« システム監査の小論文に対するご質問 | メイン | 2010年システム監査技術者試験 午後II 問1 解答例 »

2010年4月20日

平成22年度、システム監査技術者試験 午後II、問3

平成22年 システム監査技術者試験 午後Ⅱ 問3 解答例 

1.ITコスト削減とその理由
1.1 ITコスト削減の概要

 私が内部監査を実施したシステムはC社のWeb販売システムの運用コストである。C社では農作物系の加工品 をインターネットで販売している。

1.1.1 現行システム

 現在稼動しているWebシステムは2つある。1つは大手ショッピングモールであり、いまひとつはWeb専門企業に構築、運営を任せている独自ドメインWebサイトである。この独自ドメインWebサイトは運営業者サイトにおかれていて、業者の提供する機能を利用している。

1.1.2 削減取り組み内容と目的

 経営層によるWebにかかわるITコスト削減の方針は次のとおりである。

  1. 大手ショッピングサイトを、5年をめどに撤退する。その結果、システム利用料を0円にする
  2. 独自ドメインサイトの運営を自主運営として、別サーバに移転する。この結果、毎月業者に支払っているWebサイト運営費を0円とする。

 この結果、C社のネットビジネス事業の営業利益を売上げに対して7%確保する。

1.2 ITコスト削減の理由
大手ショッピングモールでは、売上課金やメルマガ課金などが負担になっており、現在では月額1,000万円近くシステム使用量の名目で支払っている。また、独自ドメインサイトでは、月額10万円程度の運用コストがかかっていて、Webショップの費用対効果を低下させている。 また、大手ショッピングモールに毎月支払う1000万円の金額が事業運転資金の資金繰りを悪化させている。この問題を放置すると、黒字倒産になる可能性もある。このほか前年度の税理士法人監査でも独自ドメインサイトの運営コストの高さが指摘事項でもあった。
2.監査項目
 監査上、重要な点は情報システムコスト削減が経営方針や戦略的目標を実現するために貢献できるかがポイントである。
2.1 コスト削減計画についての監査項目

 C社ではシンクライアントに関する情報システムリスクを次のように認識している。

  1. ITコスト削減計画がITガバナンスに基づいて行われているか
  2. ITコスト削減計画が情報化投資構想と矛盾しないこと
  3. ITコスト削減後の情報システムが組織の情報システムのあるべき姿と矛盾しないこと
  4. ITコスト削減計画が情報セキュリティ基本方針と合致すること。
  5. 上記のITコスト削減案を含めた全体計画が組織の長の承認を得ているとともに利害関係者の合意を得ていること。
  6. ITコスト削減案の後の経営資源を明確にすること
  7. ITコスト削減案の投資効果、リスクが明確になっていること
  8. ITコスト削減後の情報システムの品質が明確になっていること
  9. ITコスト削減の優先順にが明確になっていること
  10. ITコスト削減にあたっては外部資源の活用を考慮していること
  11. 情報システム化委員会でITコスト削減案を策定し、モニタリングし、検討すること
  12. 情報システム化委員会でITコスト削減案の技術採用方針を明確にすること
  13. ITコスト削減について、影響、効果、実現等の観点から選択肢を検討すること
  14. ITコスト削減について投資対効果の算出方法を明確にしておくこと
2.2ITコスト削減によるリスク監査

 以下の観点で監査を実施する。

  1. 情報資産の管理方針、体制を明確にすること
  2. 業務手続の変更が必要になる
  3. ITコスト削減にあたってはユーザ、開発、運用、保守責任者が承認するこ
  4. IT資源の調達にあたっては組織のルールにしたがって行われること
  5. ITコスト削減に当たってユーザの利便性が確保されること
  6. ITコスト削減はユーザ要求を満たすこと
  7. ITコスト削減によって障害対策機能が劣化しないこと
  8. 誤謬、不正防止、機密保護対策が設計されているこ
  9. モニタリング機能を考慮して設計しておくこ
3 監査で発見された問題点と改善案
3.1 監査で発見された問題点

(1)ユーザの求める機能の確保にコストが必要であること
 SSLやPOP Before SMTPなどのセキュリティ機能、ショッピングカート機能、認証機能、代金決済機能などASP(Application Service Provider)を利用するとコスト増に繋がる要因が発見された。

(2)ASPサイトのセキュリティ強度について
 専門家の意見を求めたところ「ショッピングカートが外部の不正なアクセス者によって数ヶ月ダウンしたことがある」「そのような場合、代替案の検討も必要ではないか」とん指摘を受けた。ASPのセキュリティ強度の 検証が難しい

(3)ユーザ部門の不安
 大手Webサイトを離脱すると顧客リストを返却しなくてはならず、顧客離れが発生するのではないかという 不安がweb運営担当者から提示された。

3.2 改善案

 以上の問題についての改善案を監査報告書の中で助言した。

(2)ASPのセキュリティ強度
 外部ASPを利用したコストモデルと現行のコストモデルの対比表を項目別に作成し、経営者や利害関係者に説明した。  比較も個別項目別比較と全体比較をサービス別に行いつつ、営業利益7%達成可能か検討した。

(1)ユーザの求める機能の確保にコスト
 第三者組織に対して内部監査はできない。このため、ASP採用は代替案を含めて3案提示して、以下の項目について検討した。①ユーザ数、②おもな利用者の利用実績、③業界の評価、④過去の大きなセキュリティ事故  この報告データを利害関係者に提示した。

(3)ユーザの不安
  集客の代替案を販売促進計画書としてとりまとめ、検索エンジン対策等の対策を含めて提示した。
以上

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 2010年4月20日 16:25