【実務思考】【AU-H25-1-PM2-Q3】ソフトウェアパッケージを利用した基幹系システムの再構築の監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H25-1-PM2-Q3)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭ソフトウェアパッケージを利用した基幹系システムの再構築の監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成25年 午後2 問3について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H25-1-PM2-Q3)

 出典:情報処理推進機構 システム監査技術者試験 平成25年 午後2 問3(🔗取り扱いガイドライン)

📘問題

■タイトル
 ソフトウェアパッケージを利用した基幹系システムの再構築の監査について
■内容
 企業など(以下,ユーザ企業という)では,購買,製造,販売,財務などの基幹業務に関わるシステム(以下,基幹系システムという)の再構築に当たって,ソフトウェアパッケージ(以下,パッケージという)を利用することがある。パッケージには,通常,標準化された業務プロセス,関連する規制などに対応したシステム機能が用意されているので,短期間で再構築できる上に,コストを削減することもできる。
 その一方で,ユーザ企業の業務には固有の業務処理,例外処理があることから,パッケージに用意されている機能だけでは対応できないことが多い。このような場合,業務の一部を見直したり,パッケージベンダ又はSIベンダ(以下,ベンダ企業という)が機能を追加開発したりすることになる。しかし,追加開発が多くなると,コストの増加,稼働開始時期の遅れだけではなく,パッケージのバージョンアップ時に追加開発部分の対応が個別に必要になるなどのおそれがある。
 これらの問題に対するユーザ企業の重要な取組みは,パッケージの機能が業務処理要件などをどの程度満たしているか,ベンダ企業と協力して検証することである。また,追加開発部分も含めたシステムの運用・保守性などにも配慮して再構築する必要がある。
 システム監査人は,このような点を踏まえて,パッケージを利用した基幹系システムの再構築におけるプロジェクト体制,パッケージ選定,契約,追加開発,運用・保守設計,テストなどが適切かどうか確かめる必要がある。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが関係した基幹系システムの概要と,パッケージを利用して当該システムを再構築するメリット及びプロジェクト体制について,800字以内で述べよ。
■設問イ
 設問アで述べた基幹系システムを再構築する際に,パッケージを利用することでどのようなリスクが想定されるか。700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたリスクを踏まえて,パッケージを利用した基幹系システムの再構築の適切性を監査する場合,どのような監査手続が必要か。プロジェクト体制,パッケージ選定,契約,追加開発,運用・保守設計,テストの六つの観点から,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 基幹系システムの再構築に当たっては,ソフトウェアパッケージを利用することで期間短縮,コスト削減などのメリットが期待できる。しかし,基幹業務の独自性から,ソフトウェアパッケージが有する機能だけでは対応できず,業務の一部見直し,追加開発の必要性が生じることもある。追加開発が多くなると,コストの増加,稼働開始時期の遅れだけでなく,運用・保守の面で煩雑な個別対応が必要になることもある。
 したがって,ユーザ企業とベンダ企業が協力してギャップ分析を行うとともに,追加開発部分を含めたシステム全体の運用・保守性なども踏まえて再構築する必要がある。
 本問では,ソフトウェアパッケージの利用を前提とした基幹系システムの再構築について,その適切性を監査するための見識や技能を問う。
■採点講評
 問3(ソフトウェアパッケージを利用した基幹系システムの再構築の監査について)は,多くの組織で検討あるいは実施しているテーマとして出題したが,設問ア及び設問イでは,パッケージの利用を前提とした再構築についての監査という出題趣旨とは関係なく,一般的な再構築のメリットやリスクについての論述が散見された。また,設問ウでは,再構築の適切性を監査する具体的な監査手続を求めているが,六つの観点からの監査項目だけを論述して監査証拠については述べていない論述や,監査実施結果についての論述が目立ち,監査手続を理解できていないと思われる受験者が多かった。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】基幹系システム再構築におけるパッケージ利用は、短期導入とコスト削減の反面、追加開発や業務プロセスとの不整合によるリスクを伴います。
  2. 【監査視点】監査では、パッケージ選定・追加開発・運用保守設計までのプロセスが、TCOや持続可能性を考慮して適切に管理されているかを評価します。
  3. 【行動・着眼点】監査人は、Fit&Gap分析の妥当性、追加開発の統制、業務改革との整合、バージョンアップ対応方針を具体的に確認すべきです。

🧭ソフトウェアパッケージを利用した基幹系システムの再構築の監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 基幹系システムの再構築において、ソフトウェアパッケージの利用は期間短縮やコスト削減のメリットがある一方で、多くの課題を抱えている。
    • ユーザ企業固有の業務処理や例外処理が多いため、パッケージの標準機能だけでは対応しきれないケースが頻発する。
    • このギャップを埋めるために「業務の見直し」または「機能の追加開発」が必要となるが、特に後者が安易に選択されがちである。
    • 追加開発の増加は、当初の目的であったコスト削減や短期導入を阻害するだけでなく、将来のパッケージのバージョンアップ時に大きな技術的負債となり、システムの陳腐化・塩漬けを招く根本原因となる。
  • 変化の必要性の背景:
    • TCO(総所有コスト)の観点の重要性: システム導入時の初期コストだけでなく、運用・保守、将来の改修まで含めたライフサイクル全体でのコスト意識が求められている。安易な追加開発は、このTCOを著しく増大させる。
    • ベストプラクティスの活用: パッケージには、業界の標準的な優れた業務プロセス(ベストプラクティス)が組み込まれている。自社の独自プロセスに固執するのではなく、パッケージに合わせて業務改革を行うことで、管理レベルの向上が期待できる。
    • 持続可能なシステム: 頻繁な法改正やビジネス環境の変化に対応するためには、パッケージのバージョンアップへの追随が不可欠。追加開発を抑制し、バージョンアップしやすい状態を維持することが、システムの持続可能性に直結する。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 業務改革主導のパッケージ導入: パッケージ導入プロジェクトが、単なるシステム導入ではなく「業務改革プロジェクト」として位置づけられている。経営層の強いリーダーシップの下、「システムを業務に合わせる」のではなく「業務をパッケージ(のベストプラクティス)に合わせる」ことを原則とする。
    • 厳格な追加開発ガバナンス: 追加開発は原則として禁止し、例外として認める場合でも、そのビジネス上の必要性、投資対効果、将来の保守への影響を評価する厳格な審議プロセス(IT投資委員会など)を経る。承認された追加開発も、パッケージ本体への影響を最小限に抑える疎結合なアーキテクチャで実装される。
    • 徹底したFit&Gap分析と合意形成: パッケージ選定段階で、業務部門が主体となり、パッケージの標準機能と自社業務との間のギャップ(Gap)を徹底的に分析する。その上で、ギャップを「業務プロセス変更」で吸収するための具体的な計画と、関係者の合意が形成されている。
    • 保守性・運用性を見据えた契約と設計: ベンダとの契約において、追加開発部分を含めた保守体制や、バージョンアップ時の対応方針が明確に定義されている。システム全体の運用・保守設計が、追加開発部分の存在を前提として、一貫性をもって行われている。
  • 克服すべき障壁:
    • 業務部門の抵抗: 長年慣れ親しんだ既存の業務プロセスを変えることに対する、現場の心理的・組織的な抵抗。
    • 「作れば何とかなる」という安易な考え: 追加開発の長期的なリスク(技術的負債)に対する認識の欠如。
    • ベンダの提案への依存: ユーザ企業側にパッケージを評価する能力が不足していると、ベンダの提案をうのみにし、安易に追加開発を受け入れてしまう。
    • 不十分な経営層のコミットメント: 業務改革には痛みを伴うため、経営層の強い意志と継続的な支援がなければ、現場の抵抗に押し切られてしまう。
  • 利害関係者の視点:
    • 経営層: TCOが最適化され、IT投資の効果が最大化される。業務プロセスの標準化・高度化が実現する。
    • 利用者(業務部門): 新しい業務プロセスが定着し、効率的に業務を遂行できる。システムの使い勝手が良く、安定している。
    • システム部門/運用・保守担当者: システムの構造がシンプルで理解しやすく、保守性が高い。パッケージのバージョンアップに迅速に対応でき、システムの陳腐化を防げる。
    • 監査人: パッケージ選定、追加開発の意思決定プロセスが合理的かつ規律をもって運営されていることを確認できる。プロジェクトが長期的な視点でコントロールされているという心証を得られる。

3. 要約

  • [200文字]要約:
    パッケージ導入の理想像は、業務改革を前提とした機能適合度評価と、厳格な追加開発ガバナンスの確立である。これにより、コスト増や保守性の問題を回避し、投資効果を最大化する。監査ではこの規律の有効性を問う。
  • [400文字]要約:
    基幹系システムへのパッケージ導入の理想像は、単なる機能実装に留まらない。まず、パッケージの標準機能に業務を合わせる「業務改革」を前提とした徹底的な適合度評価を行う。やむを得ない追加開発は、投資対効果と保守影響を評価する厳格なガバナンス下で管理し、最小限に抑制する。これにより、導入後のコスト増やバージョンアップ時の障壁といったリスクを防ぎ、TCOを最適化する。
  • [800文字]による詳細な考察:
    パッケージを利用した基幹系システム再構築の「あるべき理想像」とは、「業務改革と一体化した、TCO(総所有コスト)最適化志向の導入アプローチ」の実現である。多くの導入プロジェクトが、既存業務プロセスを維持しようとするあまり、安易な追加開発に走り、結果としてコスト超過、保守性の著しい低下、塩漬け状態といった失敗に陥る。
    理想的な状態では、まず「パッケージに業務を合わせる」という原則を経営層と業務部門が共有する。その上で、パッケージ選定段階から業務部門が主体的に関与し、パッケージが内包するベストプラクティスを理解し、自社の業務プロセスを積極的に見直す。この徹底したFit&Gap分析により、追加開発の必要性を根源から断つ。
    やむを得ず追加開発が必要な場合でも、それは場当たり的に行われるのではなく、「追加開発ガバナンス」という規律あるプロセスで統制される。一つ一つの追加機能が、ビジネス上の価値、投資対効果、そして将来のバージョンアップに与える影響(技術的負債)の観点から厳しく評価され、承認されたものだけが開発される。また、その開発自体も、パッケージ本体との疎結合を意識したアーキテクチャ設計が求められる。
    システム監査人は、この一連のプロセスが規律をもって運営されているかを検証する。具体的には、①パッケージ選定の妥当性(業務改革の覚悟)、②追加開発の意思決定プロセスの有効性、③保守性を見据えた設計・契約の適切性、という観点から監査し、プロジェクトが短期的な導入コストだけでなく、長期的なTCOの最適化という真の成功に向かっているかを評価する。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。