化け猫情報処理論文集 システム監査技術者平成8年問3



 (=^^=;;


 
問3 情報システムのアウトソーシングの監査について

 情報システムの投資額と運用コストの削減、委託先企業の専門的能力の効果的利用などを目的として、情報システムの開発・運用・保守などの業務の一部又は全体をアウトソーシングする企業が増加しつつある。
 情報システムの運用業務をすべてアウトソーシングする場合、委託元企業にとっては、情報システム技術の空洞化及び情報システムの安全性・信頼性・効率性などの確保に対する新たな課題が生じてくる。 特に、情報システムの安全性・信頼性・効率性は、委託先企業の提供するサービス品質に依存する比率が大きく、委託元企業の直接的なコントロールが及び難いという制約がある。
 情報システムの運用業務をアウトソーシングした場合に、その情報システムの安全性・信頼性・効率性を監査するためには、システム監査人は委託元企業での内部統制に加えて、委託先企業のサービス品質を含めた監査を実施して、目標と現実の差異を明確に把握、指摘し、改善への提言を行うことが必要とされる。
 あなたの経験と考えに基づいて、設問ア、イ、ウについてそれぞれ述べよ。

 
 設問ア あなたがかかわった情報システムの概要と、その情報システムの運用業務をアウトソーシングする場合に予想される効果と制約について、800字以内で述べよ。 
 設問イ 情報システムの運用業務をアウトソーシングした場合、情報システムの安全性・信頼性・効率性を確保するために、委託元企業として内部統制上留意すべき点について述べよ。 
 設問ウ 設問イで述べた内部統制の有効性を監査する場合の、監査目標と監査手続について述べよ。

 



(平成13年1月執筆)
(設問ア)
1.インターネットを利用した通信販売システム
1.1.本システム導入の背景とシステムの概要
 当社は年商約1千億円の中堅食品メーカーで、国内で
製造した製品だけ出なく、欧米等から輸入した食品の販
売も行っている。近年の不況下にあって流通業界の再編
が進み、従来のように卸業者へ食品を販売することだけ
に頼り切った経営が早晩成り立たなくなることが予想さ
れている。そこでインターネットを利用して消費者に直
接商品を販売することになった。
 本システムは、1)嗜好品の要素が強い輸入食品につい
ての情報提供の部分と実際にそれらの食品の通信販売を
申し込むための機能からなるホームページ、2)受注情報
を取りまとめ、出荷手配から経理処理までを行うシステ
ム、の2つから成り立っている。
1.2.本システムのアウトソ−シング
 当社には情報システムの開発はおろか、運用を担当で  400
きる社員もいないので、従来から全てアウトソーシング
している。本件も同様であるが、本システムの運用を自
社で行うとすると、設備費等は数百万円で済むが、新た
に専門要員数人を雇用する必要がある。その人件費や必
要となる事務書スペース等の固定費は年間約5千万円と
計算された。外部に委託した場合の費用は年間約3千万
円であるので、アウトソーシングを選択したのである。
 アウトソーシングによってシステムの信頼性・案税制
は委託先のSIベンダに依存することになるが、これは
制約というよりも、プロの技術に任せるということでプ
ラスの面が大きい。しかし商品情報の更新等が自分達で
随時出来ないことは大きな制約となっている。
 なお、私は子会社に出向して上級システムアドミニス
トレータとして業務革新に当たっていたが、このシステ
ムの運用開始直前に本社に戻って、当プロジェクトにつ
いて検証する業務に就いている。            800

(設問イ、ウ)
2.当社の内部統制上の留意点
 アウトソーシングしたシステムの安全性・信頼性・効
率性を確保するためには、個々の項目について具体的に
求められる要件を定義し、委託先企業と当社との責任関
係を明確にして、契約に盛り込むことが必要である。ま
た、契約にはそれぞれの要件に関して委託先が定期的に
当社に報告することや、必要に応じてシステム監査を受
け入れる義務なども明文化しておく必要がある。以下に
安全性・信頼性・効率性の観点から、契約に盛り込むべ
き事項について述べる。
2.1.安全性確保のためのコントロール
1)自然災害等に対する安全性
 当システムが置かれているサーバその他のハードウェ
アは、情報システム安全対策基準等に準拠した安全な場
所に設置されていること。
2)不正アクセス等に対する安全性            400
 ホームページや受注を処理するシステムの内容が、悪
意の第三者により改ざん・破壊されないために必要な対
策を取ること。また、受注内容等の顧客の個人情報や当
社の売上状況等の情報が外部から盗み出されないよう対
策を取ること。なお、以上のセキュリティが破られた場
合の委託先の賠償義務等についても定める必要がある。
2.2.信頼性確保のためのコントロール
 システムが停止することは販売機会の損失に直結する
ので、システムの二重化等の技術により極力停止するこ
とのないようにすること。万一システムが停止した場合
にも、迅速かつ正確にシステムが復旧するよう対策を講
じること。なお、一定時間以上のシステム停止について
もペナルティを定める必要がある。
2.3.効率性確保のためのコントロール
 効率性については、運用段階でのSIベンダの責任で
はないようであるが、効率性を改善するための保守に対  800
して柔軟に対応することが望まれる。そこで、当社から
の要求に従ってホームページの内容やシステムの諸機能
を可及的速やかに変更する義務を委託先に負わせること
が必要となる。
3.内部統制の有効性の監査
 以下に安全性・信頼性・効率性の確保のための内部統
制の有効性について監査する場合の監査目標と監査手続
について述べる。
 監査目標は契約に以下の点が遺漏なく盛り込まれてい
るかを確認することである。監査手続としては、このこ
とを確かめるため、契約書の内容を調査し、不審な点が
あれば関係者や委託先の現場の調査およびヒアリングを
行って、監査証拠を収集する。
3.1.安全性の確保
1)建物・設備は災害・侵入等の想定されるリスクを回避
 できる環境に設置してあること。          1200
2)サーバへのアクセスの管理ルールを定め、遵守してい
 るか、またアクセスコントロール及びモニタリングが
 有効に機能しているか。
3)データ管理ルールを定め遵守しているか。データの扱
 いに関して、不正防止及び機密保護の置策を講じてい
 るか。人員への教育は適切に行われているか。
3.2.信頼性の確保
1)ハードウェア管理ルールを定め遵守しているか。また
 ハードウェアは障害対策を講じ、かつ定期的に保守を
 行っているか。
2)障害発生時の復旧手順が定められているか。またデー
 タのバックアップは迅速かつ正確な復旧のために必要
 なタイミングで行われているか。
3.3.効率性の確保
1)データの書き替え等を効率的に行えるよう、データ管
 理ルールが定められているか。           1600
2)システムに変更を加える必要が生じた場合に備え、保
 守に必要なドキュメントの引継ぎ、手順の決定と責任
 者の承認等が正しくなされるよう定められているか。
3)保守に関する設計書等を当社が承認した上で保守が開
 始されるように定められているか。
4)保守後のシステムは十分なテストを行い、当社の承認
 を受けることが定められているか。またテスト結果を
 保管するルールが定められているか。
5)変更前のデータやプログラムのバックアップがなされ
 ているか。


<みなさんのコメント要旨>

  • (工事中)。085 098





化け猫情報処理論文集   情報処理技術者試験午後 II 論文コーナー   化け猫屋敷に戻る