2004年システム監査技術者合格論文



※不合格(3回)→合格体験記は、こちら


     『IT投資計画の監査について』

H16−問3 IT投資計画の監査について

 企業などでは,顧客サービスの向上や企業競争力の強化,競合他社との差別化などを図るために戦略的なIT投資を行ってきている。例えば,インターネット通信販売の実現によって,24時間販売による売上増加や,人件費及び店舗運営などのコスト圧縮だけではなく,インターネット利用者を対象とした新たな販路の拡大が期待される。
 また,電子帳簿保存法やIT書面一括法など法制度面での整備も進んできている。取引記録や帳票などの電子的な保存によって,伝票類の印刷や保管などにかかわるコストの圧縮や,受発注から決済までの事務処理の効率の向上などを図ることができる。
 一方,IT投資計画の策定においては,システム化によって生じるリスクを低減するための対応策を計画するとともに,システム化以前の業務手続との整合性を保ちつつ,新たな証跡を確保する仕組みの整備が重要となる。例えば,インターネット通信販売システムでは,個人情報の漏えい,決済処理ミスによる二重請求,システム障害によるサービスの停止などのリスクを低減するための対応策や,受注データなど取引の成立要件となる電子データの証跡確保,電子的に保存される帳簿類の真実性・見読性の確保などを含めた計画が必要となる。  このような状況を踏まえて,システム監査人は,IT投資による利便性や効率性などの効果だけではなく,関連法制度への準拠性の確保や,新しいビジネスモデルに伴うリスクを低減するための対応策及び必要なコストの検討など,総合的にIT投資計画が策定されているかどうかを確かめる必要がある。

 上記に基づいて、設問ア,イ,ウについてそれぞれ述べよ。

設問ア  あなたが携わった業務の概要と,その業務にかかわるIT投資の目的及び期待される効果について,経営戦略と関連付けて,800字以内で述べよ。

設問イ  設問アにで述べたIT投資計画において,リスクを低減するための対応策や法制度面での準拠性確保に関して,計画段階で考慮すべき点を具体的に述べよ。

設問ウ  設問ア及び設問イで述べた内容を踏まえて,IT投資計画の適切性を監査する場合の監査ポイントを具体的に述べよ。

−−−−−−−−−−−−−−−− 論文要旨 −−−−−−−−−−−−−−−−−−−−−−−

設問ア(業務の概要とIT投資の目的及び期待される効果)
 製造業のM社では新規プロジェクトの立ち上がりに合わせて、コストダウンを図るために、作業手順書作成から部品加工までを一貫してサプライヤへ外注することとした。そこで、自社の作業手順書作成システムをインターネット経由でサプライヤから利用出来るようにすることとした。M社では、サプライヤのシステム初期投資や出張旅費も抑制できるので、サプライヤからも積極的に利用を受け入れられるものと見込んでいた。
私は、内部監査チームのリーダとして、当該システムの投資対効果、リスク対策、法制度への準拠性などを監査した。

設問イ(リスクを低減するための対応策や法制度面での準拠性確保について)
 ・考えられるリスクとしては、以下があった。
  (1)本システムが親事業者の押し付けであると誤解され、サプライヤが本システムの利用に
     対して消極的な態度を表明すること
  (2)情報漏洩等のセキュリティに対するもの
  (3)業務プロセスが下請代金支払遅延等防止法に抵触すること

 ・対策としてそれぞれ以下が実施された。
  (1)初期投資額や運用費用などを明確化し、期待効果をサプライヤに説明する。
  (2)セキュリテイ方針に従った、情報漏洩防止対策等を実施する。
  (3)業務プロセスを下請代金支払遅延等防止法に照らして準拠性をチェックする。

  下請代金支払遅延等防止法
  http://www.jftc.go.jp/sitauke/1/chienboushi.html
  (書面の交付等)
  第3条
  親事業者は,下請事業者に対し製造委託又は修理委託をした場合は,直ちに,公正取引委員会
   規則で定めるところにより下請事業者の給付の内容,下請代金の額,支払期日及び支払方法
   その他の事項を記載した書面を下請事業者に交付しなければならない。

  (親事業者の遵守事項)
  第4条 六
   下請事業者の給付の内容を均質にし又はその改善を図るため必要がある場合その他正当な
   理由がある場合を除き,自己の指定する物を強制して購入させること。

設問ウ(IT投資計画の適切性を監査する場合の監査ポイント)
 監査ポイントは以下のとおり。

(1)Win−Win関係に基づいた投資対効果について
  ・M社側とサプライヤ側の両者にとってのメリットについて十分な説明と理解による
   合意の形成
  ・必要な投資額と両者それぞれの効果額の算出

(2)全社セキュリティ・ポリシへの準拠性確保について
  ・仮想専用線とセキュリティルータによるセキュリティ強度の向上
  ・システムを利用するパソコンへの情報漏洩防止対策の実施
  ・秘密保持契約・誓約書の取り交わし

(3)下請代金支払い遅延等防止法への準拠性について
  ・業務プロセスおよび手続きに関する専門家のチェック

 監査の結果、以下の評価と改善勧告を報告した。

(1)サプライヤへの説明は十分になされ、Win−Win関係による合意が成立しており問題なし。

(2)セキュリティ対策は、セキュリティ方針に従って実施されており問題なし。
   仮想専用線による社内システムへの社外からの利用も問題なし。
   通常勧告
   秘密保持契約・誓約書の取り交わしに関する申請ルートの明確化

(3)法制度への準拠性に問題は無いと思われるが、微妙な判断となる。
   緊急勧告
   下請代金支払い遅延等防止法への準拠性に関する法律専門家の評価