Click here to visit our sponsor 


----------------------------------------------------------------------

(取引先などの利害関係者への開示を目的としたシステム監査について)

----------------------------------------------------------------------


----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.私が関係した情報システムの概要と、
 安全性や信頼性が利害関係者に及ぼす影響
----------------------------------------------------------------------
 あるメーカA社は、販売店に対し、会員制のWeb注文
システムを提供している。販売店がこのシステムを利用
すると、販売店の顧客は、販売店への注文がインター
ネットでできるようになり、その注文サイトは、あたか
も販売店自身が運営しているように見せることができる。
また、顧客が販売店に対し、このシステムを使用して注
文を行った場合、受注・手配・配送・請求の各処理は
A社が代行するため、販売店は、顧客の問い合わせ窓口
になる以外新たな手間などは発生しない。

 A社は、このシステムの利用契約数の拡大をめざし、
販売店に対して、デモや説明会を展開していた。A社は、
説明会などで、システムの安全性や信頼性についても示
す必要があると考え、このシステムを開発したSI企業
B社に相談した。B社システム監査部門に所属する私は、
A社の相談を受け、下記の内容をヒアリングした。

・このシステムが障害などにより、不具合が発生した場
 合、販売店にとっては、自ら運営するシステムが障害
 を起こしたように見えてしまい、顧客からの信用が失
 墜する。
・このシステムが停止の事態に至った場合、販売店の信
 用失墜につながるだけでなく、停止時間そのものが受
 注機会の損失である。
・さらに、顧客情報の漏洩などセキュリティ上の障害が
 発生した場合、販売店の信用失墜は計り知れないもの
 となる。

 A社から改めてシステム監査依頼書を出してもらうこ
ととし、私は、A社Web注文システムを対象に、A社と
の利用契約を検討する販売店への開示を目的としたシス
テム監査を実施することになった。


----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
2.利害関係者が監査報告書を適切に利用できるよう、開示内容に盛り込む事項
----------------------------------------------------------------------
 販売店への開示を目的とした監査であるため、監査範
囲、監査項目については、「契約締結を検討する販売店」
を意識する必要がある。

 私は、A社営業企画部長および部社員にヒアリングを
行い、デモや説明会で質問される事項を確認したところ、
セキュリティに関するものは必ず聞かれるとのことで
あった。

 1.で述べた「安全性や信頼性が利害関係者に及ぼす影
響」も考慮し、報告書の開示内容に盛り込むべき事項を
次のように設定した。

a.セキュリティ管理体制
 セキュリティの管理について以下の項目を確認する
・入退室管理など施設面のセキュリティ
・ファイヤウォールなど機器上のセキュリティ
・ユーザID,パスワードの管理
・アクセスログ取得の有無、アクセスログ解析の有無と
 頻度の確認、報告手順
・運用要員、開発要員、ヘルプデスクオペレータに対す
 るセキュリティ教育の実施有無と実施内容の確認

b.安全性・信頼性
・機器や回線二重化の有無
・機器障害発生時の切り替え想定時間及び想定時間算出
 根拠の確認
・機器障害発生に備えた切り替えリハーサルの有無
・障害検知、監視体制、及び販売店への連絡体制の確認
・システム停止やユーザに影響する障害の発生頻度、平
 均復旧時間、最長復旧時間の確認、障害発生から販売
 店連絡までに要した平均時間

 なお、監査項目をA社と確認した段階で、証跡の不備
や実施されていない項目が複数あることが判明した。こ
のため、初回監査結果の開示は不適切であると判断し、
初回は助言型監査とし、指摘事項が整備されてから、開
示を目的としたシステム監査を再度実施することとして
A社と合意した。


----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
3.開示された監査報告書を利用して監査を実施する場合の留意点
----------------------------------------------------------------------
 開示された監査報告書を利用する場合、その中に示さ
れる監査範囲の中で、監査が行われていることに留意す
る。

 開示された監査報告書の監査範囲と、これを利用して
監査を行う側の監査目的が合致するかの判断がまず必要
である。

 開示された監査報告書の監査範囲が、監査目的を達せ
られないと判断される場合は、これを保管する監査実施
が必要である。また、開示された監査報告書の監査実施
方法が、監査を行う側の監査目的を達するために充分か
吟味する。

 監査を行う側は、監査計画で設定した監査項目に、開
示された監査報告書の内容が合致する部分はこれを利用
するが、合致しない場合は別途監査実施が必要となる。
また、監査の結果判断、意見表明も、開示された監査報
告書に依存することなく、独自の立場で判断することに
留意する。
[ 戻る ]