ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 組織でさがす > 監査事務局 > 監査事務局 監査第二課 > 情報システムに関する財務事務【概要版】

本文

情報システムに関する財務事務【概要版】

ページ番号:0000003686 更新日:2019年10月21日更新 印刷ページ表示

「平成19年度包括外部監査結果報告書」の概要について(情報システムに関する財務事務の執行について)

1 外部監査の概要

  1. 外部監査の種類
    地方自治法第252条の37第1項及び第4項並びに広島市外部監査契約に基づく監査に関する条例第2条に基づく包括外部監査
  2. 選定した特定の事件(テーマ)
    情報システムに関する財務事務の執行について
  3. 監査対象期間
    平成18年度を対象とした。ただし、必要に応じて過年度及び平成19年度分の一部についても監査対象とした。
  4. 外部監査実施期間
    平成19年7月18日から平成20年1月16日まで
    なお、平成19年4月1日から平成19年7月17日までは、事件の選定を行うとともに、補助者の選定を行った。

2 監査実施の概要

 自治体の行政運営にとって、情報システムは必要不可欠なものである。
 現在、広島市は、「広島市情報化基本計画」(平成12年策定)及びそのアクションプログラムとしての「e‐市役所推進計画」に基づき、次世代インターネットの活用による情報通信基盤の整備と利用者の視点に立った情報利用環境の整備を2大目標として進めているところである。
 このような、情報システム投資については、当初の導入目的に見合った効果が実現されているかどうか、システムの改修等多額の支出が経済的かつ効率的になされているかどうか、情報の外部への漏えい防止等のセキュリティが保たれているかどうかについて、外部の視点で監査を行う必要性があると考え、特定の事件として選定したものである。

(1)監査対象の選定

 次表に記述した情報システムの調達に関わる業務について監査の対象とした。

  システム名称 所管部 業務内容
1 広島県・市町村電子申請システム 企画総務局情報政策課 システムの運用サービス提供業務の委託
2 業務流れ図、情報システム開発標準及び共通基盤の機能要件整備支援業務 企画総務局情報政策課 支援業務の委託
3 電子計算機用入力データ作成業務(就学援助等) 企画総務局情報政策課 データ入力委託
電子計算機用入力データ作成業務(市税システム) 企画総務局情報政策課 データ入力委託
4 ホームページ「広島市の産業」 経済局経済振興課 保守・運用委託
5 福祉情報システム(補装具、地域生活支援事業等)の改造に係る業務 社会局社会企画課 システム改造委託
6 国民健康保険事務システムの改造に係る業務 社会局保険年金課 システム改造委託
7 入札・契約制度改善に伴う電子調達システムへの機能追加業務 財政局契約部 システム機能追加委託
広島市電子調達システムに係る機器設備等提供及び運用管理業務 システム運用管理の委託
電子調達システム
システム支援委託業務		 支援業務の委託
8 電子計算機(端末装置一式)の借上げ 企画総務局情報政策課 機器レンタル

(2)監査の視点

 情報システムに関する財務事務の執行が、関係諸法規に従って経済的・効率的・有効的に行われているかを検証するために、以下の着眼点に基づき監査を行った。

  • ア 情報システムの導入又は運用に関する事務手続が法令や規則に準拠しているか。
  • イ 情報システムの導入又は運用に関する統制(ITガバナンス1)が確立しているか。
  • ウ 情報システムの導入又は運用に関する共同化・標準化が進んでいるか。
  • エ 情報システムの導入又は運用によって住民サービスの向上や業務の効率化が図られているか。
  • オ 情報セキュリティ対策が有効かつ効率的に行われているか。

3 監査結果の概要

(1)ホームページ「広島市の産業」

ア 委託業務の再委託手続について

 広島市委託契約約款の第5条(再委託の禁止)では、「受託業者は、委託業務を第三者に行わせてはならない。ただし、広島市が認める委託業務(収納事務を除く)については、この限りではない。」と定めている。本業務の委託先は、サーバ保守やメンテナンス業務について、別の業者に業務を委託している。所管課の経済振興課は委託先が業務の一部を再委託していることは認識しているが、当該業務の再委託を個別に承認する手続はとられていない。広島市委託契約約款に基づき文書により再委託を承認する手続がなされるべきである。

4 監査意見の概要

(1)広島県・市町村電子申請システム

ア 緊急時対応計画の策定と訓練の実施について

 このシステムの「実施手順」には、緊急時の対応として連絡経路、報告、対処、再発防止の措置について規定されている。「緊急連絡体制図」を関係者に周知徹底し、連絡先に間違いがないか確認している。しかし、これまでシステム障害などの事故を想定して訓練や演習が行われたことはない。システム障害や災害発生時に適切な対処ができず、業務の継続や回復が確実に行えないおそれがある。システム障害や災害によるサービス停止に備えて、緊急時対応計画や業務継続計画を策定し、定期的に緊急時の対応について訓練を実施することが必要である。

イ 広島県・市町村電子申請システムの効果測定について

 このシステムの運用開始後、電子化された手続や利用件数などを情報政策課が毎年調査し、行政評価等において公表しているものの、e-市役所推進本部に対しては、1度報告されたのみである。e-市役所推進計画に掲げられた施策の実績や評価結果については、その多くがe-市役所推進本部に対して継続的に報告されていないため、当初想定された効果が得られていることをe-市役所推進本部において確認できない。施策の事後評価の結果を、e-市役所推進本部に報告する手続を規定することが必要である。

(2)業務流れ図、情報システム開発標準及び共通基盤の機能要件整備支援業務

ア 契約事前手続について

 この業務は、業者からの支援を受けながら将来のシステム導入に向けて調査・研究したものであり、行政情報化推進部会の審議の対象となっていない。この業務では、調査・研究用としてソフトウェアも導入されており、将来の情報システムの導入に影響を与える業務であることを考えると行政情報化推進部会で審議されていてもおかしくはない。審議の対象とはならないような案件であっても、行政情報化推進部会のような機関で審議されないと、機種や業者選定の手続、金額の妥当性等について統制が働かず、抜け道となるおそれがある。

イ 成果の共有について

 この業務では、「開発標準(案)」、「共通基盤機能要件(案)」、「業務流れ図・業務要件管理ツール及び操作マニュアル」、「成果報告書」が作成された。業務の目的を標準類などのドキュメントの作成ととらえれば目的は達成されている。しかし、今後のシステム整備を効率的かつ効果的に行うことをこの業務の本来の目的とするならば、速やかにこれらの成果物が庁内の関係者に告知され、説明会を開催するなどの情報共有が図られないと、投資した効果を得られるかどうかが懸念される。

(3)ホームページ「広島市の産業」

ア 契約履行評価手続について

 この業務の範囲については、広島市委託契約約款で定め、さらに事業計画書に記されている。約款や事業計画書に記載されていない作業内容については、経済振興課と委託先とで協議して具体的に依頼している。現状、委託業務で求めるサービスの水準について取り決めがないため、委託業務が適切に行われていることを経済振興課で客観的に確認することができない。委託業務の量的、質的な定めを設けて、委託業務が適切に行われていることを確認することが必要である。

イ ホームページ(情報サイト)の安全性確保のためのモニタリングについて

 委託先は経済振興課に毎月ホームページのアクセス件数を報告している。また、打ち合わせの中でホームページに関するトラブルや不具合があれば報告している。ホームページの安全性についてトラブルや不具合等の報告に加えて、あらかじめ定められた事項について定期的に確認されないと、サーバへの不正侵入やホームページの改ざん、サーバの停止などに対して予防的な対策がとられず、対策が後手に回るおそれがある。委託先から経済振興課が定期的に報告を受け、ホームページが安全に運用されていることを確認することが必要である。

(4)福祉情報システム(補装具、地域生活支援事業等)の改造に係る業務

ア 改造の範囲、改造の優先度の妥当性について

 このシステムの改造における調達手続は、「広島市契約規則」等に従って行われている。しかしながら、社会企画課と情報政策課の担当者の間で事前に検討された内容について、記録が残っておらず、改造の方針や改造の範囲、改造の優先度が適切であったことを確認することができない。現状の「行政情報化推進部会設置要綱」では審議の対象とはならないような案件であっても、高額な契約やシステムの重要性によっては、第三者が客観的にシステムの導入等について評価できるよう要綱等で規定する必要がある。

イ 改造業務の所要経費の算定について

 このシステムが稼動するホストコンピュータ2の運用は業者に委託されており、市ではプログラムの修正量を調査することが困難であり正確には確認することができない。改造が完了した後にシステムの設計書などを基にして、変更対象となる画面数や帳票数などで変更された規模を求め、事前に業者が見積もった修正量が乖離していないことを確認する手続が必要である。

(5)国民健康保険事務システムの改造に係る業務

ア 改造の範囲、改造の優先度の妥当性について

 このシステム改造も「福祉情報システム」の改造と同様に、調達手続は「広島市契約規則」等に従って行われている。しかしながら、保険年金課と情報政策課の担当者の間で事前に検討された内容について、記録が残っておらず、改造の方針や改造の範囲、改造の優先度が適切であったことを確認することができない。現状の「行政情報化推進部会設置要綱」では審議の対象とはならないような案件であっても、高額な契約やシステムの重要性によっては、第三者が客観的にシステムの導入等について評価できるよう要綱等で規定する必要がある。

(6)広島市電子調達システム

ア システム開発プロジェクトのモニタリングについて

 このシステムの開発プロジェクトは、電子調達システムの開発に係る進ちょく状況などをシステムの稼動まで行政情報化推進部会等に報告することはなかった。「行政情報化推進部会事務処理要領」には、プロジェクトの進ちょく状況を定期的に行政情報化推進部会へ報告することを求めていない。プロジェクトを企画・実行する主管課とは別のプロジェクトマネジメントを統括する組織が第三者的な視点をもってプロジェクトの進ちょく状況を定期的にモニタリングしないと、コストの増加やスケジュールの遅延などのリスクを発見できないおそれがある。

イ システム開発の事後評価について

 広島市では、開発した情報システムの効果を報告する手続や評価する手続が規定されていない。システムの効果を継続的にモニタリングする手続を規定しないと、e-市役所推進本部で計画が立案されたITの導入等から意図した効果が得られていることを確認できない。ITの導入結果をe-市役所推進本部や部会等に報告する手続を規定し運用することが必要である。

ウ システム変更手続の規定化について

 現在、このシステムの変更は、契約部内で口頭で協議を行い承認された変更について、契約部担当者がシステム支援委託業者に電話等で依頼しているが、電話等での依頼では、変更内容が正確に伝わらないおそれがある。契約部は、システム変更をシステム支援委託業者へ依頼する場合には、連絡票を起票し承認を得て依頼する等の手続が必要である。

(7)電子計算機(端末装置一式)の借上げ

ア レンタル機器の定期的な現物確認について

 「広島市情報セキュリティポリシー3」では、情報システム機器の管理責任者に「情報システム機器の設置状況を定期的に確認し、台帳管理を行うこと」を求めている。しかしながら、機器の現物の確認は、設置時や移設時には行われているものの、定期的には行われていない。情報システム機器の管理台帳やソフトウェアの管理台帳に基づいて、現物の存否や設置状況の良否を定期的に確認することが必要である。

イ 使用頻度の少ない機器やソフトウェアの契約の解約について

 組織改正や異動などにより機器の数量は見直されているが、導入済みの機器の構成については見直されていない。システムの稼動直後には必要であったが安定稼動後には不要になった機器やソフトウェアがないか、組織改正や人員の増減、システムの更改などによって使用頻度の下がった機器等が発見されないおそれがある。

(8)全般的に関わる意見

ア 情報資産の一元的な把握

 情報政策課は、平成18年に全庁的に情報資産を調査して情報システムや機器等を台帳にまとめた。しかし、その後、台帳は更新されていない。全庁あるいは広島市として利用している情報資産を一元的に把握できないと、機器やシステムの重複を排除しIT投資を最適化することができなくなる。また、情報セキュリティに関する対策が十分に行えているかを評価することができず、情報漏えいなどの情報セキュリティ事故4が起きてしまうリスクもある。

イ システム最適化への取組

 情報政策課では、EA(EnterpriseArchitecture)5というシステム設計・管理の手法を参考にして情報システムの開発標準を検討し、「業務流れ図」(業務フロー図)が試作された。EAの特徴の一つは、現在の組織や業務手順にこだわらず組織全体を俯瞰して、効率的・合理的な業務とシステムのモデル(全体最適なモデル)を作成することにある。その結果、無駄な業務を排除・統合し、横断的な情報のスムーズな流れを検討することができる。今回の検討ではEAの一部の分析図が採用されているが、今後、検討内容を基に業務分析を行う際には他の分析図のもつ機能にも留意して全体最適化を進める必要がある。

ウ 行政情報化推進部会審議後のフォローアップ

 予算額100万円未満のものは審議対象とならないなど情報システムに関わるすべての調達案件が行政情報化推進部会の審議の対象となっている訳ではない。行政情報化推進部会の審議の対象とならない案件についても審査を行う別の組織や手続が必要であると考える。
 また、審議対象の案件が審議後すぐに契約されるとも限らない。何らかの問題により予算要求が遅延している案件がないか、審議した当初と環境や条件が変わった案件がないかなど行政情報化推進部会が過去に審議した案件を主導的にフォローアップする必要がある。また、予算要求までに一定期間を経過していれば、再度審議を行うといったルールも必要だと思われる。

エ プログラム管理とPMO
(ア) PMO(ProgramManagementOffice) 6

 IT投資に関わる全体的な計画立案と評価、資源配分の計画策定と承認を行うことをプログラム7管理と呼んでいる。専門の組織として設置され、PMOと呼ばれることもある。広島市には、現在、e-市役所推進本部に設置された各分科会においてプロジェクトの推進等を行っているが、複数のプロジェクトを総合的に管理し、方針や施策に適合するような資源配分になっていること、リスクが十分に低減されていることなどをモニタリングする機能が十分でない。プログラム管理の導入とPMOの設置が望まれる。

(イ) IT投資管理

 これまでは、施策に基づいて主管課が必要な情報システムを個々に導入してきた。ここ数年では、システムの共同化や汎用的なシステムが導入されているものの、同じ組織内にホストコンピュータを使ったシステムとサーバやパソコンを使ったシステムが存在していたり、システムごとに別々のサーバを稼動させていたりしている。施策の優先順位と技術基盤の将来性が整合しているのか、投入されている人的資源や費用はIT資源の需要に整合しているのか、使用状況の悪い資源が存在していないかなど、複合的な視点でIT投資を計画し評価し、全体的な価値が高まるように調整する管理態勢が望まれる。

オ 見積り精度の向上とガイドラインの策定

 現状、同じコンピュータ環境下であっても見積りの方法が複数存在する。したがって、見積りの信頼性を確認することや見積り額の精度を向上することが困難になってしまう。技術的な条件や作業のタイプが同じ業務は全庁的に統一した見積り方法とすることが必要である。現状、情報システムの開発や改造に関するコストの見積りは、過去の経験が算定の基礎となっており、ITの調達の関係者が周知し、理解して適用しているとは言えない。利用者側(広島市)としての基準値(ベースライン)と見積り方法を定め、継続的に実績値を蓄積して基準値や見積り方法を見直し、見積り精度を向上させることが必要である。

カ 情報セキュリティの確保
(ア) 情報セキュリティ管理のPDCA 8

 現在、平成18年度を対象とした情報セキュリティ対策の実施状況について自己点検の結果が回収されつつあるが、現在のところ全部門からの回収に及んでいない。広島市情報セキュリティポリシーでは、管理体制としてe-市役所推進本部の他に定期的に開催されるような組織を置いていない。情報セキュリティ対策の対応状況を把握し、リスク分析や対応計画の立案が行えるように、短い間隔で定期的に開催される組織の設置が必要である。

(イ) 情報セキュリティ事故対応のテスト及び訓練

 セキュリティポリシーでは、「情報セキュリティ事故を想定した対応手順を明確にすること」を求めている。また、「対応手順に沿って定期的にテスト及び訓練を実施する」ことを求めている。しかしながら、現在のところこれらのテストや訓練について時期や手続が決められておらず実施されていない。情報セキュリティの事故に備えた緊急時対応計画や事業継続計画を策定し、緊急時を想定した訓練や演習を定期的に実施することが必要である。

(ウ) 情報セキュリティ監査後の見直し体制

 セキュリティポリシーでは、「情報セキュリティ統括管理者が指名する者による監査を定期的に実施する」ことを求めているが、現在のところ情報セキュリティに関する監査は実施されていない。情報セキュリティ監査の必要性は認識されており、現在、監査の実施が検討されている。しかし、現状のセキュリティポリシーには、監査の結果、発見されたリスクに対してどのような体制や手続で情報セキュリティ対策の見直しに取り組んでいくのかという組織的なスキームが示されていない。監査後の対応についても十分な検討が必要である。

  1. 組織体・共同体がITを導入・活用するに当たり、目的と戦略を適切に設定し、その効果やリスクを測定・評価して、理想とするIT活用を実現するメカニズムをその組織の中に確立すること。
  2. ネットワークを介して別の機器やコンピュータにサービスや処理能力などを提供するコンピュータのこと。
  3. 情報セキュリティを確保するための方針、体制、対策等を包括的に定めた文書で、基本方針と対策基準から成る。
  4. システム障害、システム誤動作、誤操作、ウィルス感染、データ改ざん、情報漏洩、データ消失等
  5. 組織全体を通じた業務・システムの最適化を図る手法で、無駄な業務フローやシステム間の重複したデータ管理を改善し、全体最適による重複の排除、欠落の補強を行った理想の業務システムを構築するためのシステム設計・管理の手法。
  6. 組織におけるプロジェクトマネジメントを統括・管理することを専門として設置された部門のこと。PMOが組織全体のプロジェクトマネジメントを総合的に管理することによって、組織全体のプロジェクトマネジメントの品質や能率を向上させることができる。
  7. 相互に依存関係にあるプロジェクトをグループ化したもの。
  8. 策定(Plan)→実施(Do)→検証(Check)→見直し(Action)による改善活動。
    出典:IT用語辞典「e-Word」、総務省「新電子自治体推進指針」、「@IT」、日経BP「デジタル大辞典」

このページに関するお問い合わせ先

監査事務局 監査第二課
電話:082-504-2535/Fax:082-504-2338
メールアドレス:kansa@city.hiroshima.lg.jp

<外部リンク>