----------------------------------------------------------------------
企業間連携を支援する情報システムの監査について
----------------------------------------------------------------------
----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
ア−1.S社の概要
----
中堅建設業のS社は、ビル・マンションの改修・改装
工事の請負を中心事業とする。部員130名を、川崎本
社と全国12の支店に配している。ビル・マンションの
管理会社が主要な顧客である。
S社の競争力の源泉は、下請・外注業者に対する支払
条件である。通常、月末に締められた請求金額は翌月15
日に支払われる。マンションの大規模改修工事は、秋季
に集中するので、資金繰りの負担は大きく、業界で支払
期間15日を維持しているのはS社だけである。
改修業界の下請業者は零細企業や個人工務店が多く、
手形支払に対する資金力がないので、S社の支払条件は
魅力的である。それゆえにS社は優秀な下請・外注業者
を確保する事が可能で、競合他社と優位に立っている。
----
ア−2.企業間連携の情報システム
----
現在のS社の支払期間を維持する為には、月末時に全
外注の請求書データが揃っていなければならない。次に、
翌月1〜2日間で、請求金額を動員実績や実行予算と比
較し査定する。
S社では、これまでこの査定作業を効率化する為に、
動員実績の報告、実行予算の予実管理などをシステム化
して来た。外注先の請求書も、実質上S社にて代行印刷
して配布している。
S社は、さらに3ヶ所の支店開設と売上5割増の3ヵ
年計画を策定した。当然、資金繰りの負担と月末処理の
負担はさらに増加する。将来的には、資金需要の予測精
度や予実管理の為に、リアルタイム処理の情報システム
も必要である。
S社の「翌15日現金払い」を維持する為に、下請・
外注先も取り込んだ、外注請求管理、現場動員管理、予
実管理のシステム再構築が検討されている。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
イ−1.考慮すべきリスク
----
わたしは、S社の工事本部に属し、担当役員直下で、
企画・管理にあたっている。前述した情報システム再構
築の企画は経理部と情報システム部から上がってきたも
ので、わたしは工事本部として業務部門の代表の立場か
らこの企画を検討した。
本システムは企画段階であり、次のような点が考慮す
べきリスクとして挙げられる。
a.経営戦略・情報戦略との整合性
単に月末処理・事務処理を効率化するといった観点だ
けでなく、将来にわたって優秀な外注業者を確保でき
る視点で企画されているか?
b.取引企業の立場での可用性
外注業者が積極的に正しく運用・利用できる様に企画
されているか?単にS社システムの端末を延長したの
ではなく、運用・利用する外注業者の立場やメリット
も検討されているか?
c.業務上・システム上の標準の線引き
S社の外注業者は個人工務店から中堅会社まで多岐に
わたるが、情報システムとして設計する場合の、業務
上、システム上の標準(業務プロセス、操作性)をど
うやって割り出そうとしているか?
d.実運用上の安全性
運用する場所としては、外注業者の自宅・事務所の他
に、S社の工事現場事務所もある。また、全業者が導
入できず、例えば1台の端末から複数業者が利用する
といった場合にも適用できる安全性の検討が必要であ
る。
----
イ−2.リスクを低減するコントロール
----
a.経営戦略・情報戦略との整合性
社長を含む役員によるレビューを定期的に行なう。
企画要員に工事業務部門の部員も加える。
b.取引企業の立場での可用性
外注業者への説明会を行う。説明会へは、外注業者の
トップだけでなく、現場・事務担当者にも参加しても
らう。
c.業務上・システム上の標準の線引き
外注業者の情報リテラシ土の調査を行なう。
また、業者登録、安全協力会、ISO運用上で得た外
注業者のデータも、企画時の検討資料に加える。
d.実運用上の安全性
通信・アクセス状況に応じたログイン方法、暗号化や
回線の選択を準備する。
S社の基幹・勘定系システムと切り離し、必要なデー
タだけを保持する。
----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
ウ−1.情報システムの可用性の監査手続き
----
a.企画段階においては、外注業者の説明会への参加状況
や理解度・アンケート結果などが文書として保持され、
設計資料として使用可能であるか監査する。
b.開発段階においては、外注業者のレベルを考慮した設
計及びテストが行われたかどうかを文書上で監査する。
c.運用段階においては、実際の利用・入力状況をログ分
析して、月末に集中していないかどうか、アクセス場
所は設計時の想定どおりであるかどうかが記録・確認
されているかを監査する。
----
ウ−2.情報の整合性
----
a.テスト段階において、実際の地理的・時間的制約を加
味したテストが行われたかどうかの証跡文書を監査す
る。その制約条件の設定根拠の文書もポイントである。
b.運用段階では、実際に外注業者の端末場所でのログが
本社サーバのログと一致するか、時系列に分析されて
いるかどうかの証跡を監査する。
[ 戻る ]