Click here to visit our sponsor



----------------------------------------------------------------------

N社アウトソーシング事業に対するシステム監査結果の開示

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.システムの概要と利害関係者との関係
----------------------------------------------------------------------
1.1.私の立場
----
 N社は、事業の一つとしてアウトソーシングサービス
を提供するシステムインテグレータである。私はこれま
で内部監査人としてN社情報システムの監査、および顧
客企業からの外部監査の対応にあたってきた。しかし、
最近になって一部の顧客よりシステム監査の効率化のた
め、第三者による監査の実施と報告書の提示が求められ
るようになりこれに対応している。

----
1.2.顧客連企業とA社情報システムの関連
----
 N社の、サービスメニューとしては、以下のようなも
のが挙げられる。
a.小規模スーパの受発注管理・RFIDを使用した入出庫管
 理など基幹業務に類するサービス。(ASP)
b.パソコン・携帯向けのホームページの作成・設置など。
 (ホスティング)
c.顧客の用意する計算機の設置。(ハウジング)
 また、メール配信・ホテル予約などサービスの一部に
は、個人情報を取り扱う場合もある。

----
1.3.情報システムのリスクが利害関係者に与える影響
----
 信頼性という観点において、N社の情報システムが停
止した場合、全ての顧客は影響を受ける事になる。特に、
顧客企業の基幹業務の一部である業務でが停止した場合、
顧客の販売機会損失や人手による代替運用による業務効
率の低下など、システム停止の与える影響は大きい。
 一方、安全性という観点では個人情報を取り扱ってい
ることから、外部からの侵入等による情報漏えいはあっ
てはならない。万が一、個人情報が漏えいした場合には、
N社は勿論のこと、顧客企業の社会的信頼性は失われる
事になる。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.利害関係者への開示を前提とした監査報告書の内容
----------------------------------------------------------------------
2.1.監査証跡の開示
----
 私は、利害関係者が監査報告書を使用する際の最も重
要な関心は、安全性・信頼性が保証されていることにつ
いて、確証を得る事にあると考える。特に、保証されて
いることの結果だけでなく、その根拠を示すことが重要
である。
 例えば、個人情報保護に関しては、情報の収集・蓄積・
利用おのおのの業務プロセス・システム機能・構成の概
要を示し、個人情報保護対策が充分であることを証明し
なければならない。
 また、受発注管理であれば、発注商品・数量が正しく
メーカに転送されている事を、稼動段階においてはシス
テムのログ、システム変更段階においてはテスト結果よ
り証明しなければならない。
 同様に、計算機の設置環境・障害対策についても、
バックアップを取得する頻度・保管方法や、代替機の有
無などを示さなければならない。
 以上の通り、監査結果だけで無く、その根拠を監査報
告書に盛り込むことにより、利害関係者が監査結果を正
しく理解・評価する事が可能になると考える。

----
2.2.利害関係者の環境に対する配慮
----
 システム監査人は、特に指定が無い限り、全てのサー
ビスに対して監査を実施する事となる。ここで注意すべ
き事は、利害関係者が利用するサービスは限定される点
にある。つまり、監査報告書は、利害関係者が自社環境
に照らし合わせ、利用し易い形で整理されていなければ
ならない。
 例えば、システム監査のポイントを縦軸に、サービス
の種類を横軸にしたマトリクス表をインデクスにし、具
体的な監査結果に関連付ける方法がある。この場合、縦
軸・横軸の例としては、以下のような項目が挙げられる。
(縦軸)a.障害対策, b.性能管理, c.システム変更管理
(横軸)1)ASP, 2)ホスティング, 3)ハウジング
 例えば、b.性能管理は、3)ハウジングサービスにおい
ては、利害関係者の責任であり、該当の監査結果を利害
関係者が精査する必要は無い。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.開示された監査報告書を利用する場合の留意事項
----------------------------------------------------------------------
3.1.監査報告書の精査
----
 監査報告書に記載されている監査結果が妥当であるか、
監査報告書に含まれる監査証跡から判断しなければなら
ない。もし不明な点がある場合には、監査対象となる企
業もしくは監査を行った第三者に調査表を提出し回答を
求めるなどの対応を行う必要がある。

----
3.2.自社環境への置き換え
----
 (設問イ)で述べた通り、監査報告書は利害関係者が
利用し易い形で整理されるべきである。これを内部監査
人が利用する場合には、確実に自社に関わりのある監査
結果を確実に洗い出し、さらに自社における重要度に応
じて、監査報告書および精査の結果を段階的評価を行う
べきである。

----
3.3.改善勧告の対応状況
----
 第三者による監査の目的は、従来の助言を目的とした
ものでは無く保証にある。しかし、信頼性・安全性を著
しく損なうリスクについては、改善勧告として指摘を受
けているはずである。利害関係企業が、開示された監査
報告書を使用する場合には、過去数回の監査報告書を入
手し、改善勧告を受けた事項が適切に改善されているこ
とを確認すべきである。

----
3.4.複数の監査報告書を比較する場合の留意事項
----
 利害関係者が監査報告書を利用する場合として、新た
にシステムの委託先企業を検討する場合がある。その場
合には、複数の委託先候補から監査報告書を取り寄せ、
比較検討を行う事になる。ここで留意すべきことは、複
数の委託先候補の間では、異なる第三者により監査が実
施されていてることにある。例えば、「障害対策として
バックアップ機が用意されている」という記述だけでは、
同等の障害対策が実施されているとは判断できない。何
故ならば、ホットスタンバイ・コールドスタンバイなど、
待機形態によりサービス停止の時間は異なる。
 以上の通り、複数の監査報告書を比較する場合には、
記載内容の持つ意味、数値であれば計算根拠などについ
て確認を行った上で、比較すべきである。





[ 戻る ]