Click here to visit our sponsor 

---------------------------------------------------------------------
(設問ア)
---------------------------------------------------------------------
1.インターネットを利用した通信販売システム
---------------------------------------------------------------------
1.1.本システム導入の背景とシステムの概要
----
 当社は年商約1千億円の中堅食品メーカーで、国内で
製造した製品だけ出なく、欧米等から輸入した食品の販
売も行っている。近年の不況下にあって流通業界の再編
が進み、従来のように卸業者へ食品を販売することだけ
に頼り切った経営が早晩成り立たなくなることが予想さ
れている。そこでインターネットを利用して消費者に直
接商品を販売することになった。
 本システムは、1)嗜好品の要素が強い輸入食品につい
ての情報提供の部分と実際にそれらの食品の通信販売を
申し込むための機能からなるホームページ、2)受注情報
を取りまとめ、出荷手配から経理処理までを行うシステ
ム、の2つから成り立っている。

----
1.2.本システムのアウトソ−シング
----
 当社には情報システムの開発はおろか、運用を担当で
きる社員もいないので、従来から全てアウトソーシング
している。本件も同様であるが、本システムの運用を自
社で行うとすると、設備費等は数百万円で済むが、新た
に専門要員数人を雇用する必要がある。その人件費や必
要となる事務書スペース等の固定費は年間約5千万円と
計算された。外部に委託した場合の費用は年間約3千万
円であるので、アウトソーシングを選択したのである。
 アウトソーシングによってシステムの信頼性・案税制
は委託先のSIベンダに依存することになるが、これは
制約というよりも、プロの技術に任せるということでプ
ラスの面が大きい。しかし商品情報の更新等が自分達で
随時出来ないことは大きな制約となっている。
 なお、私は子会社に出向して上級システムアドミニス
トレータとして業務革新に当たっていたが、このシステ
ムの運用開始直前に本社に戻って、当プロジェクトにつ
いて検証する業務に就いている。 (800字ライン)


---------------------------------------------------------------------
(設問イ)
---------------------------------------------------------------------
2.当社の内部統制上の留意点
---------------------------------------------------------------------
 アウトソーシングしたシステムの安全性・信頼性・効
率性を確保するためには、個々の項目について具体的に
求められる要件を定義し、委託先企業と当社との責任関
係を明確にして、契約に盛り込むことが必要である。ま
た、契約にはそれぞれの要件に関して委託先が定期的に
当社に報告することや、必要に応じてシステム監査を受
け入れる義務なども明文化しておく必要がある。以下に
安全性・信頼性・効率性の観点から、契約に盛り込むべ
き事項について述べる。

----
2.1.安全性確保のためのコントロール
----

1)自然災害等に対する安全性
 当システムが置かれているサーバその他のハードウェ
アは、情報システム安全対策基準等に準拠した安全な場
所に設置されていること。

2)不正アクセス等に対する安全性
 ホームページや受注を処理するシステムの内容が、悪
意の第三者により改ざん・破壊されないために必要な対
策を取ること。また、受注内容等の顧客の個人情報や当
社の売上状況等の情報が外部から盗み出されないよう対
策を取ること。なお、以上のセキュリティが破られた場
合の委託先の賠償義務等についても定める必要がある。


----
2.2.信頼性確保のためのコントロール
----
 システムが停止することは販売機会の損失に直結する
ので、システムの二重化等の技術により極力停止するこ
とのないようにすること。万一システムが停止した場合
にも、迅速かつ正確にシステムが復旧するよう対策を講
じること。なお、一定時間以上のシステム停止について
もペナルティを定める必要がある。

----
2.3.効率性確保のためのコントロール
----
 効率性については、運用段階でのSIベンダの責任で
はないようであるが、効率性を改善するための保守に対
して柔軟に対応することが望まれる。そこで、当社から
の要求に従ってホームページの内容やシステムの諸機能
を可及的速やかに変更する義務を委託先に負わせること
が必要となる。

---------------------------------------------------------------------
(設問ウ)
---------------------------------------------------------------------
3.内部統制の有効性の監査
---------------------------------------------------------------------
 以下に安全性・信頼性・効率性の確保のための内部統
制の有効性について監査する場合の監査目標と監査手続
について述べる。
 監査目標は契約に以下の点が遺漏なく盛り込まれてい
るかを確認することである。監査手続としては、このこ
とを確かめるため、契約書の内容を調査し、不審な点が
あれば関係者や委託先の現場の調査およびヒアリングを
行って、監査証拠を収集する。

----
3.1.安全性の確保
----
1)建物・設備は災害・侵入等の想定されるリスクを回避
 できる環境に設置してあること。

2)サーバへのアクセスの管理ルールを定め、遵守してい
 るか、またアクセスコントロール及びモニタリングが
 有効に機能しているか。

3)データ管理ルールを定め遵守しているか。データの扱
 いに関して、不正防止及び機密保護の置策を講じてい
 るか。人員への教育は適切に行われているか。

----
3.2.信頼性の確保
----
1)ハードウェア管理ルールを定め遵守しているか。また
 ハードウェアは障害対策を講じ、かつ定期的に保守を
 行っているか。

2)障害発生時の復旧手順が定められているか。またデー
 タのバックアップは迅速かつ正確な復旧のために必要
 なタイミングで行われているか。

----
3.3.効率性の確保
----
1)データの書き替え等を効率的に行えるよう、データ管
 理ルールが定められているか。

2)システムに変更を加える必要が生じた場合に備え、保
 守に必要なドキュメントの引継ぎ、手順の決定と責任
 者の承認等が正しくなされるよう定められているか。

3)保守に関する設計書等を当社が承認した上で保守が開
 始されるように定められているか。

4)保守後のシステムは十分なテストを行い、当社の承認
 を受けることが定められているか。またテスト結果を
 保管するルールが定められているか。

5)変更前のデータやプログラムのバックアップがなされ
 ているか。
[ 戻る ]