応用情報技術者 2010年 春期 午後 問12
外部委託管理の監査に関する次の記述を読んで、設問1〜3に答えよ。
D社は、衣料品卸売会社である。多品種少量の商品を短いサイクルで卸すことを可能にするため、既存の物流システム(以下、旧システムという)を再構築し、今春、物流統合システム(以下、新システムという)を完成させた。新システムは、メーカー及び小売店との間で情報をインターネット経由で授受する機能など、D社にとって初めてオープン系システムの技術を取り入れたものであった。
新システム開発プロジェクトは、業務チーム、開発チーム及び運用チームの3チームで構成され、情報システム部が主管する開発チームは、旧システムの開発・保守で実績のあったE社を外部委託先とした。開発チームのメンバは、D社内に設置された新システム開発プロジェクトルームに集結し、開発を進めた。図に新システム開発プロジェクト体制を、表に新システム開発工程と主要成果物を示す。
新システム稼働後、D社の監査室は、社長からの指示を受け、新システム開発業務における外部委託管理の妥当性について、システム監査を実施することになった。被監査部門は、情報システム部及びE社であった。監査チームは、個別計画を策定し、予備調査、本調査、評価・結論という手順で監査を進めた。予備調査及び本調査によって判断した事実は、次のとおりであった。
〔判断した事実〕
(1) 外部委託契約の状況
・D社の外部委託先選定基準は、①経営状態が安定している、②D社の情報セキュリティ管理基準を遵守できる、③D社の品質管理基準を遵守できる、④納品物の知的財産権はD社に帰属することを了解する、の四つである。
・E社との開発業務委託契約は、プログラム開発と結合テストが対象であり、請負契約であった。納品物の知的財産権はD社に帰属することで合意済であった。
・D社からの契約条件として、従来比20%のコスト削減を求められたE社は、プログラミング作業の大半を、コストの低いシステム開発会社F社に再委託した。開発業務委託契約の中には再委託に関する条項はなかったが、F社への再委託について、事前にD社へ報告していた。
・D社からE社へ提出した資料やデータには、D社の営業秘密情報が含まれていたので、両社間でD社の営業秘密情報に関する秘密保持契約(NDA)を締結した。
(2) 新システム開発の状況
・業務要件定義とシステム設計は、計画どおりに進捗していた。
・プログラム設計に着手後、システム設計の漏れが発覚した。時間が限られていたので、急きょD社の業務処理を熟知するE社の担当者に、漏れていた部分の基本設計書の作成を依頼していた。
・新システム開発に際して、開発標準(システムコード規約、コーディング規約、ネーミング規約などから成る)の内容の見直しは行われず、既存のD社開発標準に従って開発作業が進められていた。
・単体テストにおいて、プログラム不具合によるバグが多発した。主な原因は、E社とF社のオープン系システム開発スキル不足、及び今回採用したオープン系システムに必要なコーディング規約が、既存のD社開発標準に記述されていなかったことであった。単体テストの終了は、計画よりも1週間遅延した。
・結合テストにおいて、サブシステム間のインタフェース仕様に関する認識相違による不具合が発生したが、当社の担当者同士で話し合い、解決した。単体テストで発生した1週間の遅延は、結合テストの終了までに解消していた。
・結合テストの終了後、D社はE社から結合テスト結果報告書を受け取ったが、前述の不具合が解決していたので、結合テスト結果報告書に改善を迫まなかった。
・システムテスト及びユーザ受入れテストは、計画どおりに実施された。
(3) E社に対する管理の状況
・プロジェクトの進捗確認、問題解決を目的とした進捗報告会議が、週1回の頻度で、D社とE社によって開催されていた。議事録、進捗報告書、問題管理表は、D社指定の様式に従って作成されていた。
・D社は、E社の進捗状況を適宜把握しており、遅延発生時には対策を講じていた。
・過去、長年にわたって、E社に起因する重大なシステム不具合は起きていなかったので、これまでE社からの納品物に対するD社の検収は形式的になっていた。
・D社からE社へ提供した資料やデータに関して、これまでリリース後E社が破棄するという暗黙の了解があり、今回もD社は、回収又は破棄の確認を行っていなかった。
監査チームは、調査内容をシステム監査報告書にまとめ、社長に報告した。監査チームは、次の指摘事項に対して改善勧告を提言し、次回システム監査の場で改善状況を確認することで、情報システム部と合意した。
〔指摘事項(抜粋)〕
(1) 委託先選定
(ア) 新システム開発において、外部委託先選定基準の設定が不十分であった。
(2) 契約
(イ) 開発業務委託契約書に、再委託に関する条項がなかった。
(3) 委託業務
(ウ) 外部委託先の担当者が、契約対象外であるシステム設計を行っていた。
(エ) 外部委託先のオープン系システム開発スキルが不足していた。
設問1:
外部委託管理に関する監査のために、監査チームが被監査部門から入手すべき資料を、解答群の中から三つ選び、記号で答えよ。
解答群
ア:D社の職務規定
イ:D社の中長期経営計画
ウ:開発業務委託契約書
エ:新システム開発プロジェクト体制図
オ:進捗報告書
カ:ユーザマニュアル
模範解答
ウ、エ、オ
解説
解答の論理構成
-
監査目的の確認
監査チームは「外部委託管理の妥当性」を検証します。【問題文】には「外部委託管理の妥当性について、システム監査を実施」とあります。したがって、契約内容・体制・進捗管理という“委託管理3要素”を裏づける証憑が必要です。 -
契約内容の把握
再委託や知的財産権帰属などの適否を確認するためには、E社と締結した正式な契約書が必須です。
引用: 「開発業務委託契約は…納品物の知的財産権はD社に帰属することで合意済」
→ ウ「開発業務委託契約書」が必要。 -
体制と役割の把握
委託範囲が適切か、D社・E社・F社の責任分担が明確かを確認するには、プロジェクト組織図が必要です。
引用: 「図に新システム開発プロジェクト体制を示す」
→ エ「新システム開発プロジェクト体制図」が必要。 -
進捗・品質管理状況の把握
実際の管理が契約どおり行われたかを検証するには、定例会議で用いた進捗資料が必要です。
引用: 「進捗報告書、問題管理表は、D社指定の様式に従って作成されていた」
→ オ「進捗報告書」が必要。 -
不要資料の除外理由
・ア「D社の職務規定」…委託管理の具体的証跡にならない。
・イ「D社の中長期経営計画」…監査目的と無関係。
・カ「ユーザマニュアル」…完成後の操作資料であり委託管理の証憑ではない。
以上より、ウ・エ・オが妥当です。
誤りやすいポイント
- 「ユーザマニュアル」は成果物なので必要と考えがちですが、外部委託契約の適正性を裏づける資料ではありません。
- プロジェクト体制図を「図で確認済だから不要」と誤認するケースがあります。監査では“入手して証憑とする”ことが重要です。
- 進捗報告書と問題管理表のどちらかで迷う場合がありますが、監査基準では進捗管理の証跡として進捗報告書を優先的に求めます。
FAQ
Q: 契約書の写しではなく要約でも監査証跡になりますか?
A: いいえ。契約条項の有無(再委託条項など)を正確に確認するには、正式な「開発業務委託契約書」の原本または真正写しが必要です。
A: いいえ。契約条項の有無(再委託条項など)を正確に確認するには、正式な「開発業務委託契約書」の原本または真正写しが必要です。
Q: 体制図は社内のプレゼン資料でも代替できますか?
A: 原則として、正式承認を受けた「新システム開発プロジェクト体制図」が必要です。承認印や版数のない参考資料は証跡として弱くなります。
A: 原則として、正式承認を受けた「新システム開発プロジェクト体制図」が必要です。承認印や版数のない参考資料は証跡として弱くなります。
Q: 進捗報告書はサンプル1回分で十分ですか?
A: 継続的管理を検証するため、監査対象期間すべて(週1回分)の進捗報告書を依頼するのが一般的です。
A: 継続的管理を検証するため、監査対象期間すべて(週1回分)の進捗報告書を依頼するのが一般的です。
関連キーワード: 外部委託, 契約管理, プロジェクト体制, 進捗管理, システム監査
設問2:監査報告での指摘事項について、(1)、(2)に答えよ。
(1)本文中の指摘事項(イ)に関して、D社がE社からの申し出を受けて再委託を認める場合、情報セキュリティの観点からE社に対して要請すべき事項を、25字以内で述べよ。
なお、E社は、F社が本文中のD社の外部委託先選定基準を満たすことを保証している。
模範解答
E社とF社の間で秘密保持契約を締結する。
解説
解答の論理構成
- 再委託の状況確認
- 【問題文】では「E社は、プログラミング作業の大半を、コストの低いシステム開発会社F社に再委託した」とあり、再委託により機密情報が第三者に渡る可能性が生じています。
- 現行の秘密保持体制
- D社とE社の間では「D社の営業秘密情報に関する秘密保持契約(NDA)を締結した」とありますが、F社との間には同様の取り決めが存在しません。
- 情報セキュリティ上の不足
- 指摘事項(イ)は「開発業務委託契約書に、再委託に関する条項がなかった」と問題視しており、再委託先にも同等の機密保持義務を課す必要があります。
- 要請すべき具体策
- 再委託先F社がD社の機密に触れる以上、E社に対し「E社とF社の間で秘密保持契約を締結」するよう求めれば、機密情報の保護範囲を第三者まで拡大できます。
以上から、模範解答「E社とF社の間で秘密保持契約を締結する。」が導かれます。
誤りやすいポイント
- D社‐F社間で直接NDAを結ぶと誤解する
→ 再委託はE社が主体のため、まずはE社とF社間で契約を結び、E社に管理責任を負わせるのが一般的です。 - 再委託禁止を答えてしまう
→ 問題文は「再委託を認める場合」に限定しているため、不適切です。 - 技術レベルや品質保証を要請項目に含める
→ 外部委託先選定基準で既に保証されており、設問は「情報セキュリティの観点」だけに着目しています。
FAQ
Q: D社とF社が直接NDAを結ぶ方が安全では?
A: 責任分界と管理容易性の観点から、まず委託元‐委託先‐再委託先という流れで機密保持義務を連鎖させるのが一般的です。必要に応じて三社間協定を追加します。
A: 責任分界と管理容易性の観点から、まず委託元‐委託先‐再委託先という流れで機密保持義務を連鎖させるのが一般的です。必要に応じて三社間協定を追加します。
Q: 再委託契約に監査権限を盛り込むべきでは?
A: 監査権限は有効ですが、設問は25字以内で情報セキュリティ観点の「要請事項」を問うため、最優先となる秘密保持契約の締結を答えます。
A: 監査権限は有効ですが、設問は25字以内で情報セキュリティ観点の「要請事項」を問うため、最優先となる秘密保持契約の締結を答えます。
Q: F社が基準を満たすと保証されているのなら追加契約は不要?
A: 保証だけでは法的拘束力がなく、機密漏えい時の責任追及も困難です。秘密保持契約が不可欠です。
A: 保証だけでは法的拘束力がなく、機密漏えい時の責任追及も困難です。秘密保持契約が不可欠です。
関連キーワード: 再委託管理, 秘密保持契約, 情報漏えい対策, 契約条項, 管理責任
設問2:監査報告での指摘事項について、(1)、(2)に答えよ。
(2)委託業務の観点に基づいた指摘事項を、本文中の指摘事項(ウ)、(エ)のほかに二つ挙げ、それぞれ40字以内で述べよ。
模範解答
・E社からの結合テスト結果報告書に目を通さなかった。
・E社へ提供した資料やデータに関して、回収又は破棄の確認を行っていなかった。
解説
解答の論理構成
- 指摘事項は「委託業務の観点」で追加しなければなりません。すなわち、E社への業務委託の実施・管理プロセスに起因する問題点を抽出します。
- 本文から該当する “事実” を探します。
- 結合テスト終了後の場面で、本文には
「結合テストの終了後、D社はE社から結合テスト結果報告書を受け取ったが、前述の不具合が解決していたので、結合テスト結果報告書に改善を迫まなかった。」
とあります。これは成果物レビューを怠り、検収が形式的になったという委託業務管理上の欠陥です。 - 資料・データの取扱いでは、本文に
「D社からE社へ提供した資料やデータに関して、これまでリリース後E社が破棄するという暗黙の了解があり、今回もD社は、回収又は破棄の確認を行っていなかった。」
とあります。情報資産の回収・破棄確認は委託終了時の基本統制であり、不実施は委託業務上の問題です。
- 結合テスト終了後の場面で、本文には
- 以上を40字以内でまとめると模範解答の二点になります。
- 「E社からの結合テスト結果報告書に目を通さなかった。」
- 「E社へ提供した資料やデータに関して、回収又は破棄の確認を行っていなかった。」
- これらは既存の指摘事項(ウ)「外部委託先の担当者が、契約対象外であるシステム設計を行っていた」、(エ)「外部委託先のオープン系システム開発スキルが不足していた」と重複せず、委託業務プロセスの別側面を補完します。
誤りやすいポイント
- 「委託業務」の範囲を誤解し、選定基準や契約条項を再度挙げてしまう。
- 指摘対象がD社自身なのかE社なのかを混同し、外部委託“管理”としての問題点を逃す。
- 形式的検収や成果物レビュー不足を見逃しがち。本文では“改善を迫まなかった”という表現がヒントです。
- 資料破棄の確認漏れを機密情報の話題とだけ捉え、「委託終了時処理」という観点を忘れる。
FAQ
Q: 結合テスト結果報告書を受領した時点で不具合が解消していれば検収は不要ではありませんか?
A: システム監査では成果物の妥当性確認が要求されます。本文のように「目を通さなかった」場合、成果物の内容・品質を保証できず、委託管理統制に欠陥があると判断されます。
A: システム監査では成果物の妥当性確認が要求されます。本文のように「目を通さなかった」場合、成果物の内容・品質を保証できず、委託管理統制に欠陥があると判断されます。
Q: 資料・データの破棄確認はNDAでカバーされないのでしょうか?
A: NDAは秘密保持を義務付けるものですが、現物・データの「回収又は破棄」の手続きを定めなければ実効性が担保できません。本文では暗黙の了解のみで正式な確認がなかった点が問題となります。
A: NDAは秘密保持を義務付けるものですが、現物・データの「回収又は破棄」の手続きを定めなければ実効性が担保できません。本文では暗黙の了解のみで正式な確認がなかった点が問題となります。
Q: 指摘事項には必ず改善勧告を添える必要がありますか?
A: システム監査基準では、指摘事項に対し改善策の提言を行うことが望まれます。本文でも「監査チームは、次の指摘事項に対して改善勧告を提言し」と明記されています。
A: システム監査基準では、指摘事項に対し改善策の提言を行うことが望まれます。本文でも「監査チームは、次の指摘事項に対して改善勧告を提言し」と明記されています。
関連キーワード: 検収プロセス, 秘密保持契約, 成果物レビュー, 情報資産管理
設問3:監査報告での改善勧告について、(1)、(2)に答えよ。
(1)本文中の下線の活動の名称を答えよ。
模範解答
改善指導 又は フォローアップ
解説
解答の論理構成
- 監査基準では、監査人は指摘事項に対する是正措置が適切に実施されたかどうかを確認する責任があります。
- 問題文には、監査チームが「次の指摘事項に対して改善勧告を提言し、次回システム監査の場で改善状況を確認することで、情報システム部と合意した。」と記載されています。
- この「改善状況を確認する」行為は、監査人が勧告後に行う継続的な追跡調査を指し、一般に「フォローアップ」または「改善指導」と呼ばれます。
- したがって、本文中の下線部の活動名は「改善指導 又は フォローアップ」となります。
誤りやすいポイント
- 「再監査」と混同する
フォローアップは前回監査の指摘事項のみを対象に進捗を確認する活動であり、全領域を網羅する再監査とは範囲が異なります。 - 「モニタリング」と混同する
モニタリングは経営者が日常的に行う統制評価であり、監査人が勧告後に実施するフォローアップとは主体と目的が異なります。 - 「是正措置の実施」≠「フォローアップ」
是正措置は被監査部門が行う活動、フォローアップは監査人が是正措置の効果を確認する活動です。
FAQ
Q: フォローアップは必ず現地で行う必要がありますか?
A: 報告書・エビデンスの提出で十分と判断できれば文書確認のみで済む場合もあります。重大リスクが残るときは再度のインタビューや実査が推奨されます。
A: 報告書・エビデンスの提出で十分と判断できれば文書確認のみで済む場合もあります。重大リスクが残るときは再度のインタビューや実査が推奨されます。
Q: フォローアップの結果、改善が不十分だった場合はどうなりますか?
A: 追加の改善勧告を出し、社長や取締役会に報告するのが一般的です。必要に応じて再フォローアップを計画します。
A: 追加の改善勧告を出し、社長や取締役会に報告するのが一般的です。必要に応じて再フォローアップを計画します。
Q: フォローアップの時期はいつ決めるべきですか?
A: 監査報告書提出時に被監査部門と合意しておくのが望ましく、本文でも「情報システム部と合意した」と記載されています。
A: 監査報告書提出時に被監査部門と合意しておくのが望ましく、本文でも「情報システム部と合意した」と記載されています。
関連キーワード: フォローアップ, 改善勧告, 是正措置, 監査証拠, 外部委託
設問3:監査報告での改善勧告について、(1)、(2)に答えよ。
(2)本文中の指摘事項(ウ)、(エ)に対する被監査部門の改善状況について、次回システム監査の場で監査チームが確認すべき事項として最も適切なものを、解答群の中からそれぞれ一つ選び、記号で答えよ。
解答群
ア:オープン系システム人材育成計画を策定していること
イ:オープン系システムの開発標準を整備し、D社内で遵守していること
ウ:開発業務委託契約書に委託する工程と役割を明記し、遵守していること
エ:開発プロジェクトにおいてシステム設計レビューを強化していること
オ:外部委託先から担当者のスキルシートを提出させていること
カ:外部委託先選定基準に、“必要な開発スキルの保有”を追加していること
キ:プロジェクト体制図に外部委託先の責任者名を明記していること
模範解答
(ウ):ウ
(エ):カ
解説
解答の論理構成
-
指摘事項(ウ)の内容
【問題文】では「指摘事項(ウ) 外部委託先の担当者が、契約対象外であるシステム設計を行っていた。」とあります。
これは委託契約の範囲逸脱という契約管理上の問題です。したがって改善確認では、
「開発業務委託契約書に委託する工程と役割を明記し、遵守していること」
が最も直接的な対策になります。解答群の「ウ」が該当します。 -
指摘事項(エ)の内容
【問題文】では「指摘事項(エ) 外部委託先のオープン系システム開発スキルが不足していた。」とあります。
スキル不足を根本的に防ぐには、委託先選定時点で必要スキルを要件化することが王道です。解答群では
「カ:外部委託先選定基準に、“必要な開発スキルの保有”を追加していること」
がこれに合致します。よって(エ)の解答は「カ」です。 -
他の選択肢との比較
・ア:社内育成計画は委託先スキル不足の直接解決にならない
・イ:開発標準整備は品質確保策であってスキル不足対策ではない
・オ:スキルシート提出は確認手段にとどまり、選定基準の強化ほど実効性が低い
・エ:設計レビュー強化は(ウ)の契約範囲逸脱問題の根本解決ではない
・キ:体制図に責任者名を明記しても契約範囲逸脱やスキル不足に直接効かない
以上より、模範解答どおり
(ウ):ウ (エ):カ
となります。
(ウ):ウ (エ):カ
となります。
誤りやすいポイント
- スキル不足=「スキルシート提出(オ)」と短絡する
提出させるだけでは基準に組み込まれていなければ改善勧告のフォローになりません。 - 契約外作業=「設計レビュー強化(エ)」と読み違える
レビュー強化は品質向上策であり、契約管理の統制ではありません。 - 「外部委託先選定基準」の改善を見落とす
問題文に既に①〜④の基準が列挙されており、そこへ不足スキルの追記が必要という流れを読み取る必要があります。
FAQ
Q: スキルシート提出(オ)でも一定の効果がありそうですが、なぜ不適切なのですか?
A: スキルシートは実態把握に留まり、「基準に盛り込んで選定を行う」という統制強化策ではありません。指摘事項は「不足していた」事実なので、選定段階で排除できるよう基準を改定する「カ」がより適切です。
A: スキルシートは実態把握に留まり、「基準に盛り込んで選定を行う」という統制強化策ではありません。指摘事項は「不足していた」事実なので、選定段階で排除できるよう基準を改定する「カ」がより適切です。
Q: 契約外作業の再発防止にレビュー強化(エ)が有効では?
A: レビューは成果物の品質統制であり、そもそも契約範囲を超えた作業を許容してしまう統制上の欠陥を是正しません。契約書に工程・役割を明確化し遵守させる「ウ」が本質的な対策です。
A: レビューは成果物の品質統制であり、そもそも契約範囲を超えた作業を許容してしまう統制上の欠陥を是正しません。契約書に工程・役割を明確化し遵守させる「ウ」が本質的な対策です。
Q: 外部委託先選定基準は既に4項目ありますが、追加しても過剰では?
A: 必要な統制はリスクベースで決めるものです。オープン系スキル不足という具体的なリスクが顕在化した以上、基準追加は合理的な内部統制強化です。
A: 必要な統制はリスクベースで決めるものです。オープン系スキル不足という具体的なリスクが顕在化した以上、基準追加は合理的な内部統制強化です。
関連キーワード: 外部委託管理, 契約統制, スキル基準, 内部統制, 品質管理
