« 平成19年 システム監査技術者試験解答速報 午後Ⅱ  | メイン | システム監査技術者試験 午後II 小論文の総評 »

2007年4月19日

平成19年 システム監査技術者試験 解答速報 午後Ⅱ

平成19年 システム監査技術者試験 午後Ⅱ 問3 解答例

情報システムの調達
B社の概要と経営課題

 B社はコンピュータサプライ機器の販売を行う企業である。 従業員数が150名で、そのうち半数以上の80名が 営業職である。しかし、経営者から社達にて①営業マン1人あたりの売り上げが目標3,000万円に 達していない、②個人によって生産性に大きなばらつきがありそうだ、③営業マンの人件費、教育コスト、交通費 が販売費の圧迫要因になっている、④訪問回数の割りに成約につながらないなどの問題提起が明記された。

モニタリングの目的

 モニタリングによる内部統制の実施目的は次のとおりである。

  1. 営業マンの規律を厳格にして営業効率をあげる、営業目的の周知徹底を図る
  2. 営業マンの不正や効率の悪い営業行動を発見し、指導に役立てる
  3. 成約率を高め、企業利益の向上につなげる
  4. 成果に基づく評価、昇進、昇給の公平性を高める
モニタリングの手段

 B社では、営業マンの内部統制にあたり次のようなIT的な手段を講じている。

(1)不正の防止
  1. 営業チームの執務室への入退室管理の徹底、記録の保持にICカードの利用、記録のサーベイランス
  2. 顧客名簿へのアクセスコントロールとしてIDとパスワードの打鍵、認証
  3. 見積書の精査、契約書の作成にあたり複数人での検証体制のグループウェア・ワークフローの整備
  4. 社外に発信したメールの複写と定期的レビュー
(2)社外の行動の監視
  1. 携帯電話を位置情報発信源としたGPSシステムの導入
  2. モバイルコンピュータからのアクセス管理として、ワンタイムパスワードの利用とアクセスログの採取
(3)社内の行動の監視
  1. 電子メール監視ソフトウェアの導入による電子メールの監視
  2. プロキシサーバのアクセスログ監視による閲覧Webのレビュー
モニタリングに当たり整備すべきこと
体制

(1)セキュリティ委員会での検討
モニタリングに当たっては、トップのリーダシップだけでなく社内の合意も必要であるため、セキュリティ 委員会にはかり合意の形成をおこうなう必要がある。
(2)専門家の意見の採取
 モニタリングがプライバシの侵害にならないように、。またモニタリングに基づいた評価、賞罰が 労働基準法に抵触しないように弁護士等の専門家のケーススタディー的検証が必要となる。
(3)モニタリングの目的の明確化
 モニタリングの目的を明確として、就業規則の変更や社内考課などの規則の変更のための参考資料とする。
(4)モニタリングの費用対効果の検証
 モニタリングに投資した費用が過大化しないように、リスクアセスメントを実施して、リスク予防の 費用対効果をセキュリティ委員会で検証する必要がある。
(5)セキュリティ管理者の任命
 モニタリングのコントロールの実効性を担保するために、セキュリティ管理者をCIO担当役員と定め、コントロールに関連する 責任と権限を付与する。
(6)周知徹底と教育
 制度変更にあたり、セキュリティ担当CIO主導による社内説明会の実施と、部課別 説明会の実施を計画実行する。また、IT機器の操作等にかかわる教育を計画実行する。教育担当者の育成。
(7)モニタリング結果の継続的改善へのフィードバック
 モニタリング結果をセキュリティ委員会で検証し、その後のコントロールの改善を実施。

社内規則の整備等
  1. 就業規則の解雇、賞罰、社員倫理規定の変更を実施する。モニタリングによる不正等が発見された場合等の処遇を 明記する
  2. 人事考課規定のなかにモニタリングの結果の賞罰の条項を盛り込む
  3. 社内のセキュリティマニュアル、手続き書、規約、権限分掌規定の変更
  4. セキュリティ機器の携行の義務付け、それに違反した場合の賞罰の評価を管理職に周知徹底。
  5. システム監査にかかわる規定を見直し、モニタリング結果およびモニタリグの実施状況の監査実施を規定する
監査手続きと要点
監査手続きの要点

 モニタリングの監査にあたってはコントロールの適切性、有効性の確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 監査結果が、モニタリングのコントロールにかかわるセキュリティの継続的につながるような監査助言を与えなければならない
  2. 監査助言の妥当性を担保すらるために十分な監査証跡を確保しなければならない
  3. 監査証跡が電子データの場合、可視的なものとして確保していなければならない
  4. 監査はモニタリングにかかわる規定等の文書の存在、コントロールの存在の確認をする必要がある
  5. 監査はモニタリングがコンプライアンス的にみて妥当な手段で行われていることを確認する必要がある
監査手続き

 購買プロセスの監査にあたっては調達の妥当性確認が要点となる。そのポイントを整理すると 次のとおりになる

  1. 年間監査計画にもとづいて監査を実施する
  2. 監査にあたり経営者や品質管理責任者をインタビューする
  3. 監査に先立ち予備調査を実施する
  4. 予備調査にもとづき監査手続書、個別計画書を作成する
  5. 監査の本調査を実施する
  6. 監査証跡をもとにして監査報告書を作成する
  7. 監査報告書に被監査組織の捺印をもらう
  8. 不適合事項が発見された場合、フォローアップ監査を実施する



投稿者 kato : 2007年4月19日 17:08