AP22春後問12

AP22春後問12

応用情報技術者試験平成22年度春午後問12


 外部委託管理の監査に関する次の記述を読んで,設問 1 ~ 3 に答えよ。


 D 社は,衣料品卸売会社である。多品種少量の商品を短いサイクルで卸すことを可能にするため,既存の物流システム(以下,旧システムという)を再構築し,今春,物流統合システム(以下,新システムという)を完成させた。新システムは,メーカ及び小売店との間で諸情報をインターネット経由で授受する機能など,D 社にとって初めてオープン系システムの技術を取り入れたものであった。

 新システム開発プロジェクトは,業務チーム,開発チーム及び運用チームの 3 チームで構成され,情報システム部が主管する開発チームは,旧システムの開発,保守で実績のあった E 社を外部委託先とした。開発チームのメンバは,D 社内に設置された新システム開発プロジェクトルームに集結し,開発を進めた。図に新システム開発プロジェクト体制を,表に新システム開発工程と主要成果物を示す。

f:id:tamagopanda:20100628202614p:image


表 新システム開発工程と主要成果物

項番開発工程主管チーム主要成果物(*は E 社納品物)
1業務要件定義業務チーム業務要件定義書
2システム設計開発チーム基本設計書
3プログラム開発(プログラム設計~プログラミング~単体テスト)開発チーム(E 社に委託)プログラム仕様書 *
単体テスト結果報告書 *
プログラムソース *
4結合テスト開発チーム(E 社に委託)結合テスト結果報告書*
5システムテスト開発チームシステムテスト結果報告書
6ユーザ受入れテスト業務チームユーザ受入れテスト結果報告書
ユーザマニュアル
7移行運用チームリリース結果報告書

(※注:ブラウザによっては,この表は,ズレて表示されています。*1


 新システム稼働後,D 社の監査室は,社長からの指示を受け,新システム開発業務における外部委託管理の妥当性について,システム監査を実施することになった。披監査部門は,情報システム部及び E 社であった。監査チームは,個別計画を策定し,予備調査,本調査,評価・結論という手順で監査を進めた。予備調査及び本調査によって判明した事実は,次のとおりであった。


〔判明した事実〕

(1) 外部委託契約の状況

  • D 社の外部委託先選定基準は,[1] 経営状態が安定している,[2] D 社の情報セキュリティ管理基準を遵守できる,[3] D 社の品質管理基準を遵守できる,[4] 納品物の知的財産権は D 社に帰属することを了解する,の四つである。
  • E 社との開発業務委託契約は,プログラム開発と結合テストが対象であり,請負契約であった。納品物の知的財産権は D 社に帰属することで合意済であった。
  • D 社からの契約条件として,従来比 20% のコスト削減を求められた E 社は,プログラミング作業の大半を,コストの低いシステム開発会社 F 社に再委託した。開発業務委託契約の中には再委託に開する条項はなかったが, F 社への再委託について,事前に D 社へ報告していた。
  • D 社から E 社へ提供した資料やデータには,D 社の営業秘密情報が含まれていたので,両社間で D 社の営業秘密情報に関する秘密保持契約(NDA)を締結した。

(2)新システム開発の状況

  • 業務要件定義とシステム設計は,計画どおりに進捗していた。
  • プログラム設計に着手後,システム設計の漏れが発覚した。時間が限られていたので,急きょ D 社の業務処理を熟知する E 社の担当者に,漏れていた部分の基本設計書の作成を依頼していた。
  • 新システム開発に際して,開発標準(システムコード規約,コーディング規約,ネーミング規約などから成る)の内容の見直しは行われず,既存の D 社開発標準に従って開発作業が進められていた。
  • 単体テストにおいて,プログラム不良によるバグが多発した。主な原因は,E 社と F 社のオープン系システム開発スキル不足,及び今回採用したオープン系システムに必要なコーディング規約が,既存の D 社開発標準に記述されていなかったことであった。単体テストの終了は,計画よりも1週間遅延した。
  • 結合テストにおいて,サブシステム間のインタフェース仕様に関する認識相違に

  よる不具合が発生したが,E社の担当者同士で話し合い,解決した。単体テストで発生した 1 週間の遅延は,結合テストの終了までに解消していた。

  • 結合テストの終了後,D 社は E 社から結合テスト結果報告書を受け取ったが,前述の不具合は解決していたので,結合テスト結果報告書には目を通さなかった。
  • システムテスト及びユーザ受入れテストは,計画どおりに実施された。

(3) E 社に対する管理の状況

  • プロジェクトの進捗確認,問題解決を目的とした進捗報告会議が,週 1 回の頻度で,D 社と E 社によって開催されていた。議事録,進捗報告書,問題管理表は,D 社指定の様式に従って作成されていた。
  • D 社は,E 社の進捗状況を適宜把握しており,遅延発生時には対策を講じていた。
  • 過去,長年にわたって,E 社に起因する重大なシステム不具合は起きていなかったので,これまで E 社からの納品物に対する D 社の検収は形式的になっていた。
  • D 社から E 社へ提供した資料やデータに関して,これまでリリース後に E 社が破棄するという暗黙の了解があり,今回も D 社は,回収又は破棄の確認を行っていなかった。

 監査チームは,調査内容をシステム監査報告書にまとめ,社長に報告した。監査チームは,次の指摘事項に対して改善勧告を提言し,次回システム監査の場で改善状況を確認することで,情報システム部と合意した。


〔指摘事項(抜粋)〕
(1) 委託先選定
(ア) 新システム開発において,外部委託先選定基準の設定が不十分であった。
(2)契約
(イ)開発業務委託契約書に,再委託に関する条項がなかった。
(3)委託業務
(ウ)外部委託先の担当者が,契約対象外であるシステム設計を行っていた。
(エ)外部委託先のオープン系システム開発スキルが不足していた。

設問1

 外部委託管理に関する監査のために,監査チームが被監査部門から入手すべき資料を,解答群の中から三つ選び,記号で答えよ。

解答群
ア D 社の職務規定
イ D 社の中長期経営計画
ウ 開発業務委託契約書
エ 新システム開発プロジェクト体制図
オ 進捗報告書
カ ユーザマニュアル

設問2

 監査報告での指摘事項について,(1),(2) に答えよ。

(1) 本文中の指摘事項(イ)に関して,D 社が E 社からの申出を受けて再委託を認める場合,情報セキュリティの観点から E 社に対して要請すべき事項を,25 字以内で述べよ。
 なお,E 社は,F 社が本文中の D 社の外部委託先選定基準を満たすことを保証している。
(2) 委託業務の観点に基づいた指摘事項を,本文中の指摘事項(ウ),(エ)のほかに二つ挙げ,それぞれ 40 字以内で述べよ。


設問3

 監査報告での改善勧告について,(1),(2)に答えよ。

(1)本文中の下線の活動の名称を答えよ。
(2)本文中の指摘事項(ウ),(エ)に対する被監査部門の改善状況について,次回システム監査の場で監査チームが確認する事項として最も適切なものを,解答群の中からそれぞれ一つ選び,記号で答えよ。

解答群
ア オープン系システム人材育成計画を策定していること
イ オープン系システムの開発標準を整備し,D 社内で遵守していること
ウ 開発業務委託契約書に委託する工程と役割を明記し,遵守していること
エ 開発プロジェクトにおいてシステム設計レビューを強化していること
オ 外部委託先から担当者のスキルシートを提出させていること
力 外部委託先選定基準に,“必要な開発スキルの保有”を追加していること
キ プロジェクト体制図に外部委託先の責任音名を明記していること

問題掲載者による注意書き

  • 実際の問題文中では,丸 1,丸 2 (○の中に数字が入っている)で表記されていた文字は,機種依存文字のため, [1] ,[2] の様に置き換えた。(下線 [1],[2]等)
  • 空欄[ a ][ b ][ c ]等は,実際の問題文中では,四角で囲まれた,a,b,c だったが,テキスト表現をするため,[ ]で置き換えた。

*1:表のセル内で,1行目が自動的に一文字分,字下げされ,2行目は字下げされずに表示されます。(そのように表示されることが確認されたブラウザ:GoogleChome)
恐れ入りますが,表示ズレしている場合には,他ブラウザをお試しください。