R4 AU PM2-2 システム障害管理態勢に関する監査

1.提供するサービスを支える情報システムについて、改変の内容、システム障害によってサービスの影響が拡大する要因、及び改変後のシステム障害管理体制の概要について

1.1情報システムの概要とシステム障害によってサービスへの影響が拡大する要因について
　Z社は、自社開発の情報機器を販売する通信事業者である。Z社は、自社製品のサポート対応を自社にて実施している。
　Z社では、AIやRPAといった新技術を自社サービスに取り入れ、業務の効率化を図るDXによる業務改善を組織的に推奨している。
　Z社のサポート対応はZ社技術部が実施する。Z社技術部は、DXによる業務改善の具体策として、従来はサービス対応の従事者を割り当てて実施していたサポート対応の窓口（以下、サービス窓口という）を、RPAにより一部を自動化することとした。
　RPAによる業務効率化は、業務従事者の別業務対応を可能にさせるといった一定の効果を得て順調に稼働をした。ただし、RPAの情報システムはZ社情報システム部が主管部門であり、サービス窓口の業務の主管部門はZ社技術部となる。現状では大きなシステムトラブルは発生していないが、サービス窓口のRPA化は障害が発生した際に、携わる部門の複雑化による影響が大きいと考えられた。
1.2改変後のシステム障害管理態勢について
　携わる部門の複雑化と、今後Z社ではRPAを始めとするDXによる業務改善を、情報システム部との連携強化を計画していることから、両部門によるシステム障害管理態勢が構築された。
　このシステム障害管理態勢では、両部門の要人を選出し体制が整えられた。また、上記体制に基づき、障害対応時の基本方針を打ち出した。この基本方針では障害発生時の役割分担を決め、障害発生時の対応、訓練、予防策の決定、といったシステム障害管理を規定している。

2.システム障害管理態勢の実効性を確かめるために設定すべき着眼点及びその理由について

2.1システム障害管理態勢のシステム監査について
　Z社の内部監査室では、Z社の今後のDXの推進の影響が大きいと考え、サービス対応のRPA化に関する監査を実施することとなった。私は、Z社の内部監査室に所属するシステム監査人として、設問アで述べたシステム障害管理体制の実効性を監査を実施する者である。
　私は、システム障害管理態勢の有効性を監査するにあたり、障害対応における時系列順である、発生前、発生時、発生後の各段階における有効性の確認すべきと考えた。以下が、その具体的根拠である。
2.2システム障害管理態勢の実効性を確かめるためのシステム監査について
①システム障害発生前の段階で確認するべき着眼点は、十分かつ有効なリスクアセスメントを実施し、その検討される障害に対する発生兆候を検知可能な仕組みが存在するか、を設定する。なぜなら、障害発生前の段階においては発生ベースの対応策ではなく、可能な限り事前準備をすることで障害発生時の対応がスムーズになるからである。
②システム障害発生時の段階で確認すべき着眼点は、障害発生時の役割分担が明確かつ有効なものか、を設定する。なぜなら、サービス窓口のRPA化の主管部門は単一の物ではなく、この複雑化を踏まえた組織的な障害対応が有効と考えられるからである。
③システム発生後の段階で確認すべき着眼点は、障害発生後の問題管理が有効に機能しているか、を設定する。なぜなら、障害発生後に障害の根本原因を把握するプロセスが機能が有効でない場合、根本的な対策が実施されずに障害が繰り返し発生する可能性が高いからである。
　以上が、システム障害管理管理態勢の実効性を確かめるために設定すべき着眼点である。
1500-2200

3.着眼点について、入手すべき監査証拠、及びその監査証拠に基づいて確かめるべき具体的な内容について

3.1設問イで述べた着眼点について入手すべき監査証拠、及び確かめるべき具体的な内容
　設問イで述べた、障害対応における時系列順の各段階における有効性を確認する着眼点について、私が十分かつ適切な監査証拠と確認事項と考えたのは以下の通りである。
3.2障害発生前の段階で確認すべき着眼点について
　入手すべき監査証拠は、システム障害管理態勢に関わる組織図と、リスクアセスメントを実施した会議議事録、そしてサービス窓口のRPAに関する仕様書である。確認すべき事項として、組織図を用い、リスクアセスメントの実施がZ社技術部、Z社情報システム部のいずれにも偏ることなく参画したメンバーであることを確認する。また、その内容が障害対応に十分な実効性を持つことを確認する。
　発生兆候の検知に関しては、その有無を確認し、有効な場合は検知の発報先が事前準備において効果を持つ体制であるかを確認する。
3.3障害発生時の段階で確認すべき着眼点について
　入手すべき監査証拠は、システム障害管理態勢に関わる組織図と、障害対応の主要なメンバからのインタビューによる内容である。確認すべき内容として、障害対応時の役割分担が明確かつ、責任の所在においても明確であるかを確認する。インタビュー実施にあたっては、障害発生を想定した質問を実施する。
3.4障害発生後の段階で確認すべき着眼点について
　入手すべき監査証拠は、障害対応に関する会議議事録と障害対応の主要なメンバからのインタビューによる内容である。確認すべき内容は、障害発生後の、当該障害対応を踏まえた反省点や改善点の列挙し、それらを組み込む仕組みが存在するか、である。
　以上が、システム障害管理態勢の実効性を確認する内容である。