が不明といった回答(監査目的に含まれていない→失点)
📝注意:
- 評価文と監査目的の「語句対応」を意識すること。
■設問2
✅模範解答:
変更したプログラムの本番環境へのリリース時に変更管理ツール上での申請,承認機能を活用する。
🧠解説:
- 🔍監査結果に「ツールに承認機能があるが未使用」と明記。
- 📌「申請書への署名漏れ」の課題は、ツールの承認機能で防げる。
- ⛏ 修正提案=紙の手順の強化ではなく、既存ツールの利用推奨。
🔁誤答例:
- 「承認記録を徹底する」など紙ベース強化の回答→根本解決にならない
📝注意:
- 「発見事項 → 監査結果 → 改善提案」の整合性を保つこと。
■設問3
✅模範解答:
本番環境のプログラムに対する全ての変更ログについて,システム変更申請書があることを確かめる。
🧠解説:
- 「ログ→申請書」方向のチェックで「網羅性」を担保。
- ログが母集団であり、ログを基に申請書との整合を確認する手順が先。
🔁誤答例:
- 「20件サンプリングした」→それ自体はサンプリングの結果であって、母集団の網羅確認ではない。
📝注意:
- 網羅性を意識する場合、「母集団→サンプリング」の論理順を守る。
■設問4
✅模範解答:
本番環境におけるインシデント発生時の緊急対応
🧠解説:
- システム開発チームリーダーが緊急対応も担っており、運用部門だけではカバーできない。
- 改善提案により、対応不能リスクが生じる可能性がある。
🔁誤答例:
- 「データベース管理業務」など曖昧な業務全般を挙げると失点。
📝注意:
- 「発見事項(2)の改善提案」が実務に与える影響に注意。
■設問5
✅模範解答:
情報システム部長の退職に際して部長のノウハウの伝承が適切に行われない。
🧠解説:
- 問題文末に「部長は来年退職予定」+「要件定義支援など多くの知見保持」と記述あり。
- →暗黙知喪失リスク=組織的懸念。
🔁誤答例:
- 「人員不足が懸念される」などの一般的表現→文中の個別リスクに即していない
📝注意:
- 「何が懸念か」は文中から明示的に拾うこと。
【Step 3】設問タイプ別アドバイス
| 設問 | タイプ | 初学者向けアドバイス |
|---|---|---|
| 設問1 | 🔴 因果構造推定型 | 「目的と結果の対応チェック」は監査の基本 |
| 設問2 | 🟡 知識補完型 | ツールの存在を見逃さず、最適解を選ぶ力 |
| 設問3 | 🔴 因果構造推定型 | サンプリングの前提=母集団確認を忘れずに |
| 設問4 | 🟢 文中転記・再構成型 | 本番環境の対応業務に注目し、要約する |
| 設問5 | 🟢 文中転記・再構成型 | 退職予定の人の「機能喪失リスク」を意識する |
【Step 4】全体指導コメント(汎用アドバイス)
- 📌設問の「前提文」に注意。何を踏まえて指摘するのかが明示されている。
- 🎯「誰が・何を・どうするか」を明記。主語の省略は減点対象。
- 🔍「網羅性」「妥当性」「整合性」など監査人視点でしか見えない観点を使おう。
- ❌抽象語(例:「適切に対応」「管理を強化」)は避け、「何を使ってどう制御するか」を記述する。
- 📏文字数制限が厳しいため「言いたいことを1フレーズで」言えるよう練習を。
【Step 5】教材化・再構成提案
- 📄練習プリント化案:
- 「監査調書と報告書の対応関係を線で結ぶ」
- 「改善提案のうち、妥当なものを○で囲め」
- 📊視覚補助:
- 表1〜4をビジュアル化し、監査目的⇔発見事項の流れを図示
- 「整備状況」「運用状況」の違いを対比表に
- 📚フォローアップ学習:
- 「AU-R05-Q1(統制と是正提案)」や「AU-R03-Q2(改善提案の実行可能性)」との比較
- 網羅性・正確性・実在性といった監査評価基準の復習
🎓講評コメント(AI評価)
よく出ましたね、このタイプ。
「報告書の作成」と銘打っておきながら、問われているのは実は“整備・運用・評価・是正提案の全体プロセスの理解”ですよ。
■試験の本質:これは“監査手続きのリフレイン問題”だ
まず押さえるべきは、この問題が本当に言いたいのは「監査報告書をどう書くか」ではないという点です。
これは報告書という“鏡”を通して、あなたの監査理解の成熟度を映し出そうとする問題なのです。報告書は構造が整っていないと伝わらない。そこに「目的との整合性」「根拠の明示」「実効性のある提案」が入っているかを見ています。
■設問1:監査目的との整合チェックができるか?
ここは午後Ⅱで毎年のように出る“論理整合性型の出題”ですね。
目的に「統制の整備・運用」とあるのに、報告書にはそれが“評価軸”として明示されていない──このギャップを読み取れるかが問われている。
こういうところで、「ITコストの効果が書いてない」とか頓珍漢な答えを書くと、“見てるポイントがズレてるぞ”という評価を下されるので要注意。
■設問2・3:形式手続の修正と網羅性の確保
ここがこの問題の“ハイライト”です。
設問2では、紙の手順を守れではなく、ツールの承認機能を使えという提案がベスト。なぜなら“手続の実効性向上”が主眼だから。
設問3はさらに深くて、「サンプリングした」だけでは駄目、“ログと申請書がちゃんと全部紐づいている”と確認できなければ、そもそもサンプリングの母集団が揃ってないでしょ?」という話。
これは午後Ⅱでも出る「網羅性・正確性・実在性」の三本柱の1つ。わかってない受験者はここでバッサリ落とされます。
■設問4・5:業務影響と人材リスクへの洞察
設問4では、「改善提案が業務に支障を来すか?」という点に踏み込んでます。これは“是正提案の実現可能性”を見る設問ですね。
「業務と統制、両方に目配せできるか」が監査人の資質。
設問5も面白くて、人材リスクの見抜き問題です。
単に「退職する」で終わらせず、“ノウハウ伝承が不十分なことが将来のリスクになる”と書ける人が合格圏。
■全体所感:これは“午後Ⅱへの誘い”だ
この問題を作った出題者の意図は明らかです。
「監査って報告書の文言じゃないよ。
目的→手続→評価→是正、この一連の構造が分かってるかい?」
ということ。
つまり、午後Ⅱの第1章~第3章構成を疑似体験させる“プレ論述型問題”なんです。
🔍ワンポイント指南
- 📌 設問1=目的との照合力を試す問題
- 📌 設問2=改善提案の妥当性と実行力
- 📌 設問3=母集団の網羅性チェック能力
- 📌 設問4=業務影響の予見力
- 📌 設問5=人材リスクの洞察力
この5問で、「論理整合性・実効性・実在性・妥当性・影響評価」がすべて問われているわけです。
午後Ⅱを受けるなら、ここを言語化できないと論述は書けません。
以上、この問題は「午後Ⅱの着眼点の縮図」と言ってよい良問でした。
午前Ⅱの中でも、午後Ⅱ論述の準備教材として最高レベルに位置付けられる問題です。
午後Ⅰ対策で終わらせず、この問題の設問と解答をそのまま「第1章〜第3章の記述骨格」として流用できる視点に昇華しておくことをおすすめします。
🧭午後2論述式接続 「あるべき姿モデル」
【総論】システム監査報告書の作成
- システム監査において報告書は、単なる監査結果の記録ではなく、経営判断や是正活動の出発点となる「意思決定の根拠資料」である。そのため監査人は、収集した証拠に基づいて論理的かつ過不足のない内容で、「目的に照らした評価」「統制の不備の明示」「現実的な是正提案」を明文化する責任を負う。
- とりわけクラウド移行や業務のデジタル化が進む現在、統制不備が制度と運用の齟齬として顕在化しやすく、報告書の表現ひとつでリスクが過小評価されたり、是正行動が形骸化する可能性もある。監査人には、対象業務の性質と現場の実態をふまえつつ、評価の網羅性・実在性・整合性を確保したうえで、誤解なき伝達と改善行動を促す表現力と構成力が求められる。
- 監査報告書の質は、そのまま組織のリスク感度の高さと改善文化の成熟度を反映するものであり、監査人は「評価内容そのもの」だけでなく、「伝達の仕方」にまで目を配ることが求められる。
【①視座】監査人の立ち位置(独立性・中立性を含め)
- 組織の一部門であると同時に、第三者的・批判的視点を保持する中立的存在
- 現場との協働ではなく「証拠に基づく評価と判断」が主眼
- 業務知識やシステム背景に精通しつつも、私見ではなく「規程・手続・事実」に基づき是正を求める
- 経営者・管理者・現場担当者が見落としがちな構造的リスクに気づき、文書や制度の不備を可視化する専門職
【②着眼点】当該テーマで着目すべき統制・リスク観点
- 統制の整備状況と運用状況の両面:設計されていても、実際に運用されていなければ機能不全
- 変更管理と権限管理の分離:申請と実行、開発と運用の分離が守られているか
- 網羅性・実在性・整合性の評価視点:
- 網羅性:対象となるすべての事象が監査対象に含まれているか
- 実在性:手続が実施されている実体があるか
- 整合性:制度と実運用に齟齬がないか
- 属人化・退職リスク:暗黙知や重要スキルの継承不備が統制上の脆弱性となる
【③行動】具体的な監査行動(文書確認/インタビューなど)
- 規程・体制図・記録の閲覧:職務分掌・規程の実在性と整合性確認
- インタビュー:実務レベルの役割認識や現場での手順確認
- ログ・申請書の照合:形式的には申請されているか、証拠として残っているか
- 設定画面やアクセス権の目視確認:運用実態の技術的証拠確認
- 監査対象の妥当性選定と母集団の確認:サンプリングの前提精査による網羅性の確保
【④判断軸】監査評価における基準・優先観
- 監査目的との整合性:評価・報告は必ず監査目的に照らして記述
- 規程遵守の有無と逸脱の影響:整備不備・運用不備の区別とそのリスクを評価
- 再現性ある証拠の有無:属人的な説明ではなく、記録やログで裏付けられるか
- 是正可能性・現場影響のバランス:厳格な制度設計が業務を阻害しないか
【⑤是正力】実効性ある提案の特徴
- 既存資源の活用:ツールや仕組みがあるなら、それを有効に使う提案を
- 制度と運用の橋渡し:手続と現場業務が乖離しない設計(実行可能性を重視)
- 短期的是正と中長期課題の区別:記録の徹底と教育・ツール活用の両面から対応
- 関係部門との合意を前提とした提案:独断で制度設計を押しつけない、対話と調整を含む
- 形式的統制+実効性確認手続の併用:名ばかりの手続ではなく、実効性を検証する仕組みづくり
【⑥組織貢献】監査を通じてもたらされる価値
- 見えにくいリスクの可視化と予防:変更管理・権限管理の緩みがもたらす将来の事故を未然に防止
- 業務の透明性と責任所在の明確化:業務分掌の整備によるミスや対応遅延の低減
- ナレッジ伝承の契機:退職予定者の知識継承支援など、組織的ノウハウの蓄積促進
- 内部統制の成熟度向上:監査によって形式と運用のギャップを埋め、制度と実務の一体化を促進
- 現場との信頼関係の形成:杓子定規な是正でなく、業務影響に配慮した現実的提案により受容性を高める