【実務思考】【AU-H23-1-PM2-Q3】システム開発におけるプロジェクト管理の監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H23-1-PM2-Q3)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭システム開発におけるプロジェクト管理の監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成23年 午後2 問3について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H23-1-PM2-Q3)

 出典:情報処理推進機構 システム監査技術者試験 平成23年 午後2 問3(🔗取り扱いガイドライン)

📘問題

■タイトル
 システム開発におけるプロジェクト管理の監査について
■内容
 今日,組織及び社会において情報システムや組込みシステムの重要性が高まるにつれ,システムに求められる品質,開発のコストや期間などに対する要求はますます厳しくなってきている。システム開発の一部を外部委託し,開発コストを低減する例も増えている。また,製品や機器の高機能化などと相まって,組込みシステムの開発作業は複雑になりつつある。
 このような状況において,システム開発上のタスクや課題などを管理するプロジェクト管理はますます重要になってきている。プロジェクト管理が適時かつ適切に行われないと,開発コストの超過やスケジュールの遅延だけでなく,品質や性能が十分に確保されず,稼働後の大きなシステム障害や事故につながるおそれもある。
 その一方で,開発するシステムの構成やアプリケーションの種類,開発のコストや期間などはプロジェクトごとに異なるので,プロジェクトにおいて想定されるリスクもそれぞれ異なる。したがって,システム開発におけるプロジェクト管理を監査する場合,規程や)ルールに準拠しているかどうかを確認するだけでは,プロジェクトごとに特有のリスクを低減するためのコントロールが機能しているかどうかを判断できないおそれがある。
 システム監査人は,このような点を踏まえて,情報システムや組込みシステムの開発におけるプロジェクト管理の適切性を確かめるために,プロジェクトに特有のリスクに重点をおいた監査を行う必要がある。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが携わった情報システムや組込みシステムの概要と,そのシステム開発プロジェクトの特徴について,800字以内で述べよ。
■設問イ
 設問アで述べたシステム開発のプロジェクト管理において,どのようなリスクを想定すべきか。プロジェクトの特徴を踏まえて,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたリスクに対するプロジェクト管理の適切性について監査する場合,どのような監査手続が必要か。プロジェクト管理の内容と対応付けて,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 情報システムや組込みシステムの重要性の高まりに伴って,システム開発におけるプロジェクト管理が失敗した場合の影響はますます大きくなっている。また,開発手法の多様化やオフショア開発など,プロジェクト管理で対応すべき事項も増えてきている。
 一方,プロジェクト管理の対象となるシステムの構成や開発の条件などは様々であるから,規程やルールどおりにプロジェクト管理を行っているかどうかの準拠性の監査だけでは,プロジェクトに特有のリスクを低減するためのコントロールが機能しているかどうかを判断できないおそれがある。
 本問では,情報システムや組込みシステムの開発プロジェクトにおける特徴と,プロジェクトに特有のリスクを踏まえて,プロジェクト管理の適切性を監査するための見識や能力を問う。
■採点講評
 システム監査人には,高度化し多様化する情報技術を理解した上で,情報システムを監査する見識や能力が求められている。本年度もこうした視点から,幅広いテーマの問題を出題した。システム監査人には,発見した事実や監査意見を適切に記述するための表現力が求められるが,解答字数の下限ぎりぎりで十分に内容を表現できない論述や,下限に満たない論述が目立った。今後,受験者の表現力の向上を期待したい。
 問3(システム開発におけるプロジェクト管理の監査について)は,最も選択率が高かった。その理由は,プロジェクト管理という基本的なテーマであったからだと考えられる。情報システムのリスク,運用後のリスクについての論述や,プロジェクトマネージャ又はプロジェクトリーダの視点からの論述が見受けられた。設問イでは,QCD の切り口での論述が多く,プロジェクトの特徴を踏まえた具体的な論述は少なかった。設問ウでは,監査のポイントだけを述べ,監査証拠を記述していない論述が目立った。また,設問で求めていない監査結果や改善提案などの論述も散見された。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】システム開発の高度化・多様化により、プロジェクト管理の失敗が企業経営や社会に与える影響が深刻化しています。
  2. 【監査視点】監査では、形式的なルール遵守だけでなく、プロジェクト特有のリスクを適切に管理できているかを重点的に評価します。
  3. 【行動・着眼点】監査人は、リスク洗い出しの妥当性、管理計画と実行状況の整合、進捗・品質の客観的な可視化を確認すべきです。

🧭システム開発におけるプロジェクト管理の監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • システム開発プロジェクトは、依然として高い確率で失敗(コスト超過、スケジュール遅延、品質未達)するリスクを抱えている。
    • システムの重要性が高まるにつれ、プロジェクトの失敗がビジネスに与える損害がますます大きくなっている。
    • 外部委託やオフショア開発、組込みシステムの複雑化など、プロジェクトを取り巻く環境がより複雑になり、管理の難易度が上がっている。
    • プロジェクト管理が、単に規程やルールに準拠しているかという形式的なチェックに留まり、プロジェクトごとに異なる「特有のリスク」に対応できていない。
  • 変化の必要性の背景:
    • ITプロジェクトの失敗による甚大な影響: 大規模なシステム開発プロジェクトの失敗が、企業の経営を揺るがすほどの社会的ニュースになるケースが散見され、その管理の重要性に対する認識が高まった。
    • プロジェクトマネジメントの体系化: PMBOKのような、プロジェクト管理の知識体系が標準化・普及し、プロジェクト管理が専門的な技術として認識されるようになった。
    • 監査の役割への期待: 従来の事後的なシステム監査だけでなく、プロジェクトの進行中に監査人が関与し、問題の早期発見・是正を支援する「プロジェクト監査」への期待が高まった。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • リスク駆動型のプロジェクト管理: プロジェクト管理が、画一的な手法の適用ではなく、プロジェクトの開始時にその特性(規模、複雑性、新規性、利用技術など)に応じたリスクを網羅的に識別・評価し、そのリスクを低減するための管理計画を策定することから始まる。
    • 独立したプロジェクトマネジメントオフィス(PMO): 専門的な知識を持つPMOが、個々のプロジェクトから独立した立場で、プロジェクトマネージャーを支援し、同時にプロジェクトの状況を客観的に監視・評価する。
    • 継続的なリスク監視と対応: プロジェクトのリスクは、一度洗い出して終わりではなく、プロジェクトの進行に合わせて継続的に監視され、新たなリスクの発生や既存リスクの変化に対応して、管理計画が柔軟に見直される。
    • 客観的な進捗・品質の可視化: プロジェクトの状況が、担当者の主観的な「順調です」という報告ではなく、EVM(出来高管理)によるコスト・スケジュールの実績値や、テストで検出されたバグ件数といった、客観的なデータに基づいて可視化・報告されている。
  • 克服すべき障壁:
    • 「悪いニュース」の報告遅延: プロジェクトの遅延や問題の発生を、担当者やプロジェクトマネージャーが上層部に報告したがらず、発覚が遅れて手遅れになる(楽観主義バイアス)。
    • プロジェクトマネージャーのスキル不足: プロジェクト全体を俯瞰し、リスクを予見し、多様なステークホルダーを調整する高度なスキルを持つプロジェクトマネージャーが不足している。
    • スコープ・クリープ(要件の肥大化): プロジェクトの途中で、次から次へと新たな要件が追加され、当初の計画がなし崩し的に破綻する。
    • 監査への抵抗感: プロジェクトの進行中に監査が入ることを、現場が「余計な仕事が増える」「あら探しをされる」と捉え、非協力的になる。
  • 利害関係者の視点:
    • 経営層/プロジェクトオーナー: プロジェクトの状況が客観的なデータで報告されるため、炎上する前兆を早期に察知し、的確な介入(追加リソースの投入、計画の見直し等)ができる。
    • プロジェクトマネージャー: PMOや監査人から、客観的な視点での助言や支援を得ることができる。問題を一人で抱え込まずに済む。
    • 開発チーム/利用者: 無謀な計画や曖昧な要件に振り回されることが少なくなり、より生産的に開発や受け入れテストに集中できる。
    • 監査人: プロジェクトの「健康状態」を定期的に診断する「主治医」のような役割を担う。事後的に失敗の原因を分析する「検死官」ではなく、プロジェクトを成功に導くための予防的な助言を行う。

3. 要約

  • [200文字]要約:
    システム開発プロジェクトの失敗を防ぐには、プロジェクト特有のリスクに対応した管理が不可欠。理想像は、リスク分析に基づき管理計画を立て、PMO等が客観的なデータで進捗を監視すること。監査人は、プロジェクト進行中にその管理プロセスの妥当性を評価し、問題の早期発見を支援する。
  • [400文字]要約:
    システム開発プロジェクトの失敗率が高い中、その管理の重要性が増している。規程遵守だけの形式的な管理では不十分で、プロジェクト特有のリスクへの対応が鍵となる。あるべき理想像は、プロジェクト開始時にリスクを網羅的に評価し、それに基づき管理計画を策定するリスク駆動型のアプローチである。独立したPMOが客観的なデータで進捗を監視し、監査人はプロジェクト進行中に、この管理プロセスが有効に機能しているかを評価し、失敗の兆候を早期に警告する。
  • [800文字]による詳細な考察:
    本問題は、システム監査の役割を、完成したシステムの事後評価から、システムが作られる「プロセス」そのものの評価、特に失敗リスクの高い開発プロジェクトの管理へと広げる「プロジェクト監査」の重要性を論じている。これは、問題が起きてから対処する対症療法ではなく、問題の発生を未然に防ぐ予防医学的なアプローチであり、監査の価値を大きく高めるものである。
    • あるべき理想像とは、「アジャイルなガバナンスと早期警告システムを備えたプロジェクトエコシステム」の確立である。この状態では、プロジェクト管理は画一的なものではなく、プロジェクトの特性に応じてウォーターフォール型、アジャイル型などの最適な手法が選択される。どのような手法であれ、①目標の明確化、②リスクの識別と対応計画、③進捗と品質の可視化、④ステークホルダーとのコミュニケーションという基本原則は遵守される。特に、プロジェクトの健全性を示す主要な指標(KPI)、例えばコスト効率指数(CPI)やスケジュール効率指数(SPI)などがダッシュボードで常に可視化され、一定の閾値を超えて悪化すると、関係者に自動的にアラートが飛ぶような「早期警告システム」が機能している。
    • 理想像実現へのアプローチとして、システム監査人は、プロジェクトの重要なマイルストーン(要件定義完了時、設計完了時など)ごとに、ゲートレビューの形で監査を実施する。監査の着眼点は、単に成果物(設計書など)の内容だけでなく、「その成果物を生み出すに至った管理プロセスは妥当であったか」という点に置かれる。例えば、リスク管理簿をレビューし、識別されたリスクは網羅的か、対応策は具体的か、そしてリスクが実際に顕在化した場合のアクションは適切だったか、などを検証する。また、議事録や課題管理票をレビューし、重要な課題が放置されたり、ステークホルダー間の合意形成が曖昧なまま進められたりしていないかを確認する。
    • 考慮すべきリスクは、監査がプロジェクトの「重箱の隅をつつく」ような、非生産的な活動に陥ることだ。監査人は、常にプロジェクトの成功という大局的な目標を忘れず、リスクの重要性に応じた、メリハリのある指摘と建設的な改善提案を心がける必要がある。
    • 期待される効果は、プロジェクトの成功確率の向上と、失敗した場合の損害の最小化である。問題の兆候を早期に発見し、軌道修正することで、「炎上」プロジェクトを未然に防ぐことができる。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。