□------------------------------------------------------------------□
C社アウトソーシングにおけるシステム監査
□------------------------------------------------------------------□
---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.C社におけるアウトソーシングについて
---------------------------------------------------------------------
1.1.情報システムの概要
----
C社はシリコンウェハを製造するメーカーであり、2
4時間365日の工場操業を行っている。また、C社で
は昭和61年の設立当初より、生産管理システムに関す
る設計・開発・運用業務をSIベンダであるE社にアウ
トソーシングしている。
アウトソーシングの形態としては、計算機そのものは
C社内に設置されており、E社からの派遣要員がC社内
に常駐し、システムの設計・開発・維持管理・運用業務
を行っている。
E社に勤務する私は、C社アウトソーシング事業に携
わっており、立場的には被監査部門に近い。本論文にお
いてはC社におけるアウトソーシング事業をテーマとし、
その在り方を、システム監査基準に照らし合わせ、シス
テム監査者の立場としての意見を述べるものである。
----
1.2.アウトソーシングにおける効果と制約
----
C社ではシステムの企画を除く、設計・開発・運用に
関わる業務をアウトソソーシングしており、C社の本来
業務に専念できるというメリットは、品質・コスト的に
大きなものがる。特にシステム運用業務に絞って見た場
合には、以下の効果と制約がある。
(効果)
・運用業務の自動化など、E社の専門性を利用した運
用コストの削減が可能である。
・E社の提供する365日24時間体制のサポートを
受ける事が可能である。
(制約)
・情報システムの安全性・信頼性・効率性を直接的に
コントロールする事が難しい。
・自社運用に比べ、臨時処理等の柔軟性が損なわれる。
---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.運用業務のアウトソーシングと必要な内部統制
---------------------------------------------------------------------
2.1.委託計画
----
a.C社は自社計算機運用に求める、安全性・信頼性・
効率性を定義し、C社内責任者の承認が得ていなけ
ればならない。
b.アウトソーシングによる具体的な効果、問題点を評
価した上で、アウトソーシングが実行されていなけ
ればならない。
----
2.2.委託先選定
----
a.C社の要求仕様に対し、各社が提示した受託条件の
比較検討が行われていなければならない。特に、安
全性・信頼性・効率性は相反する面もあり、C社内
において選定基準が明確になっている必要がある。
----
2.3.委託契約
----
a.契約内容については、安全性・信頼性・効率性を実
現するための具体的な施策が明記されていなければ
ならない。
b.C社内部統制に必要な資料を、定期的あるいはC社
からの要請に基づき、E社は提示する義務がある事
が明記されていなければならない。
----
2.4.委託業務
----
a.C社では、E社の提供するサービスが、契約内容と
一致し、要求仕様を満たしている事を定期的に確認
しなければならない。また不備が認められる場合に
は、契約に基づき、E社との協議を行い、改善を指
示しなければならない。
---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.運用業務の監査目標と監査手続き
---------------------------------------------------------------------
3.1.委託計画
----
C社よりアウトソーシング計画書を入手し、アウトソー
シングによる具体的な効果と問題点が、定量的・定性的両
側面から評価されている事を確認する。
----
3.2.委託先選定
----
C社より以下書面を入手し、E社へのアウトソーシング
が適切な判断であった事を確認する。
a.E社を含む各社から提示された提案内容
b.C社内での判断基準と、比較検討書
----
3.2.委託契約
----
C社より委託契約書を入手し、以下事項が明記されてい
る事を確認する。
a.C社内部統制に必要な情報の提供義務
b.不正防止・機密保護の具体的な内容
----
3.3.委託業務
----
以下手順により、E社の提供するサービスが、C社の要
求仕様を満たしている事を確認する。
(1)信頼性
a.E社の運用業務が標準に定められた手順に沿って実行
されている事を、標準書・オペレーションログより確
認する。また、標準書については、改廃ルールも規定
されていなければならない。
b.臨時処理依頼・結果報告については、両者が捺印を行
い、正確に実行されている事を確認する。
c.ソフトウェアの障害記録からは、E社により被害を最
小限に留めるための処置がなされ、再発防止の為の原
因究明・対策がC社・E社協議の上、実施されている
事を確認する。
d.E社内開発部隊から、運用部隊への引継ぎについては、
システム設計書等ドキュメントの説明がなされ、両責
任者の捺印がなされている事を確認する。
(2)安全性
a.バックアップの記録から、定期的にバックアップが採
取され、かつ正・副の媒体が用意されている事を確認
する。また、復旧の手順も合わせて整理されていなけ
ればならない。
c.計算機室への入出記録より、不正侵入の無い事を確認
する。
(3)効率性
a.計算機稼働状況報告書より、トランザクション量・C
PU・メモリ等の利用率を確認し、オンライン性能の
確保・バッチジョブの実行について、C社の保有する
計算機での実行に問題が無い事を確認する。
[ 戻る ]