令和2年度 システム監査技術者試験 午前II 問題

はじめに

• 令和2年度 システム監査技術者試験午前II 問題について問題と回答を載せています。
• 間違いがあればご指摘ください。

問題と解答

問1

• システム監査で用いる統計的サンプリングに関する記述のうち，適切なものはどれか。

ア

開発プロセスにおけるコントロールを評価する際には，開発規模及び影響度が大きい案件を選定することによって，開発案件全体に対する評価を導き出すことができる。

イ

コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる。

ウ

正しいサンプリング手順を踏むことによって，母集団全体に対して検証を行う場合と同じ結果を常に導き出すことができる。

エ

母集団からエラー対応が行われたデータを選定することによって，母集団全体に対してコントロールが適切に行われていることを確認できる。

正答 イ

• アおよびエについて，無作為に抽出する必要があるため誤り。
• ウについて，「常に」が誤り。そのようなことは断言できない。

問2

• システム監査基準(平成 30 年)における，システム監査の品質に関する記述として，最も適切なものはどれか。

ア

外部の専門事業者に監査業務の実施を委託し，独立性の観点から，監査の品質管理体制の確認を含めてすべてを任せる。

イ

監査業務の品質を維持し，向上させるために，組織体内部による点検・評価を行う必要はなく，組織体外部の独立した主体による点検・評価を実施する。

ウ

監査に対する監査依頼者のニーズを満たしているかどうかを含め，監査品質を確保するための体制を整備する。

エ

システム監査基準は監査業務を実施するためのテンプレートを規定しており，それを利用することによって監査業務の品質を確保する。

正答 ウ

• アおよびイについて，監査は組織内外で協力して実施することで品質を確保できるはずである。
• エについて，システム監査基準はシステム監査人の行為規範でありテンプレートなどを規定するものではない。

問3

• システム監査において実施される“試査”に該当するものはどれか。

ア

監査対象に最も適合した監査手続きを決定するために，いくつかの監査技法を思考する。

イ

計算モジュールの正確性を確認するために，ソースプログラムをレビューする。

ウ

すべてのトランザクションデータに監査手続きを試験的に適用し，その処理の正当性について判断する。

エ

抽出した一定件数のトランザクションデータに監査手続きを適用し，データ全件の正当性について判断する。

正答 エ

• 「試査」とは母集団から抽出されたサンプルを監査する手続きのこと。
• 監査方法の思考とは直接関係ないためアは誤り。
• プログラムとは関係ないためイは誤り。
• 「すべてのトランザクションデータ」を用いる場合は「試査」ではないためウは誤り。

問4

• システム監査において，ペネトレーションテストが最も適合するチェックポイントはどれか。

ア

オフィスへの入退室に，不正防止及び機密保護の物理的な対策が講じられているか。

イ

データ入力が漏れなく，重複なく正確に行われているか。

ウ

ネットワークの負荷状況の推移が記録，分析されているか。

エ

ネットワークへのアクセスコントロールが有効に機能しているか。

正答 エ

• 「ぺネトレーションテスト」とはネットワーク，PC・サーバーやシステムの脆弱性を検証するテスト手法の1つ。実際にアクセス可能であるか試みるため「侵入テスト」とも呼ばれる。
• 物理的な対策は関係ないためアは誤り。
• データ入力の不足がないと言う観点は関係ないためイは誤り。
• 付加状況の記録，分析は関係ないためウは誤り。

問5

• 財務報告に係る内部統制監査におけるリスクアプローチの説明のうち，適切なものはどれか。

ア

監査の効率性を念頭におき，固有リスクだけを評価する。

イ

財務諸表の重要な虚偽表示リスクの有無にかかわらず，任意に抽出した業務プロセスに対してリスクを評価する。

ウ

財務報告に係る全ての業務に対して，ボトムアップで網羅的にリスクを洗い出して評価する。

エ

想定されるリスクのうち，財務諸表の重要な虚偽表示リスクが高い項目に監査のリソースを重点的に配分する。

正答 エ

• リスクアプローチとは，監査を効果的・効率的に進めるための手法。
• 「監査の人員や時間などの監査資源が有限であるため，
• すべての項目に対して総括的に監査を行うのではなく，経済環境，会社の特性などを勘案して，財務諸表の重要な虚偽表示に繋がるリスクのある項目に対して重点的に監査資源を投入し，効果的・効率的に監査を行う手法」という説明がある。参考
• 「固有リスク」とは「仮に企業に内部統制が存在しなかった場合に，重要な虚偽表示がなされるリスク」のこと。リスクアプローチが対象とするのは固有リスクではないためアは誤り。
• 任意に抽出したリスクを対象とするわけではないためイは誤り。
• 「ボトムアップで網羅的にリスクを洗い出」すわけではないためウは誤り。

問6

• システム監査基準（平成 30 年）における予備調査に関する記述のうち，最も適切なものはどれか。

ア

監査対象業務の実態を把握するために行う調査である。

イ

監査対象部門と監査計画を調整するために行う調査である。

ウ

十分かつ適切な監査証拠を入手するために行う調査である。

エ

本調査を補完する目的で，本調査と並行して行う調査である。

正答 ア

• 予備調査とは被監査部門及び監査対象システムの概要を把握するために実施する調査のこと。
• 計画の調整のために実施するわけではないため，イは誤り。
• 監査証拠を入手するのは本調査であるので，ウは誤り。
• 本調査の前に行う調査であるため，エは誤り。

問7

• システム監査基準（平成 30 年）における，改善提案のフォローアップに関する記述のうち，最も適切なものはどれか。

ア

監査対象部門と改善責任部門がともに改善を実施しないという意思決定を行った場合は,システム監査人が代わって改善を実施する。

イ

監査対象部門と改善責任部門によって実施された改善策が不十分な場合は，システム監査人が経営陣に追加の改善策の実施を指示する。

ウ

監査報告書の中で指摘事項とされたかどうかにかかわらず，監査調書に記載されたすべての不備に対して，監査実施状況のフォローアップを実施する必要がある。

エ

システム監査人は監査対象部門が提出した改善実施状況報告書の確認に加え，慶全内容の追加的な検証が必要かどうかを検討する。

正答 エ

*　システム監査人は監査の結果ぶ改善提案を記載した場合，その提案の結果状況が改善しているかどうかを確認し監視する必要がある。このようなシステム監査実施後のシステム監査人の役割をフォローアップという。
*　監査人の独立性と客観性を損なわないために，監査人は改善計画の策定やその実施に責任を持たない。
*　そのため，改善の実施やその指示を行うア，イは誤り。
*　すべての不備に対して実施するのではなく重要なものに対して実施するためウは誤り。

問8

• 提案依頼書（RFP）によるベンダ選定手続に関する。システム監査で判明した状況のうち，監査人が，私的事項として監査報告書に記載すべきものはどれか。

ア

RFP に，システム化要求事項のほか，あるべき業務モデルも添付していた。

イ

RFP 発表後，問合わせしてきた IT ベンダに対して追加資料を提供していた。

ウ

提案を希望する IT ベンダだけを集めて，RFP 説明会を実施していた。

エ

予算額の範囲を，RFP に明示していた。

正答 イ

問9

• データベースの直接修正に関して，監査人がシステム監査報告書で報告すべき指摘事項はどれか。ここで，直接修正とは，アプリケーションソフトウェアの機能を経由せず，特権 ID を使用してデータを追加，変更又は削除することをいう。

ア

更新ログを加工して，アプリケーションソフトウェアの機能を経由した正常な処理によるログとして残していた。

イ

事前のデータ変更申請の承認，および事後のデータ変更結果の承認を行っていた。

ウ

直接修正の作業時以外は，使用する直接修正用の特権 ID を無効にしていた。

エ

利用部門からのデータ変更依頼票に基づいて，システム部門が直接修正を実施していた。

正答 ア

• アはログの改ざんにあたるため指摘事項となる。
• イは適切な承認を経て変更を行いその確認も実施しているので指摘事項ではない。
• ウは特権IDの利用を制限する方法の1つであり指摘事項に該当しない。
• エは適切な方法により直接修正を行っていると考えられるため指摘事項に該当しないと判断できる。

問10

• 金融庁“財務報告に係る内部統制の評価及び監査に関する実施基準（令和元年）”における IT に係る業務処理統制に該当するものはどれか。

ア

外部委託に関する契約の管理

イ

システムの運用管理

ウ

システムの開発・保守に係る管理

エ

利用部門によるエラーデータの修正と再処理

正答 エ

• 財務報告に係る内部統制の評価及び監査の基準並び
  に財務報告に係る内部統制の評価及び監査に関する
  実施基準の改訂について（意見書）によると，ＩＴにかかる全般統制の具体例として以下が挙げられている。

  • システムの開発，保守に係る管理
  • システムの運用・管理
  • 内外からのアクセス管理などシステムの安全性の確保
  • 外部委託に関する契約の管理

• またＩＴに係る業務処理統制の具体例として以下が挙げられている。

  • 入力情報の完全性，正確性，正当性等を確保する統制
  • 例外処理（エラー）の修正と再処理
  • マスタ・データの維持管理
  • システムの利用に関する認証，操作範囲の限定などアクセスの管理

• アは全般統制の具体例である。

• イは全般統制の具体例である。

• ウは全般統制の具体例である。

• エは業務処理統制の具体例である。

問11

• SLA を作成する際に，サービスレベル項目（SLO），重要業績評価指標（KPI)，重要成功要因（CSF）の三つを検討する。検討する順序のうち，最も適切なものはどれか。

ア

CSF → KPI → SLO

イ

KPI → CSF → SLO

ウ

KPI → SLO → CSF

エ

SLO → CSF → KPI

正答 ア

• SLOとはService Level Objectiveの略で通信サービスやクラウドサービスにおいて，事業者が自社のサービスレベルに関する目標・評価基準を定めたもの。
• KPIとはKey Performance Indicatorの略。事業目標を達成するために実行すべきプロセスが，適切に実施されているかを数値として表現し評価するもの。
• CSFはCritical Success Factorの略で重要成功要因と呼ばれる。経営目標を達成するために重要な影響を及ぼす要因を表す。
• これらより，CSFをまず検討する必要がある。KPIは事業目標を達成するためのものなので，その次に検討する必要がある。最も具体的な項目として最後にSLOを検討，定義する。

問12

• 基幹業務システムの構築及び運用において，データ管理者（DA）とデータベース管理者（DBA）を別々に任命した場合の DA の役割として，適切なものはどれか。

ア

業務データ量の増加傾向を把握し，ディスク装置の増設などを計画して実施する。

イ

システム開発の設計工程では，主に論理データベース設計を行い，データ項目を管理して標準化する。

ウ

システム開発のテスト工程では，主にパフォーマンスチューニングを担当する。

エ

システム障害が発生した場合には，データの復旧や整合性のチェックなどを行う。

正答 イ

• DAはデータの概念設計や論理設計などを実施しデータそのものの管理を行う。
• DBAはDAが実施した論理設計をもとに物理設計を行い，データベースの構築，その後の運用設計や運用保守を行う。
• アは運用保守の内容に近いためDAの役割ではない。
• イは「論理データベース設計を行い」とあることからDAの役割といってよい。
• ウにあるパフォーマンスチューニングなどはDAの役割ではない。
• エのデータ復旧や整合性の確認はDAの役割ではない。

問13

• フェアユースの説明はどれか。

ア

国及び地方公共団体，並びにこれに準ずる公的機関は，公共の福祉を目的として他者の著作物を使用する場合，著作権者に使用量を支払う必要がないという考え方

イ

著作権者は，著作権使用料の徴収を第三者に委託することが認められており，委託を受けた著作権管理団体はその徴収を公平に行わなければならないという考え方

ウ

著作物の利用に当たっては，その内容や題号を公正に取り扱うため，著作者の意に反し，利用者が勝手に変更，切除その他の改変を行ってはならないという考え方

エ

批評，解説，ニュース報道，教授，研究，調査など，公正な目的のためであれば，一定の範囲で著作物の利用は，著作権の侵害に当たらないと評価される考え方

正答 エ

• フェアユースとは著作物を公正に利用する場合，著作権者の許諾がなくても，著作権の侵害にあたらないとする考え方。例えば，学校教育・報道・研究・調査などの目的で適正に利用する場合が該当する。
• アは著作権の侵害に関する記述がないため誤り。
• イは徴収についての説明なので誤り。
• ウは改変などに関する内容であり誤り。
• エはフェアユースの考え方に該当する。

問14

• 特許法によれば，企業が雇用している従業者が行った職務発明に基づく特許の取り扱いのうち，適切なものはどれか。

ア

企業は，承継した特許権について，特許庁が定めた対価の額を支払う必要がある。

イ

企業は，特許権については通常実施権を有する。

ウ

特許を受ける権利は，自動的に企業へ承継され，従業者と企業の共同特許となる。

エ

特許を受ける権利は，無条件に企業が取得する。

正答 イ

*　特許法第三十五条に以下の通り記載されている。イが正しい。

第三十五条　使用者，法人，国又は地方公共団体(以下「使用者等」という。)は，
従業者，法人の役員，国家公務員又は地方公務員(以下「従業者等」という。)が
その性質上当該使用者等の業務範囲に属し，かつ，その発明をするに至つた行為が
その使用者等における従業者等の現在又は過去の職務に属する発明(以下「職務発明」という。)
について特許を受けたとき，又は職務発明について特許を受ける権利を承継した者が
その発明について特許を受けたときは，その特許権について通常実施権を有する。

問15

• 技術者倫理のうち集団志向の問題点として，アーヴィング・ジャニスが指摘した八つの兆候のうち，“心の警備”の説明として，適切なものはどれか。

ア

集団に新しく加わったメンバなどが異議を唱える場合には，それを阻止して，集団を保護しようとする。

イ

自分の所属している集団は失敗することがなく，又は万が一失敗しても集団は存続すると考える。

ウ

他のメンバから特に意見が出されず，発信者以外の全メンバが沈黙している場合は，その意見を集団組織の一致した意見とみなす。

エ

反対する少数メンバがいる場合は，そのメンバに圧力を加えて統一した意見にさせる。

正答 ア

• 「心の警備」とはアーヴィング・ジャニスが「集団思考(group think)の課題を「集団思考の8つの兆候」というタイトルで8項目に区分整理し提示したものの1つ。
• 異議を唱える見解が入ってくる（例えば，部外者が自分の見解を集団に提示しようとする）のを防いで，集団を保護する，というもの。集団組織は，メンバーの中に異議を唱える新しいメンバーが入ってくる場合には，それを阻止して，その集団のこれまでの風土を保護しようとする傾向があるとしている。
• 正答はア。
• イは「集団は不死身の幻影」に該当する。
• ウは「満場一致の幻影」に該当する。
• エは「直接圧力」に該当する。

問16

• 恒常的に成果に結び付けることのできる個人の行動や思考特性を定義したものはどれか。

ア

SL 理論

イ

Y 理論

ウ

コンピテンシモデル

エ

マズローの欲求段階説

正答 ウ

• SL理論とは，リーダーシップは常に同じように発揮するものではなく，部下の状態によって異なるアプローチをしたほうがより効果的という理論。
• Y理論とは，人は産まれながらに嫌いということはなく，条件次第で責任を受け入れ，自ら進んで責任を取ろうとする，という性善説に基づいた理論。
• コンピテンシモデルとは，仕事で成果を上げる従業員（ハイパフォーマー）の行動に見られる特性を洗い出し，「理想の社員像」を策定すること。ウが正答。
• マズローの欲求段階説とは，人間の欲求は5段階のピラミッドのように構成されているとする心理学理論で，「生理的欲求」「安全の欲求」「社会的欲求」「承認欲求」「自己実現の欲求」の5つの階層に分かれているとされる。

問17

• AESの特性はどれか。

ア

鍵長によって，段数が決まる。

イ

段数は，6 段以内の範囲で選択できる。

ウ

データの暗号化，復号，暗号化の順に 3 回繰り返す。

エ

同一の公開鍵を用いて暗号化を 3 回繰り返し。

正答 ア

• AESでは鍵長は 128bit，196bit，256bit の3種類があり，それぞれ10，12，14回ほどラウンドと呼ばれる処理を繰り返す。よって正答はア。

問18

• サイバーセキュリティ基本法に基づき，内閣にサイバーセキュリティ戦略本部が設置されたのと同時に，内閣官房に設定された機関はどれか。

ア

IPA

イ

JIPDEC

ウ

JPCERT/CC

エ

NISC

正答 エ

• IPAはInformation-technology Promotion Agency, Japanの略。日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人。所管官庁は経済産業省。アは誤り。
• JIPDECは一般財団法人日本情報経済社会推進協会のこと。電子計算機を用いた各種情報処理方式及び情報処理産業の開発，振興を通じて，情報処理，情報処理産業の発展を図り，もって日本の経済社会の発展に寄与することを目的として設立されたもの。イは誤り。
• JPCERT/CCはJapan Computer Emergency Response Team Coordination Center の略。インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて，日本国内に関するインシデント等の報告の受け付け，対応の支援，発生状況の把握，手口の分析，再発防止のための対策の検討や助言などを，技術的な立場から行う。特定の政府機関や企業からは独立した中立の組織。ウは誤り。
• NISCとはNational center of Incident readiness and Strategy for Cybersecurityの略で，内閣官房に設置された内閣サイバーセキュリティセンター。「情報システムに対する不正活動の監視・分析」「重大事象の原因究明調査」「行政各部に対する監査等」「サイバーセキュリティに関する企画・立案，総合調整」などを行い，サイバーセキュリティ対策を推進している。エが正答。

問19

• 公開鍵基盤における CPS（Certification Practice Statement）に該当するものはどれか。

ア

認証局が発行するディジタル証明書の所有者が策定したセキュリティ宣言

イ

認証局でのディジタル証明書発行手続きを代行する事業者が策定したセキュリティ宣言

ウ

認証局の認証業務の運用などに関する詳細を規定した文書

エ

認証局を監査する第三者機関の運用などに関する詳細を規定した文書

正答 ウ

• CPSとはCA（Certification Authority：認証局）を運用する上での諸手続，セキュリティ基準など，CAの運用を規定する文書のこと。正答はウ。

問20

• 経済産業省が“サイバー・フィジカル・セキュリティ対策フレームワーク(Version 1.0)”を策定した主な目的の一つはどれか。

ア

ICT を活用し，場所や時間を有効に活用できる柔軟な働き方（テレワーク）の形態を示し，テレワークの形態に応じた情報セキュリティ対策の考え方を示すこと

イ

新たな産業社会において付加価値を創造する活動が直面するリスクを適切に捉えるためのモデルを構築し，求められるセキュリティ対策の全体像を整理すること

ウ

クラウドサービスの利用者と提供社が，セキュリティ管理策の実施について容易に連携できるように，実施の手引きを利用者向けと提供社向けの対で記述すること

エ

データセンタの利用者と事業者に対して“データセンタの適切なセキュリティ”とは何かを考え，共有すべき知見を提供すること

正答 イ

• サイバー・フィジカル・セキュリティー対策フレームワークとは，経済産業省が2019年4月18日に策定した様々な産業に求められるセキュリティ対策の全体像をまとめたフレームワーク。
• 従来のセキュリティ対策がサイバー空間におけるセキュリティを想定していたことに対し，CPSFでは「Society5.0」や「Connected Industries」におけるサプライチェーン全体のセキュリティの確保を目的としています。
• これまではSociety4.0と呼ばれており，人とサイバー空間は明確に区別されており，人は必要な時にパソコンやスマートフォンを使って，インターネットにアクセスして情報を得ていた。
• IoTの進化により，あらゆる人と物がインターネットでつながり，新しい情報を得られる社会になりつつある。このような新しい社会は「Society5.0」と呼ばれれている。
• サプライチェーンは高度にネットワーク化されることになり，物やサービスを提供する企業の努力だけで十分なセキュリティを確保するには限界に達しようとしている。Society5.0以降に登場すると想定される新たな脅威に対して，日本政府は「CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）」を策定した。
• これらのことよりイが適切。

問21

• 関係データベースのビューを利用する目的はどれか。

ア

DISTINCT 指定，GROUP BY 句及び HAVING 句をもつ演算処理を独立させて，プログラムに単純化したデータ更新手順を提供する。

イ

行や列を特定の条件で絞り込んだビューだけをアクセスさせることによって，基となる票のデータの一部を隠蔽して保護する手段を提供する。

ウ

データベースの物理的記憶構造の変更に影響されないように，アプリケーションプログラムに対して物理的データ独立性を提供する。

エ

複数の表を結合したビューにインデックスを付与することによって，複数の表にまたがった高度な検索手順を提供する。

正答 イ

• アについて，一般的なビューは更新できないものがあるため誤り。
• イは正しい。
• ウの記述はビューに限らず適用されるため誤り。
• エについて，ビューにインデックスは付与できるが，インデックスを付与したことで「高度な検索手順」が提供されるわけではないため誤り。

問22

• ブロードキャストストームの説明として，適切なものはどれか。

ア

1 台のブロードバンドルータに接続する PC の数が多過ぎることによって，インターネットへのアクセスが遅くなること

イ

IP アドレスを重複して割り当ててしまうことによって，通信パケットが正しい相手に到達せずに，再送が頻繁に発生すること

ウ

イーサネットフレームの宛先 MAC アドレスが FF-FF-FF-FF-FF-FF で送信され，LANに接続した全ての PC が受信してしまうこと

エ

ネットワークスイッチ間にループとなる経路ができることによって，特定のイーサネットフレームが大量に複製されて，通信が極端に遅くなったり通信できなくなったりすること

正答 エ

• アは輻輳(ふくそう)の説明であるため誤り。
• イは記述内容自体が誤り。重複する設定をした場合でもいずれかの相手に到達する。(どこにパケットが到達するかはARPテーブルの状態に依存する)
• ウはブロードキャストフレームの説明であるため誤り。
• エはブロードキャストストームの説明であるため正しい。

問23

• 新システムの受け入れ支援において，利用者への教育訓練に対する教育効果の測定を，カークパトリックモデルの 4 段階評価を用いて行う。レベル 1 (Reaction)，レベル 2 (Learning)，レベル 3 (Behavior)，レベル 4 (Result) の各段階にそれぞれ対応した a ～ d の活動のうち，レベル 2 のものはどれか。

ア

受講者にアンケートを実施し，教育訓練プログラムの改善に活用する。

イ

受講者に行動計画を作成させ，後日，新システムの活用状況を確認する。

ウ

受講者の行動による組織業績の変化を分析し，ROI などを算出する。

エ

理解度確認テストを実施し，テスト結果を受講者にフィードバックする。

正答 エ

• カークパトリックモデルとはアメリカの経営学者のカークパトリックが提案した教育の評価法のモデルで，4つの段階で評価を行う。
  • レベル1(Reaction:反応)
    • 受講直後のアンケート調査などによる学習者の研修に対する満足度の評価
  • レベル2(Learning:学習)
    • 試験やレポート等による学習者の学習到達度の評価
  • レベル3(Behavior:行動)
    • 学習者自身へのインタビューや他者評価による行動変容の評価
  • レベル4(Results:業績)
    • 研修受講による学習者や職場の業績向上度合いの評価
• レベル1，2は研修実施時に評価を実施して評価結果を次回の教育プログラムの改善や効果測定に用いる。
• レベル3，4はそのプログラムを継続するかどうかを決めるときの統括的評価に用いる。
• アはレベル 1 (Reaction)に該当する。誤り。
• イはレベル 3 (Behavior)に該当する。誤り。
• ウはレベル 4 (Result) に該当する。誤り。
  • ROIとはReturn On Investmentの略で，投じた費用に対してどれだけの利益を上げられたかを示す指標。投資収益率や投資利益率と呼ぶ。
• エはレベル 2 (Learning)に該当する。正答。

問24

• VRIO 分析はどれか。

ア

環境要因を外部環境の機会と脅威，内部環境の強みと弱みに分類し，それら四つの組み合わせから重要成功要因を導出する。

イ

自社の経営資源について，経済的価値，希少性，模倣困難性，組織の四つの観点で評価し，市場での競争優位性をどの程度有しているかを分析する。

ウ

市場成長性の高低と自社の市場のシェアの高低から，自社の事業を，金のなる木，花形，問題児，負け犬の四つの分類し，経営資源の配分を検討する。

エ

複数の重要成功要因を，財務の視点，顧客の視点，内部ビジネスプロセスの視点，学習と成長の視点の四つに分類し，総合の関係性を踏まえて戦略目標を定める。

正答 イ

• VRIO分析とは，自社の経営資源の競争優位性を明確にするためのフレームワーク。 Value（経済的価値），Rarity（希少性），Inimitability（模倣可能性），Organization（組織），の頭文字を並べた言葉。
• アはSWOT分析の説明。強み（Strength）」「弱み（Weakness）」「機会（Opportunity）」「脅威（Threat）」の頭文字を取ったもので。自社にとっての市場機会や事業課題を発見する。誤り。
• イはVRIO分析の説明であるので正答。
• ウはPPM分析(Product Portfolio Managementの略)の説明で，複数の独立した事業をもつ企業が，どの事業にどれだけの投資を行うかという戦略を手助けするためのフレームワークのこと。誤り。
• エはバランススコアカード(BSC)の説明で，企業のもつ重要な要素が企業のビジョン・戦略にどのように影響し業績に現れているのかを可視化するための業績評価手法。厳密には業績評価のための方法である(戦略目標を定めるものではない)が，いずれにしても誤り。

問25

• 部品や資材の調達から製品の生産，流通，販売までの，企業間を含めたモノの流れを適切に計画・管理し，最適化して，リードタイムの短縮，在庫コストや流通コストの削減などを実現しようとする考え方はどれか。

ア

CRM

イ

ERP

ウ

MRP

エ

SCM

正答 エ

• ア CRM は Customer Relationship Management （顧客関係管理）の略。顧客満足度と顧客ロイヤルティの向上を通して，売上の拡大と収益性の向上を目指す経営戦略/手法のこと。誤り。
• イ ERP は Enterprise Resource Planning （企業資源計画）の略。企業全体を経営資源の有効活用の観点から統合的に管理し，経営の効率化を図るための手法・概念のこと。誤り。
• ウ MRP は Materials Requirements Planning （資材所要量計画）の略。工場などで使われる生産管理手法の一つ。 誤り。
  • 参考：MRPは事前の登録需要に基づき補充促進されるのに対しかんばん方式は実際の需要によって補充促進される。かんばん方式はMRPを見たのち日本で考案，実現された。
• エ SCM は Supply Chain Management（供給連鎖管理）の略。問題文の解説通りの内容。正答。

最後に

• 出典：令和2年度 システム監査技術者試験 午前II 問題問1から問25まで