Click here to visit our sponsor 


----------------------------------------------------------------------

製造業向けシステム開発ベンダに対する監査

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1. 私が担当した組織の業務および情報システムの概要と
 安全性,信頼性が利害関係者に及ぼす影響
----------------------------------------------------------------------
 私が外部監査人として監査を担当したT社では生産計
画スケジューラパッケージを核としたサプライチェーン
マネジメントソリューションを製造業の顧客企業に提供
している。T社では単に生産計画スケジューラパッケー
ジを導入するだけでなく,顧客の業種によりパラメータ
のチューニングやアドイン機能開発を行っている。

 パラメータのチューニングやアドイン開発において,
その仕様策定に際しT社顧客企業が長年培ってきた製造
ノウハウを盛り込むことが多い。たとえば,段ボール業
界では製造するケースの仕様にあわせて使用する原紙を
変える必要があるが,その変更の仕方についてのノウハ
ウが顧客企業ごとにそれぞれ培われている。このような
製造ノウハウは,顧客企業にとって製品の市場における
優位性を決定づけるものであるため,T社と顧客企業の
間で守秘義務契約を結ぶ事例も多い。本論文ではT社が
R社の生産計画システム開発を行った際に実施した監査
を例にとり論述する。

 T社とR社の関係に注目した場合,機能設計,および
開発作業時における顧客ノウハウの流出という問題があ
る。この問題が顕在化した場合,次のような安全性リス
クが生じることが予想された。R社の製造ノウハウが同
業他社に流出し,結果として製品の市場優位性の低下,
および収益の低下を招くという事態が発生するリスクで
ある。このようなリスクが顕在化した場合,R社のみな
らず他顧客企業からのT社に対する信用を失いかねない。
場合によっては損害賠償責任を問われ,経営上のリスク
となることが予想される。上記のリスクが顕在化した場
合,既存顧客離れや新規顧客の開拓がしにくくなると言
った営業活動などの各企業活動への影響が予想できた。


----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.監査報告書を適切に利用できるために盛り込むべき内容について
----------------------------------------------------------------------
2.1. 監査報告書の適切性について
----
 私はT社に対する監査についてはR社との守秘義務契
約に沿った機能設計作業,および開発作業が行われてい
るかという観点からの監査を行うことが重要と考えた。
このような観点から以下の項目が少なくとも盛り込まれ
ている必要がある。

a.監査目的
 この場合,R社に開示されることを前提に考えた場合,
次のような監査目的が明確に盛り込まれている必要があ
る。
 ア) 守秘義務契約に沿った機能設計プロセスおよび開
   発作業プロセスについての文書が存在すること
 イ) ア) に示した機能設計プロセスおよび開発作業プ
   ロセスに沿った作業が実施されていること
 ウ) R社から機能設計,および開発作業に際し借用も
   しくは提供された文書,データの管理方法につい
   ての文書が存在すること。
 エ) ウ) に示した文書にそったR社からの借用もしく
   は提供された文書,データの管理がなされている
   こと
 オ) 機能設計および開発の各担当者に対し,
   上記ア) 〜エ) についての教育が十分になされて
   いること
 以上にあげた項目について個別監査計画書に明確に記
載している必要がある。

b.監査プロセスおよび手続きの適切性
 監査のプロセスについてはシステム監査基準を基本的
に使用した。ただし,T社に対する監査報告書がR社に
開示されることに注意し,a.,ア)〜オ)についての監査
プロセスを以下のように採った。

 ア),ウ) は以下のプロセスを採った。T社ではプロジ
ェクトを立ち上げる都度「プロジェクト計画書」を起票
し,どのような作業プロセスを採るか,また顧客文書や
データの取り扱い方法について明示するという社内規則
がある。この場合は「プロジェクト計画書」の写しと契
約書の写しを比較を行うことで検証を行った。システム
開発の途中で環境の変更に対応するために「プロジェク
ト計画書」を改訂することも起こりうるため監査の都度
その変更履歴に関しても写しを入手し,監査作業の中で
使用した。

 イ) の機能設計プロセスおよび開発作業プロセスに沿
った作業が実施されていることについては,機能設計工
程や開発工程の区切りのついた段階で「プロジェクト計
画書」で定められた各工程の成果物が確実に出来上がっ
ていることを実地で確認した。これはエ)も同様である。

 オ) については以下のような手段を採った。通常シス
テムの開発作業は
 要件定義->機能設計->詳細設計->開発->... と工程を
経るごとに人員が増加する。各工程の節目節目で「プロ
ジェクト計画書」について,新規参入要員のための教育
を行われているかその記録の確認を行った。また,監査
時には無作為にプロジェクトの要員を選び「プロジェク
ト計画書」の内容を十分理解しているか口頭による質疑
応答を行った。

 以上のプロセスがa.,ア)〜オ)についての監査プロセ
スとして本調査時に行ったものである。これらのプロセ
ス監査報告書上明示することで監査プロセスの適切性に
ついて示した。

c.監査証拠の適切性
 b.に示したようにシステム監査基準を基本とし,R社
生産計画システム開発時固有の監査項目としてア)〜オ)
への監査プロセスを経ている。固有の監査項目の各々に
ついては以下の監査証拠に基づいて監査意見を導いてい
る。

  ア)〜エ)については「プロジェクト計画書」とT社,
R社間の守秘義務契約書の突合せ, および実地での検証
により適切性を導いている。オ) は「いつ」「どの人員
に」「プロジェクト計画書」に関する教育を行ったかの
記録の写しを監査証拠とした。また,無作為に選んだ作
業人員に対する口頭質問の結果も監査証拠とした。口頭
質問の回答が適切に行われたかどうかにより
a.,ア)〜エ)に関する教育が十分に行われているかどう
かの判断を行い監査報告書に記載した。

 以上の内容が記載されていれば監査証拠の適切性が示
せると考えている。

----
2.2.立場の違いによる監査報告書利用方法の考慮点
----
 私がT社に対して実施した監査報告書をR社の内部監
査人等が利用する場合が考えられる。そのため私がT社
に対し監査を行う場合以下の点に注意する必要があった。

a.監査人の立場
 2.1.に述べた各項目はあくまでT社の外部監査人とし
ての私の立場から述べたものである。そのため,私の監
査の視点はT社経営者の視点 (R社との守秘義務契約を
遵守することによる経営リスクの回避) に近いものとな
っている。

b.客観的な数値による証拠
 監査報告書の結論を導く根拠となった数値を明示する
必要があった。例えば a.,オ)については「プロジェク
ト計画書」の理解度についてはどのような方法で質問対
象者を選んだか,そしてどの程度の対象者が適切な回答
を行ったかを明確に示す必要があった。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.開示された監査報告書を利害関係企業の内部監査人が
 利用する場合の留意点
----------------------------------------------------------------------
 私の作成した監査報告書をT社顧客企業に開示し,
R社の内部監査人が利用する場合の留意点は以下のもの
が考えられる。

a.監査環境・時期の違い
 監査意見は,監査が行われた時点での意見である。監
査時期の違いにより環境が変化していることに留意しな
くてはならない。R社にとって社外秘としている文書に
ついては私は参照できないため,私の監査報告書には盛
り込めない。その分をR社の内部監査人は補強材料とし
て使用することができる。

 また,監査時期についても留意しなくてはならない。
R社からT社に貸与されたデータについての安全性の保
証はあくまで私が監査を行った時点での保証である。そ
のためR社の内部監査人は監査対象期間を明確にしなく
てはならない。

b.監査目的の違い
 私の行った監査目的,および監査報告書をT社から
R社に対して開示する目的はT社とR社の間の守秘義務
契約が遵守されていることの保証を目的としている。そ
れに対し一般的な内部監査は問題点の改善につなげるこ
とを目的として行われる。各々の監査の的の違いに留意
する必要がある。

c.監査証拠の違い
 私の作成した監査報告書内の監査証拠,監査証跡につ
いてR社の内部監査人はその事実を確認する必要がある。
同時に自らの監査目的を立証するのに十分な証拠である
ことを確認しなくてはならない。

d.監査意見の違い
 私の作成した報告書に記載された問題点の指摘,監査
意見はそのまま転用するのではなく,自らの監査目的に
沿った形で判断して述べなくてはならない。

e.監査対象範囲の違い
 私の実施した監査対象と,自らの監査対象の違いにつ
いて留意する必要がある。例えば,私の行う監査対象は
T社内部の対顧客企業ごとのプロジェクトチームが単位
になる。それに対しR社側では単にそのプロジェクト
チームに所属するシステムエンジニアと折衝を行う自社
内の情報開発部門のみが監査対象となるとは限らない。
上記のような例があるため,監査対象となる業務,部門
の範囲を明確にする必要がある。

f.補充監査の必要性
 私がT社に対して行った監査報告書内に自らの監査で
使用できない部分や欠落している記述があると考えられ
る場合は,R社内部監査人は自ら補充的な監査を実施す
べきである。

 以上a.〜f.が私の作成した監査報告書をR社の内部監
査人が利用する場合の留意点であると考えている。

以  上
[ 戻る ]