応用情報技術者試験 過去問 2010年(平成22年) 春期 午後 問12

外部委託管理の監査に関する次の記述を読んで,設問1〜3に答えよ。

D社は,衣料品卸売会社である。多品種少量の商品を短いサイクルで卸すことを可能にするため,既存の物流システム(以下,旧システムという)を再構築し,今春,物流統合システム(以下,新システムという)を完成させた。新システムは,メーカ及び小売店との間で諸情報をインターネット経由で授受する機能など,D社にとって初めてオープン系システムの技術を取り入れたものであった。

新システム開発プロジェクトは,業務チーム,開発チーム及び運用チームの3チームで構成され,情報システム部が主管する開発チームは,旧システムの開発,保守で実績のあったE社を外部委託先とした。開発チームのメンバは,D社内に設置された新システム開発プロジェクトルームに集結し,開発を進めた。図に新システム開発プロジェクト体制を,表に新システム開発工程と主要成果物を示す。

新システム開発プロジェクト体制
図 新システム開発プロジェクト体制
表 新システム開発工程と主要成果物
項番 開発工程 主管チーム 主要成果物(★はE社納品物)
1 業務要件定義 業務チーム 業務要件定義書
2 システム設計 開発チーム 基本設計書
3 プログラム開発(プログラム設計〜プログラミング〜単体テスト) 開発チーム(E社に委託) プログラム仕様書 ★
単体テスト結果報告書 ★
プログラムソース ★
4 結合テスト 開発チーム(E社に委託) 結合テスト結果報告書 ★
5 システムテスト 開発チーム システムテスト結果報告書
6 ユーザ受入れテスト 業務チーム ユーザ受入れテスト結果報告書
ユーザマニュアル
7 移行 運用チーム リリース結果報告書

新システム稼働後,D社の監査室は,社長からの指示を受け,新システム開発業務における外部委託管理の妥当性について,システム監査を実施することになった。被監査部門は,情報システム部及びE社であった。監査チームは,個別計画を策定し,予備調査,本調査,評価・結論という手順で監査を進めた。予備調査及び本調査によって判明した事実は,次のとおりであった。

【判明した事実】

  1. 外部委託契約の状況
    • D社の外部委託先選定基準は,①経営状態が安定している,②D社の情報セキュリティ管理基準を遵守できる,③D社の品質管理基準を遵守できる,④納品物の知的財産権はD社に帰属することを了解する,の四つである。
    • E社との開発業務委託契約は,プログラム開発と結合テストが対象であり,請負契約であった。納品物の知的財産権はD社に帰属することで合意済であった。
    • D社からの契約条件として,従来比20%のコスト削減を求められたE社は,プログラミング作業の大半を,コストの低いシステム開発会社F社に再委託した。開発業務委託契約の中には再委託に関する条項はなかったが,F社への再委託について,事前にD社へ報告していた。
    • D社からE社へ提供した資料やデータには,D社の営業秘密情報が含まれていたので,両社間でD社の営業秘密情報に関する秘密保持契約(NDA)を締結した。
  2. 新システム開発の状況
    • 業務要件定義とシステム設計は,計画どおりに進捗していた。
    • プログラム設計に着手後,システム設計の漏れが発覚した。時間が限られていたので,急きょD社の業務処理を熟知するE社の担当者に,漏れていた部分の基本設計書の作成を依頼していた。
    • 新システム開発に際して,開発標準(システムコード規約,コーディング規約,ネーミング規約などから成る)の内容の見直しは行われず,既存のD社開発標準に従って開発作業が進められていた。
    • 単体テストにおいて,プログラム不良によるバグが多発した。主な原因は,E社とF社のオープン系システム開発スキル不足,及び今回採用したオープン系システムに必要なコーディング規約が,既存のD社開発標準に記述されていなかったことであった。単体テストの終了は,計画よりも1週間遅延した。
    • 結合テストにおいて,サブシステム間のインタフェース仕様に関する認識相違による不具合が発生したが,E社の担当者同士で話し合い,解決した。単体テストで発生した1週間の遅延は,結合テストの終了までに解消していた。
    • 結合テストの終了後,D社はE社から結合テスト結果報告書を受け取ったが,前述の不具合は解決していたので,結合テスト結果報告書には目を通さなかった。
    • システムテスト及びユーザ受入れテストは,計画どおりに実施された。
  3. E社に対する管理の状況
    • プロジェクトの進捗確認,問題解決を目的とした進捗報告会議が,週1回の頻度で,D社とE社によって開催されていた。議事録,進捗報告書,問題管理表は,D社指定の様式に従って作成されていた。
    • D社は,E社の進捗状況を適宜把握しており,遅延発生時には対策を講じていた。
    • 過去,長年にわたって,E社に起因する重大なシステム不具合は起きていなかったので,これまでE社からの納品物に対するD社の検収は形式的になっていた。
    • D社からE社へ提供した資料やデータに関して,これまでリリース後にE社が破棄するという暗黙の了解があり,今回もD社は,回収又は破棄の確認を行っていなかった。

監査チームは,調査内容をシステム監査報告書にまとめ,社長に報告した。監査チームは,次の指摘事項に対して改善勧告を提言し,次回システム監査の場で改善状況を確認することで,情報システム部と合意した。

【指摘事項(抜粋)】

  1. 委託先選定
    • (ア) 新システム開発において,外部委託先選定基準の設定が不十分であった。
  2. 契約
    • (イ) 開発業務委託契約書に,再委託に関する条項がなかった。
  3. 委託業務
    • (ウ) 外部委託先の担当者が,契約対象外であるシステム設計を行っていた。
    • (エ) 外部委託先のオープン系システム開発スキルが不足していた。
出典:平成22年度 春期 応用情報技術者試験 午後 問12