システム監査技術者:2019年 午後Ⅰ 問2

情報システム部門の体制が十分でない企業を題材として、システム開発計画の監査について問う問題

IPAの平成31年度 春季試験 午後Ⅰ問題リンク

残念な私の解答

設問解答
設問1高中低の重要度の定義が明確に定められており、要望一覧の優先順位が適切に判断できる必要があるから
設問2関連部門の要望を要件定義書にまとめきれず業務要件が固まっていない可能性があるから
設問3委託先に丸投げとせず、成果物を確認することにより進捗状況を適時に把握できるようにするため
設問4A社内ではユーザ受入テスト実施中に問題や不具合が発生した場合の体制
設問5T課長が判断に迷った場合に、営業統括部、システム部で検討する会議体が用意されていること

IPAの解答例

設問解答
設問1重要度の設定の確認だけではプロジェクトとしての優先順位が検討されているかどうか確認できないから
設問2利用部門の代表者の要件定義書の作成への十分な関与を確認する必要があるから
設問3委託先が進捗状況を正確に報告しているかどうかを A 社として確認する必要があるから
設問4ユーザ受入テストの役割分担,体制について明確に定められていること
設問5開発着手後の追加・変更の要求に対応する際の採用条件を明確にし,利用部門と合意すること

解答の検討

設問1

“優先順位が検討されているか”という監査要点に対応する監査手続の不足を把握して、その理由を答える問題。
表1項番1の「監査要点」は「優先順位が検討されているか」である。[予備調査の結果](5)には「要望事項にプロジェクトとしての優先順位を付与した上で、”要望事項一覧”として要件定義書に追記した」と記載されている。重要度を判断してから優先順位を決定するプロセスの確認が、監査手続きから不足している。よって、S氏が”不十分である”と考えた理由は、「 重要度の設定の確認だけではプロジェクトとしての優先順位が検討されているかどうか確認できないから 」。

設問2

”利用部門の代表者が参画しているか”という監査要点に対応する監査手続きの不足を把握して、その理由を答える問題。表1項番3の「監査要点」は「利用部門の代表者が参画しているか」であることに注意する。体制図に利用部門の代表者が記載されているだけでは、実質的な参画を行っているかが判断できない。そこで、「要件定義書作成時」の議事録の閲覧から発言内容を確認したり、体制図に記載された利用部門の代表者にヒアリングを行って、十分な関与をしているか確認する必要がある。
「利用部門の代表者の要件定義書の作成への十分な関与を確認する必要があるから」が正解。

設問3

”委託先の進捗状況を適時に、正確に把握できるようになっているか” という監査要点に対応する監査手続きの不足を把握して、その理由を答える問題。
[リスクの洗い出し](3)に、”丸投げ”の状態になり、”進捗状況を十分に把握できず、進捗遅れ・予算超過を適時に把握できない” などのリスクがあげられている。適時に進捗会議を実施することや、成果物の一部やテストの結果を提出してもらい、システム部が進捗報告の内容と差異がないか比較することにより、委託先が進捗状況を正確に報告しているかどうかを確認することができる。
正解は「 委託先が進捗状況を正確に報告しているかどうかを A 社として確認する必要があるから 」。

設問4

”本番リリースまでの体制と役割が、明確に定められているか” という監査要点に対応する監査手続きの不足を把握して、確認すべき具体的な内容を答える問題。
[予備調査の結果](7)に「検収完了後から本番リリース準備開始前までにA社内でユーザ受入テストを実施する」と書かれている。[本調査の実施](1)では「検収完了後の体制については確認できなかった」とあり、体制と役割があいまいになっている可能性が考えられる。
そこで、「 ユーザ受入テストの役割分担,体制について明確に定められていること」を確認することにしたと考えられる。

設問5

[本調査の実施](2)には「S氏は利用部門向けにも”要件の追加・変更に関する手順” の周知が必要」と指摘し、続いて「要件の追加・変更の要求がある程度増えても期間内に対応できるような対策が設けられているかどうか」の監査手続きを追加するとしている。利用部門向けの対策問うているところがポイント。要件がスタックされても、対応可否の敷居をあらかじめ、利用部門と合意しておくことで、期間内に対応できるようにする。
「 開発着手後の追加・変更の要求に対応する際の採用条件を明確にし,利用部門と合意すること」が正解。