他力と自力と

家事と育児に追われるおじさんの、日記代わりの備忘録です

トップ > システム監査 午後2論文 こんなの書いて、こんなところがダメでした

システム監査 午後2論文 こんなの書いて、こんなところがダメでした

私は前回平成25年度のシステム監査試験で、午後2でB判定で落ちてました。

結局、何が悪くてダメだったのか全くわからなかったのですが、それで今回、また手探りで準備することになってしまいまして。前回の内容を後から反芻するために何も残していなかったからなんですよね。

 

そこで今回は、せっかくブログをやっているので、どんな内容を書いたかを書いておいて、今年ダメだった場合次に活かせる情報を残しておこうと思います。

 

◆選択した問題

今回の午後2問題では、問2を選択しました。

「情報システムの可用性確保及び障害対応に関する監査について」という問題です。

 

◆参考とした例文

この本を参考にさせていただきました。

ITのプロ46著

情報処理教科書 高度試験午後Ⅱ論述

P356 4-4の平成22年度問1のサンプル論文です。

 

◆記述した内容

実際に書いた内容の概要を書き残してみます。

問題用紙などに書き残したものではなく、記憶を頼りなので、細かいところはいい加減です。

 

1.情報システムの概要と、発生を想定している障害の内容及び業務への影響

・私は大手SIベンダに勤務するシステム監査人

・今回論述するのは、輸入食品小売業者A社の販売管理システムの監査

1-1.情報システムの概要

・A社は当該システムを再構築し、先月から稼動させていて、その監査を外部に依頼、私が担当になった

・システム構成は本社が本部サーバ数台と事務用PCが数十台

・全国に100店舗展開している店舗側は、本部サーバと連携しているストアコントローラが1台と、店舗の規模に合った台数のPOSレジ

これら全てが販売管理システム

1-2.発生を想定している障害とその業務への影響

・POSレジが故障すると来店客に多大な迷惑がかかる

・POSレジが機能していても、ストアコントローラの故障や本部サーバとの連携に問題があると、A社の強みである全国一斉のタイムサービスや特売が、その店舗では実施できなくなる。

・過去に3件このような問題が発生し、この修正も今回の再構築のきっかけとなっていた

・問題発生後、システム部メンバーが本社から修正に向かった事や、店舗側で消耗品が不足していたことにより、問題解決までに最大1週間を要したこともあった

 

2.可用性確保、障害対応のためのコントロール

2-1.可要請確保のためのコントロール

・まず、予備調査を開始

・旧システムの障害表一覧、新システムの要件定義書とシステムテスト時のチェックリストを預かってレビューした

・次のコントロールを追加したことがわかった

・本部サーバに仮想ストアコントロールの準備

    店舗POSがストアコントローラとの通信に失敗したとき、或いは本部サーバとの連携ができていないことを検地した場合、POSレジの接続先を自動で仮想ストアコントロールに接続しなおして、処理を継続する

2-2.障害対応のためのコントロール

・全国を10のエリアに分け、障害対応技術者を置く

・全店舗を対象に、教育の機会を設ける

・これらの内容を、システム管理規定に記載した

 

3.可用性確保及び障害対応コントロールの適切性の監査

・予備調査の結果から、次のような監査手続きを決定

(1)対処する問題に漏れはないか

・発生した障害のみでなく、他に対処するべき問題はなかったか

・旧システムの障害一覧と要件定義書をつき合わせ、他の問題点も検討されたか確認する

(2)コントロールの適切さ

・このコントロールで対策となるのかの確認をしっかりできているか

・例えばNW通信が必要なコントロールなので、その部分の可用性に問題はないかをITサービスマネージャなどの意見を取り入れながら検討されたか

・要件定義書のレビュー時の議事録を確認し、NWに詳しいメンバーが参加していたかを確認する

(3)テストに漏れはないか

・テストが正しく行われていなければ、適切性があるとは言えなくなる

・チェックリストのレビュー議事録を確認し、NWに詳しいメンバーなどが参加していたかを確認する

・チェックリストと要件定義書を比較し、チェック項目に漏れがないかを確認する

(4)障害対応コントロールの内容は適切か

・10のエリアには根拠があるのか

・全国にある店舗いずれでも同様に発生の可能性がある

・だが、店舗の規模などで重要度が違うかもしれない

・問題はその辺りの問題を検討して、経営陣が認識して承認しているか、である

・このコントロールが記載されているシステム管理規定を確認し、承認されているか、承認した人にインタビューをし、その内容を把握しているか、を確認する

ー以上ー

 

◆ダメだとしたらこんなところ

・字が汚かった

 焦りすぎて、字が汚くなってしまいました。

・用意していた題材が無駄に文章に残ってしまい、一貫性がないものになっている

 例えばシステムの再構築の必要性はなく、

「問題に対応して組み込まれたコントロールの監査」だけでよかった

 さらに記述したアが、イとウを書いていると矛盾が出てしまい、4分の1ぐらい消して書き直しました。ますます汚くなったし、アは最後に書くというのも良い作戦かも

・可用性部分のみしか用意していなかったので、障害対応の内容がとってつけたものになっている

 私はシステム開発や運用に携わったことがありませんので、

    経験からひっぱってくることができませんでした

・設問ウは「手続き」を書け、とあるが、「~を確認することにした」と書いてしまった

 手続きとして伝わっているだろうか。。

・設問ウの記述が、今回のコントロール以外の部分にも踏み込みすぎ、余計なことを書いている

・そもそも監査手続きが有効で無い気が・・

 特に上記(1)は、今冷静に振り返るとかなり無茶かつ無駄かつ無益な気がします

 

とまあ、振り返ると自信がなくなるもんですね。いつものことですが(笑)

来年も受けるハメになったら、本エントリを参考にしようと思います