Click here to visit our sponsor 

□------------------------------------------------------------------□
 C社アウトソーシングにおけるシステム監査
□------------------------------------------------------------------□

---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.C社におけるアウトソーシングについて
---------------------------------------------------------------------
1.1.情報システムの概要
----
 C社はシリコンウェハを製造するメーカーであり、2
4時間365日の工場操業を行っている。また、C社で
は昭和61年の設立当初より、生産管理システムに関す
る設計・開発・運用業務をSIベンダであるE社にアウ
トソーシングしている。
 アウトソーシングの形態としては、計算機そのものは
C社内に設置されており、E社からの派遣要員がC社内
に常駐し、システムの設計・開発・維持管理・運用業務
を行っている。
 E社に勤務する私は、C社アウトソーシング事業に携
わっており、立場的には被監査部門に近い。本論文にお
いてはC社におけるアウトソーシング事業をテーマとし、
その在り方を、システム監査基準に照らし合わせ、シス
テム監査者の立場としての意見を述べるものである。
----
1.2.アウトソーシングにおける効果と制約
----
 C社ではシステムの企画を除く、設計・開発・運用に
関わる業務をアウトソソーシングしており、C社の本来
業務に専念できるというメリットは、品質・コスト的に
大きなものがる。特にシステム運用業務に絞って見た場
合には、以下の効果と制約がある。
(効果)
 ・運用業務の自動化など、E社の専門性を利用した運
  用コストの削減が可能である。
 ・E社の提供する365日24時間体制のサポートを
  受ける事が可能である。
(制約)
 ・情報システムの安全性・信頼性・効率性を直接的に
  コントロールする事が難しい。
 ・自社運用に比べ、臨時処理等の柔軟性が損なわれる。

---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.運用業務のアウトソーシングと必要な内部統制
---------------------------------------------------------------------
2.1.委託計画
----
 a.C社は自社計算機運用に求める、安全性・信頼性・
  効率性を定義し、C社内責任者の承認が得ていなけ
  ればならない。
 b.アウトソーシングによる具体的な効果、問題点を評
  価した上で、アウトソーシングが実行されていなけ
  ればならない。
----
2.2.委託先選定
----
 a.C社の要求仕様に対し、各社が提示した受託条件の
  比較検討が行われていなければならない。特に、安
  全性・信頼性・効率性は相反する面もあり、C社内
  において選定基準が明確になっている必要がある。
----
2.3.委託契約
----
 a.契約内容については、安全性・信頼性・効率性を実
  現するための具体的な施策が明記されていなければ
  ならない。
 b.C社内部統制に必要な資料を、定期的あるいはC社
  からの要請に基づき、E社は提示する義務がある事
  が明記されていなければならない。
----
2.4.委託業務
----
 a.C社では、E社の提供するサービスが、契約内容と
  一致し、要求仕様を満たしている事を定期的に確認
  しなければならない。また不備が認められる場合に
  は、契約に基づき、E社との協議を行い、改善を指
  示しなければならない。
---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.運用業務の監査目標と監査手続き
---------------------------------------------------------------------
3.1.委託計画
----
 C社よりアウトソーシング計画書を入手し、アウトソー
シングによる具体的な効果と問題点が、定量的・定性的両
側面から評価されている事を確認する。
----
3.2.委託先選定
----
 C社より以下書面を入手し、E社へのアウトソーシング
が適切な判断であった事を確認する。
 a.E社を含む各社から提示された提案内容
 b.C社内での判断基準と、比較検討書
----
3.2.委託契約
----
 C社より委託契約書を入手し、以下事項が明記されてい
る事を確認する。
 a.C社内部統制に必要な情報の提供義務
 b.不正防止・機密保護の具体的な内容
----
3.3.委託業務
----
 以下手順により、E社の提供するサービスが、C社の要
求仕様を満たしている事を確認する。
(1)信頼性
 a.E社の運用業務が標準に定められた手順に沿って実行
  されている事を、標準書・オペレーションログより確
  認する。また、標準書については、改廃ルールも規定
  されていなければならない。
 b.臨時処理依頼・結果報告については、両者が捺印を行
  い、正確に実行されている事を確認する。
 c.ソフトウェアの障害記録からは、E社により被害を最
  小限に留めるための処置がなされ、再発防止の為の原
  因究明・対策がC社・E社協議の上、実施されている
  事を確認する。
 d.E社内開発部隊から、運用部隊への引継ぎについては、
  システム設計書等ドキュメントの説明がなされ、両責
  任者の捺印がなされている事を確認する。
(2)安全性
 a.バックアップの記録から、定期的にバックアップが採
  取され、かつ正・副の媒体が用意されている事を確認
  する。また、復旧の手順も合わせて整理されていなけ
  ればならない。
 c.計算機室への入出記録より、不正侵入の無い事を確認
  する。
(3)効率性
 a.計算機稼働状況報告書より、トランザクション量・C
  PU・メモリ等の利用率を確認し、オンライン性能の
  確保・バッチジョブの実行について、C社の保有する
  計算機での実行に問題が無い事を確認する。
[ 戻る ]