システム再構築プロジェクトの企画段階の監査に関する次の記述を読んで,設問1〜4に答えよ。
B社は,中堅の保険会社である。B社の情報システムは,構築時から長い間利用して老朽化しているシステムが多いので,3年ほど前から順次再構築を実施し,基幹系システムの再構築がほぼ終了した。次に,周辺システムのうち,ハードウェアのサポート切れが近づいている営業支援システムを再構築することになり,新たに“営業支援システムの再構築プロジェクト”(以下,当プロジェクトという)を立ち上げ,プロジェクト計画書(以下,計画書という)を作成したところである。B社の営業支援システムは,モバイルPCの活用を進めた十数年前に構築され,新商品への対応や利便性の向上のために,何度も改修が行われてきた。
これまで,B社の再構築プロジェクトでは,開発期間の長期化や予算の超過などの事例が幾つか発生している。そこで,監査部では,当プロジェクトを監査対象として,再構築計画の適切性についてシステム監査を実施することにした。
〔当プロジェクトの体制〕
当プロジェクトは,システム部で営業支援システムの保守を担当しているT課長がプロジェクトマネージャ(以下,PMという)を務めており,システム部のメンバ3名を含めたシステム化検討チームが計画書をまとめている。また,利用部門の代表である営業統括部のS課長とメンバ2名が,業務チームとして業務要求の取りまとめを行っている。
当プロジェクトは,毎月,PMが検討の状況をプロジェクト運営委員会に報告している。プロジェクト運営委員会は,営業担当役員,システム担当役員,営業統括部長,システム部長及びシステム企画課長で構成されている。
〔再構築計画の検討状況〕
B社では,これまでの基幹系システムの再構築で実施された手順を整理した“再構築実施要領”が作成されている。当プロジェクトは,この“再構築実施要領”に従い,次のように営業支援システムの再構築計画について検討を進めた。
(1)現行システムの調査・分析
システム化検討チームは,現行の営業支援システムの基本設計書を基に機能一覧を整理した。
(2)新システムの業務要求の洗い出し,優先順位付け
業務チームは,主な営業店や本社部門の各部にヒアリングを行い,再構築する営業支援システムの業務要求を“業務要求一覧”としてまとめた。利用部門の担当者からは,現行システムに大きな不満はなく,業務を大きく変えるようなシステム機能の変更は避けてほしいという意見が多かった。
(3)再構築方式の検討
“再構築実施要領”には,標準的に定めた3方式の中から評価項目を定めて評価した上で,最適な方式を選択することが定められている。再構築方式の概要は,表1のとおりである。
| 方式 | 説明 | メリット | デメリット |
| リホスト | 現行のソースプログラムをそのまま利用し,クラウドサービス上のシステム基盤に構築する。 | ・短期間,低コストで再構築が実施できる。 | ・新たな業務仕様の取込みは困難である。 |
| リライト | 業務仕様をそのまま利用し,クラウドサービス上のシステム基盤に適合した言語に現行のソースプログラムを置き換える。 | ・新言語への書換えは,過去のツールが活用でき,比較的短期間,低コストで再構築が実施できる。 | ・新たな業務仕様を取り込もうとすると,追加コストが発生する。 |
| リビルド | 業務仕様を変更し,クラウドサービス上のシステム基盤に適合した言語で新しくソースプログラムを作成する。 | ・新たな業務仕様を実現できる。 | ・業務仕様の検討やテストに大きな工数が掛かり,高コストになる。開発期間は,ほかの方式より長くなる。 |
〔予備調査の結果〕
監査部では,当プロジェクトで作成された計画書を閲覧し,内容が不明な点や記載が曖昧な箇所について,T課長にインタビューして確かめた。その結果,次のことが分かった。
(1)営業支援システムの主管部署は営業統括部であるが,現行システム構築時の担当者は退職しており,営業統括部やそのほかの利用部門には,営業支援システムの業務機能の全体を把握している従業員がいない状況である。また,現行システムの開発を担当したベンダも既に保守業務から撤退し,現在は別のベンダが保守を担当している。しかも,保守用のドキュメントが不足しており,システム部にもシステム全体を理解している担当者がいない状況である。
(2)業務チームがまとめた"業務要求一覧”は,現行システムに対する改善要望が中心なので,現行システムから変更不要な機能については,“現行どおり”と記載されている。
(3)基幹系システムの再構築プロジェクトの実施時,経営陣からはコストの最適化を求められていた。一方で,営業支援システムは,今後B社の重要な戦略を担うシステムであり,特に,対面販売を代替することができる営業支援システムの実現を早期に達成する,というビジネス目標が,経営陣から提示されている。
(4)B社のシステム構築に関わる規程の中に“システム投資規程”があり,予算額に応じた決裁権限者などが定められている。
(5)業務チームの検討結果を踏まえ,当プロジェクトは,リライト方式を選択してクラウドサービス上のシステム基盤に新システムを構築する方針で計画書を作成し,プロジェクト運営委員会への提出書類を準備中である。
〔本調査の計画〕
予備調査の結果を踏まえ,監査部では,本調査の監査手続書を作成するために,当プロジェクトの企画段階でのリスク及びコントロールを表2のようにまとめた。
| 項番 | 監査の観点 | リスク | コントロール |
| ① | 企画段階での体制の妥当性 | ・IT投資の意思決定に必要な情報が意思決定権をもつ者に適時に集約されない。 | ・プロジェクト運営委員会にIT投資の意思決定権をもつ者が参画している。 |
| ② | ビジネス目標に合致したシステム再構築計画の妥当性 | ・コストを必要以上に削減した結果,ビジネス目標に合致しないシステムになる。 | ・コスト削減だけでなく,様々な角度から評価して再構築方式を決定している。 |
| ③ | 要件定義の妥当性 | ・設計工程: ア ・テスト工程:テストが計画どおりに進捗せず,品質低下やスケジュール遅延を引き起こすおそれがある。 |
・残すべき現行機能を明確にして合意を得るプロセスを要件定義工程で計画・実施している。 |
| ④ | 企画段階の検討範囲の十分性 | ・新しいシステム基盤に依存する事項について検討漏れがあり,開発段階で追加コストが発生する。 | ・有識者によるプロジェクト計画のレビューを実施している。 |
監査部で検討している本調査の概要は,次のとおりである。
(1)表2項番①について,プロジェクト運営委員会のメンバと,"システム投資規程”の決裁権限者とが整合しているかどうかを確認する。
(2)表2項番②について,計画書の内容を見ると,コストに関する記述が中心で,再構築方式を決定するまでの検討が不十分ではないかという懸念がある。そこでリスクに対応したコントロールが当プロジェクトの中で適切に検討されているかどうかを確認する。
(3)表2項番③のリスクについて,計画書の内容を見ると,“現行を踏襲する”機能については,要件定義書にも具体的な要件は記載せず,“現行どおり”と記載する計画になっている。[予備調査の結果〕(1)で判明した事実を考慮すると,設計工程及びテスト工程で問題が発生するリスクがある。
(4)表2項番④について,リライト方式の具体的な手段として,現行のCOBOLから新しいシステム基盤の構築言語であるJavaへの変換ツールの採用が検討されている。このツールは,基幹系システムの再構築時に利用したもので,生産性向上が見込めるものである。ただし,システムを稼働させるためには,ソースプログラムの変換だけでなく,新しいシステム基盤であるクラウドサービスの機能に依存する事項の検討が十分かどうかを確認する。
設問1 〔本調査の計画〕(1)について,監査部が確認しようとしている具体的な内容を50字以内で述べよ。
解答・解説
解答例
予算規模に応じた IT 投資の責任者がプロジェクト運営委員会のメンバとして参画していること
解説
ー
設問2 〔本調査の計画〕(2)について,監査部が確認しようとしている具体的な内容を40字以内で述べよ。
解答・解説
解答例
再構築方式を比較検討した際の評価項目に,ビジネス目標の視点があること
解説
ー
設問3 〔本調査の計画〕(3)について,次の(i),(ⅱ)に答えよ。
(i)監査部が,設計工程で顕在化すると考えた,表2中の ア に入れるべきリスクを,40字以内で述べよ。。
(ⅱ)監査部が,テスト工程のリスクを引き起こす要因として考えたことは何か。40字以内で述べよ。
解答・解説
解答例
(i)現行システムの要件を熟知している者がいないので,仕様を適切に確定できない。
(ⅱ)業務要件が明確でないので,要件を充足しているかどうかのテストができないこと
解説
ー
設問4 〔本調査の計画〕(4)について,システム基盤に依存する事項に関して監査部が確認しようとしている内容を,35字以内で述べよ。
解答・解説
解答例
セキュリティ,障害設計などの非機能要件の実現性が検討されていること
解説
ー
IPA公開情報
出題趣旨
情報システムのハードウェアの老朽化や OS のサポート切れなどの課題を契機として,システムの再構築に 取り組むことはどの組織でも起こり得る。再構築計画においては,どのような技術を採用するか,どのような ハードウェアやサービスを選択するか,既存の資産をどこまで活用するかなど,検討すべき項目は多岐に渡 る。そのため,検討に当たっては,関連する部門は何らかの形で参画する必要がある。 本問では,システム再構築プロジェクトの企画段階の監査を題材として,システムの企画段階でのリスク及 びコントロールを理解し,コントロールの適切性を確認するための監査手続を選択して監査を実施する能力を 問う。
採点講評
問 2 では,システム再構築プロジェクトの企画段階の監査を題材に,再構築方式の選択に関連した企画段階 でのリスク,コントロール,及びコントロールの適切性を確認するための監査手続について出題した。全体と して正答率は平均的であった。 設問 2 は,正答率が平均的であった。再構築方式の評価項目として,“ビジネス目標”の視点が含まれている かどうかについて問うたが,監査証拠や技法を解答するだけで,具体的な確認ポイントがない解答が散見され た。監査証拠をどのような観点で確認すべきかを理解してほしい。 設問 3 は,正答率が平均的であった。設計工程又はテスト工程での特有のリスクではない解答も散見され た。リスクを具体的に把握し,それを低減させるコントロールを検討することの重要性を理解してほしい。 設問 4 は,正答率がやや低かった。システムが稼働する基盤が変更になることに伴い,単にプログラムを変 換するだけではなく,バックアップ,リカバリなど方式の変更や,セキュリティ,性能面などの非機能要件の 検討を十分に行うことの重要性について気付いてほしい。
