午後問12：システムテストの監査

アイティ・アシスト

2011.05.13

問題

問12　システムテストの監査に関する次の記述を読んで、設問1、2に答えよ。

　C社は、電子機器の製造販売会杜である。C社の監査部は、現在の監査部長が着任した昨年から、定期的にシステム監査を実施している。このたび、最近再構築した会計システムについて、経理部主体で行った運用テストの責任者から、システム要件定義どおりにシステムが作られていないという不具合が多く見つかったと報告された。そこで、その前の工程であるシステム適格性確認テスト（以下、システムテストという）の妥当性評価をテーマに、C社のシステム開発規程の遵守状況を確認する監査を行うことになった。

［監査部の状況］

　C社の監査部では、システム監査をまだ数回しか実施しておらず、監査部長以外のメンバはシステム監査の経験が浅い。監査部長は、この監査チームのリーダとして、監査部のD君を指名した。D君は、監査リーダを担当するのは今回が初めてである。

［会計システム開発の概要］

　今回再構築した会計システムは、ERPパッケージと社内のほかの複数のシステムとのインタフェースから構成されている。社内のシステム部と経理部が中心となり、ウォータフォールモデルで開発した。

［システム開発規程］

　C社のシステム開発規程には、システムテストに関して、次のような記述が含まれている。

（1）システムテストは、運用テストを開始してもよいかどうかを決定するために、システム結合テストの後に行われる。システムがシステム要件定義どおりに作られているかどうかを、システム全体の品質、性能、運用、操作などの総合的な観点から検証するテストである。

（2）システムテストは、システムテスト計画に基づいて実施しなければならない。システムテスト計画は、システムテスト責任者と開発責任者の承認を得なければならない。

（3）システムテストは、本番環境から隔離された環境で行わなければならない。

（4）システムテストには、開発当事者以外の者が参画しなければならない。また、システムの設計者やプログラマは、自身が関係したプログラムのシステムテストに関与してはならない。

（5）システムテストでは、機能テスト以外に負荷テスト、性能テストも実施しなければならない。その際、システム要件定義を網羅したテストケースを作成しなければならない。

（6）すべてのテストケースについて、システムテストの経過及び結果を記録し、保管しなければならない。

（7）システムテストの目的を達成したかどうかを十分に検討した上で、システムテストの完了判定を行わなければならない。

（8）システムテスト結果報告書は、システムテスト責任者、開発貴任者、運用保守責任者、ユーザ責任者が承認しなければならない。

［監査の実施］

　D君は、個別監査計画害に従い、まず、予備調査としてC社のシステム開発規程を閲覧した後、監査手続書を完成させた。その後、作成した監査手続書に基づいて本調査を実施した。本調査では、システムテストの各工程で作成された次の書類を閲覧した。

システムテスト計画工程で作成されたテスト計画書
テストケースの作成工程で作成されたテストケース
システムテストの実施工程で作成されたテスト結果
システムテスト結果の評価工程で作成されたシステムテスト結果報告書

　さらに、システムテスト責任者、設計者、プログラマ、運用保守責任者へのインタビューを実施した。

　監査実施中、1.自らの監査意見を立証するのに必要な事実をそのほかの関連資料などと併せて取りまとめ、2.監査業務の実施記録として、監査部で決められた様式で作成し、保管した。

［監査で判明した事実］

（1）システムテスト計画書には、システムテストの目的と範囲、種類、前提条件、全体スケジュール、チーム体制、役割分担、環境、テストツール、データとテストケースの作成方法、進捗管理方法、問題管理方法、記録保管方法及びテスト完了基準が記述されていた。システムテスト計画書には、システムテスト責任者と開発責任者の承認印があった。

（2）システムテスト計画書に含まれるチーム体制は、会計システムの設計者を中心とした開発当事者だけのメンバで構成されていた。

（3）テストケースやテストデータは、システム要件を基に、システムテストの実施前に作成されていた。テストケースには、機能テストだけでなく、負荷テストや性能テストは含まれていたが、例外などの特殊な場合の処理の確認は含まれていなかった。

（4）システムテストの実施前に、システム結合テストが適切に実施されたことが確認されていた。

（5）システムテストは、本番環境から隔離された環境で実施されていた。

（6）システムテストの結果は、異常があった場合だけ記録されていた。その際に画面コピーや印刷結果が添付されていた。

（7）システムテスト結果報告書には、システムテスト責任者、開発責任者、運用保守責任者及びユーザ責任者の承認印があった。システムテスト結果報告書には、すべてのテストケースを実施したことをもって完了としていたことが記述されていた。

［監査結果］

　D君は、本調査の結果を基に、図に示す監査報告書（案）を作成した。