G社は、機械部品を製造販売する中堅の上場企業である。最近、G社の監査部員がシステム監査に関する外部セミナに参加し、ソフトウェア保守の不適切な管理にまつわるリスクについての知識を得た。監査部では、G社の管理が適切かどうかを確認するために、基幹システムのソフトウェア保守について監査することにした。 【ソフトウェア保守の現状】 G社は、生産・販売・購買・会計の業務を統合的に扱うクライアントサーバ型の基幹システムを使用しており、そのソフトウェア保守はシステム部システム課の課長を含めた4名の社員で対応している。作業の手順は次のとおりである。 (1) ソフトウェア保守が必要な場合は、利用部門の担当者が変更要求書を作成し、利用部門の責任者の承認を得た後、システム課に電子メールで提出する。変更要求書への記載内容は、作成年月日、作成部門、作成者、該当システム、理由、内容、希望納期、緊急度である。 (2) システム課では、変更要求書を受け付けると、担当者が、システム設計書とプログラム設計書を基にして、プログラムの変更箇所を調査する。調査では、プログラム変更内容と他システムへの影響をチェックし、作業工数を算出する。調査結果をレビューして、システム課長が変更要求を承認する。 (3) システム課の担当者は、承認された変更について、システム設計書、プログラム設計書及びプログラムを変更し、その後システムテストを実施する。システムテストの計画と結果は、システム課長が承認する。 (4) システムテスト後に実施する受入れテストには、利用部門も参画する。受入れテストの計画と結果は、利用部門の責任者及びシステム課長が承認する。 (5) システム課の担当者がプログラムの本番移行計画を作成し、システム課長が承認する。承認が得られた後、変更前のプログラム及びデータのバックアップを取得し、プログラム変更者自身がプログラムを本番環境に反映させて、作業を終了する。システム課では、受付順に(2)～(5)の処理を行っている。 この手順をまとめると、図1のとおりになる。 【監査の留意点】 今回の監査を担当する監査部のメンバ（以下、監査チームという）は、基幹システムのソフトウェア保守の監査方針として、管理の適切性に加え、業務の効率向上の観点からも監査を行うことにした。 また、外部セミナでの次のような他社事例も念頭におくことにした。 ・ソフトウェア保守に関する手順が守られておらず、誤った手順で行われた場合や誤った作業が行われた場合の発見的コントロールが考慮されていなかった例 ・監査人が、被監査部門とのインタビュー内容を誤解したまま監査を進めた結果、監査意見が誤ったものになってしまった例 ・監査人が、真の原因を把握せずに監査を進めた例 以上を受けて、監査チームは個別監査計画を文書化し、監査部長がこれを承認した。 【インタビュー結果】 監査チームは、ソフトウェア保守作業の状況を把握するために、利用部門とシステム課にそれぞれインタビューを行った。システム課のインタビュー時、①システム課長が、以前、部下であった監査チームのH君に、細かな問題点は指摘しないよう依頼していた。

(1) 本文中の下線②の改善勧告の内容は、どのようなものか。システム課が何を行うべきかを含めて、40字以内で述べよ。

(2) 本文中の下線③において、既に開始した対策では不十分と考えた理由を、40字以内で述べよ。

(3) 本文中の下線④における、予防的コントロールの観点からの改善勧告と、発見的コントロールの観点からの改善勧告を、それぞれ30字以内で具体的に述べよ。