Click here to visit our sponsor 


----------------------------------------------------------------------

(アウトソーシングの開発段階における監査について)

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.アウトソーシングの目的と概要 
----------------------------------------------------------------------
 私は、大手金融機関で情報システムの新規開発部門に
昨年まで所属しており、今年度から内部監査員として社
長直下の監査室に配属となった。特に私の場合は8年前
に転職して現在の会社へ入社した事から、過去の他社
(流通業、製造業、金融業)での経験を踏まえた監査を
実施する事が期待されている。

 長引く日本経済の低迷に伴い、金融業界最大手の我社
においても生き残りをかける取組みが重要であり、顧客
サービスの向上及び情報システム関連経費の削減が必須
の経営課題となっている。そこで以下の対応が必要とな
った。
 ・顧客向けオンラインサービスの向上。
 ・全職員の情報システムの積極推進。
 ・新たなシステム構築に伴う費用の削減。等

 現在、インターネットを利用した顧客向けオンライン
サービスの開発や職員が常に最新情報をタイムリーに収
集、活用し、迅速な判断や顧客サービスに対応可能とす
る為の情報システムの積極的な活用を図った業務遂行を
推進している。しかし、それらの新たなシステム構築に
関わる費用を従来より抑止する事が必要である為、当社
独自の閉塞的なネットワークシステムを構築するのでは
なく、Web環境等インターネットを活用したシステム
化を目指している。

 今回の案件については当社ではノウハウ的に弱い最新
技術を必要とし、短期間で低コストを実現させると言う、
厳しい条件で案件化された。この厳しい条件をクリアす
る為に、当該ソフト開発にあたっては案件の最新技術に
ついて経験とノウハウがあり、十分な開発要員や体制を
抱える系列子会社に一括請負でアウトソーシングするこ
とに決定した。この会社は以前から当社と取引実績もあ
り、堅実な仕事内容や過去の当社の期待に十分貢献して
いただいた実績も高く評価されている。尚、今回の当該
開発案件は一括請負契約にて実施し、委託範囲は当社で
基本設計を実施した内容を元に、詳細設計から開発及び
システムテストまでと取り決めた。今回の案件の開発は、
委託先での開発を可能とし、必要であれば当社の開発環
境を貸与可能としている。その上、当社基本設計担当責
任者を委託先へ派遣し開発責任者として設置した。
----------------------------------------------------------------------
2.私の役割
----------------------------------------------------------------------
 私は当社の内部監査員として監査室に在籍している事
もあり様々な案件に対してシステム監査を担当している。
当該案件については今後、当社の外販戦略商品として位
置付けられ、他金融機関への営業展開を実施する事もあ
る為、今後力を入れて行く予定である。しかし、前述の
とおりスケジュールや予算面等についても厳しい条件下
で実施し、是非成功させなければならない。そこで今回
は当該案件のアウトソーシングに関する開発段階の監査
を実施することになった。開発段階でのアウトソーシン
グ監査については、事前に委託先との契約締結の際、委
託元が随時請負側に対して監査できる様に契約条項に規
定している。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
1.当該アウトソーシング実施にあたって考慮すべきリスク
----------------------------------------------------------------------
 私は、開発段階では次の事項の検討を行う必要がある
と考えた。

(1) 当該案件の企業戦略における位置付けと対応状況の
 評価
(2)リスク分析

 今回アウトソーシングにおいて想定されるリスクは以
下の通り。

(1) 開発スケジュールの遅延。
(2) 業務内容と委託先の内容認識のズレによるトラブル。
(3) 委託元が期待する成果物と委託先から提出された成
 果物との相違。
(4) 仕様の決定や変更管理がスムースに行えない。
(5) 品質にばらつき。
(6) 機密情報等が外部に漏洩。

----------------------------------------------------------------------
2.上述リスクの適切な管理を実施する為に、開発段階で行う
  べきことは以下のとおりである。
----------------------------------------------------------------------
(1) 開発標準の統一化を行う。
(2) 委託先責任者へ十分なヒアリングを行う。
(3) 委託先開発環境の現場を視察する。
(4) 開発手順、方法、管理の手順を説明し周知徹底する。
(5) 委託先に定期的なレヴューを義務付ける。
(6) 仕様確定、変更等が適切に管理できる体制や運営
 ルールになっているか確認する。
(7) 要求仕様については書面にて明確化する。
(8) 各工程の成果物や検証ポイントにおいて必ず
 レヴューし記録に残す。
(9) 検収項目について明確に記載しておく。
(10) 変更管理を一元化する。
(11) 委託側と委託先の双方の窓口と責任者を明確にして
  おく。
(12) 開発業務の第三者委託を禁止する。
(13) ドキュメントや成果物の社外持ち出しは禁止する。
(14) 重要資料等の保管は不正アクセスできない場所に保
  管することを義務付ける。
(15) 情報管理について設置場所の入退室記録や管理を徹
  底することを義務付ける。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
 私は前述内容を踏まえ、アウトソーシングの実施状況
に関する監査要点を以下に述べる。

(1) 開発計画及びスケジュール調整は双方の責任者が承
 認しているか。
(2) 進捗管理の方法、体制を定め、各工程の責任者が承
 認しているか。
(3) 進捗の遅延等が発生した場合対策を講じているか。
(4) 開発業務の各工程終了時に計画に対する実績を分析、
  評価し次工程に反映しているか。
(5) 開発方法、手順、運営ルールは委託元責任者が承認
  しているか。
(6) 開発担当者の役割分担は明確になっているか。
(7) 成果物作成、変更、更新ルールを定め、遵守してい
 るか。
(8) 成果物作成、変更、更新ルールに関して責任者が承
 認しているか。
(9) 成果物の保管、廃棄は不正防止、機密保護の対策を
 講じているか。
(10) 開発担当者を決定しユーザIDやパスワード等のアク
 セスコントロールが適切に行われているか。
(11) 委託先開発担当者の教育、訓練はカリキュラムに基
 づき効率的に行っているか。
(12) あらゆる問題点が発生した場合、客観的な基準に基
 づいて最適な対策を選択しているか。
(13) 適切なマネジメントを実施できる組織を確立し、機
  能しているか。
(14) 常にリスクを分析し、適切な対策を実施しているか。




以上です。

少しはマシになりましたでしょうか?
よろしくお願い申し上げます。
[ 戻る ]