« 平成19年 システム監査技術者試験解答速報 午後Ⅱ  | メイン | 平成19年 システム監査技術者試験 解答速報 午後Ⅱ »

2007年4月17日

平成19年 システム監査技術者試験解答速報 午後Ⅱ 

平成19年 システム監査技術者試験 午後Ⅱ 問2 解答例

情報システムの調達
A社の概要

 A社はインターネットで企業の受発注の斡旋を行う企業である。 A社が運営するBtoB向けWebサイト(以下BtoBサイト)には6000社の 企業が登録し、年間2000億円の受発注が行われている。
 A社は情報系大学院を卒業した社長と複数のエンジニアが創業し、 急激に成長した企業である。従業員数は50名に満たず、そのうち 技術職のメンバは15人しかいない。残りは営業職が大半である。

情報システムの調達と目的

 A社は社内LANとインターネット系のシステム(DNS,Webサーバ, メールサーバ等)の2系列のシステムからなる。社内の業務系LANは 自社の機密情報などの関係もあることから自社のエンジンニアで 運用しているが、外部のインターネット系システムは社外から調達 している。その目的は以下のとおりである。

  1. Web系技術は進歩が早く新技術を的確に捉えて採用するため〔たとえばWeb2.0等〕
  2. ルーチン的に情報システムを運用する業務は外部に任せ、新ビジネスの開拓や顧客の獲得に専念するため
  3. インターネット系技術者の雇用、教育にかかるコストを削減するため
情報システムの調達方法

 A社ではISO9000に基づいた業務システムをもっており、その購買 プロセスに準拠して購買が行われている。すなわち、(1)購買プロセスを 管理する手続き、規約、権限委譲が行われ文書化している。 (2)購買先を登録、評価、格付けする仕組みがある。(3)購買先の提供 サービスを検証する仕組みがある。(4)購買先のサービス内容とその見直し、 契約内容の変更プロセスがある。

情報システムの調達リスクとコントロール
情報システムプロセスの調達リスク

(1)調達にかかわるITガバナンスが未達成
 ITは経営的目的、経営計画が目指す目標を達成できないといけない。しかし、 「購買先の格付け」「選定プロセス」が十分に機能していないと、当初計画していたサービス品質や サービス水準が達成できず、経営計画どおりの成果を達成できない。 例えばサーバ混雑時のスペック維持、Web2.0への移行への円滑度、SQLデータの移行容易性、 障害時の回復時間などのサービス水準が低いと、Webサーバ利用者の顧客満足が達成できなくなる。
(2)継続的改善へのフィードバックの機能不全
 サービス品質の改善には、①購買計画値の数値化、②購買実施報告書での評価、 ③品質委員会による①と②の対比による購買品質の評価が十分行われないといけない。  これが機能不全に陥ると、継続的な購買品質の維持、改善が難しくなり、 高度化する顧客ニーズを吸収しきれなくなりクレームが多発する可能性がある。
(3)重複的調達によるコスト超過の発生
 購買が複数のセクションごとに実施されると、①重複の購買が実施される、 ②集中購買によるコスト削減効果が期待できない、③購買の評価プロセスと 評価基準が異なるため経営者が意図しない購買品質となる可能性がある。この結果、購買の妥当性と コスト超過が発生する可能性がある。

調達のコントロール

 購買リスクを回避するために次のようなコントロールが必要になる。

  1. 購買プロセスにかかわる文書(①購買マニュアル、②手続き書、③規約)が明確にされているか
  2. 購買担当者には十分と権限と責任が委譲されているか
  3. 購買計画は情報化計画書に基づいて起案されているか
  4. 購買されているか
  5. 購買先は適正な基準で評価・格付け・登録されているか
  6. 購買の実施計画の報告書は作成されているか
  7. 品質評価委員会は購買計画はされているか
  8. 品質評価委員会の結果は購買計画の改善に継続的に利用されているか
監査手続きと要点
監査手続きの要点

 購買プロセスの監査にあたっては調達の適切性、効率性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 購買自信の妥当性を経営計画書、情報計画書、情報システムの実態(リソースや運用計画の実態)とを比較検証 する必要がある
  2. 調達効率を高めるためには、購買先選定プロセスが重要となる。そのため、購買先の財務内容、経営状態、 第三者評価、過去の購買実績評価などを参考すべきである
  3. 購買先のプロセス成熟度(CMM)を参考にする必要がある。
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続き書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する



投稿者 admin : 2007年4月17日 10:06