« 2008年 システム監査技術者試験 小論文解答速報 問1 | メイン | 2008年度システム監査技術者試験解答速報概要 »

2008年04月23日

2008年 システム監査技術者試験 小論文 解答速報 問3

平成20年 システム監査技術者試験 午後Ⅱ 問3 解答例 

1 組織全体の事業継続計画の概要について
1.1 組織概要と調達の実態

 私が勤務するC社は、電子部品系第一次部品加工製造業である。C社は大手通信企業や 大手電子通信機器メーカの依頼を受けて特殊製品分野の部品の開発、及び生産を行っている。
 業務には2系統ある。売上の70%は大手電子通信機器メーカから受注する連続生産品である。 残りの30%は大手通信企業向けの製品を及び部品を受注生産型で開発、生産している。
 生産形態にかかわらず、電子部品のパーツとなるICなどは協力会社及び商社から調達している。しかし、協力会社も 在庫削減を目的としていて確定的発注以外の予約押さえは困難である。
 大手商社X,Y社とはWeb-EDIを使って、受発注のやり取りを行っており、その取引額は仕入れ価格ベースで 85%である。

1.2 事業継続化計画の概要

 C社における事業継続化計画は仕入れ調達の85%を占める大手商社X,Y社との取引を中心に考え 計画することが妥当との経営者の判断により、次のような概要となっている。

  1. (1)事業継続計画手続きの確立:事業継続計画の過程で①リスクを評価し、② 障害の影響を最小化するために必要な設備を定義する。
  2. ③あわせて、損害発生に備え損失額に見合った保険加入を検討する。④ビジネス戦略 にあわせた事業継続プロセスの確立を行い、経営陣の承認をえる。
  3. (2)リスクアセスメント:リスクは発生確率と事業への影響度を考慮する。 また、重要なビジネスの洗い出しと適切な優先度を設定する。障害の影響分析 にあたっては想定される損害の規模と回復に要する時間を考慮する。
  4. (3)継続計画の策定と実施
  5. 調達先商社及びC社の通信回線や情報システムの障害、故障、災害、外部からの攻撃 を想定した事業継続計画の策定をすること。
  6. 計画実行に要するリソースの確保と要員の教育の実施、関係者への周知を実施する
  7. 作成した事業継続計画の経営層による承認、本計画で連携すべき商社との円滑な連携の確保
  8. (4)事業継続計画の有効性の確保:①関係各所の連絡手段の確保。②事業支援サービスへの切り替え手順の 確保
  9. ③業務の再開手順の確保、④事業継続計画の見直しサイクルの確保
  10. (5)テストや訓練の実施:事故発生対策チームの配置、システムの回復手順とバックアップによる 業務継続の実施、業務継続処理プロセスのリハーサル
2 確認すべき事項

 C社では商社のX、Y社からの供給が停止した場合を想定して確認すべき事項を点検した。

(1)ビジネス的確認事項
  1. 商社、XとYから供給される部品の代替部品の調達は他の調達先から調達可能か
  2. 調達が可能な場合のコスト、調達手続き、担当部署、契約書は文書化され、 担当部署に周知徹底されているか
  3. 調達が不可能な場合の対処、例えば船荷便を航空機便で切替えて納期に関する契約を 遵守する対策及び手通きその物流手段は十分検討されているか。
  4. 地震災害などで長期にわたり、輸送ルートの破壊、調達先企業の企業活動停止状態に 陥った場合の、調達先切替えの見極めの判断基準と顧客企業への対応手続きの文書化の確認
(2)情報システム停止の場合の確認事項

 商社と当社との通信経路及び商社と当社の情報システムの停止に陥った場合を想定した 点検事項。

  1. 様々な情報システム障害に対する机上演習
  2. 事故対策チームの組織化の状態、訓練の状態
  3. 事故処理手続きの存在の確認。
  4. システム回復手順の存在と有効性の検証の確認。
  5. バックアップシステムの存在と業務継続の可能性の確認。
  6. 情報システム及びネットワークサービスの障害発生時の計画に基づく処理の確認。
  7. 事業継続計画に基づく処理プロセスの全体リハーサル
  8. 事業継続計画レビューの存在、事業継続計画プロセスの追加の検討、変更事項の検討の有無
3 事業継続計画にかかわる要点と手続き
3.1 事業継続計画監査にかかわる要点

(1)事業継続計画の範囲の網羅
 事業継続計画の有効性を確保するために、事業継続計画にかかわる組織の範囲と 情報システムの範囲、業務の範囲を明確に定めておく必要がある。
(2)商社の協力
 調達先大手商社との事業継続計画に関連する契約、事業継続計画発動時の手続きの合意、 訓練への参加などの覚書の確保
(3)顧客の合意
 事業継続計画に関連するリスク発生時の対応について、顧客の合意の存在を確認
(4)事業戦略の見直しと事業継続計画
 事業戦略の見直しに伴い事業継続計画が見直されているかの確認。

3.2 調達先と当社の事業継続計画にかかわる要点と手続き

 上記の目的を達成するための監査手続きを整理すると次のとおりになる。

  1. 年間監査計画にもとづいて監査を実施する。
  2. 監査にあたり経営者をインタビューして、監査目的を理解する。
  3. 監査に先立ち予備調査を実施して、事業継続計画にかかわる資料をレビュー、 その特性を理解する。また、同システムを導入する組織の課題を認識する。
  4. 予備調査にもとづき監査手続書、個別計画書を作成する。
  5. 事業継続計画について、調達先と当社の情報システ監査の本調査を実施する。
  6. 監査証跡をもとにして監査報告書を作成する。
  7. 監査報告書に被監査組織の捺印をもらう。
  8. 不適合事項が発見された場合、フォローアップ監査を実施する。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2008年04月23日 05:04

トラックバック

このエントリーのトラックバックURL:
http://www.katoken.gr.jp/bin/mt-tb.cgi/1886