【実務思考】【AU-H28-1-PM2-Q2】情報システムの設計・開発段階における品質管理に関する監査

システム監査技術者
目次
  1. 🍀概要
  2. 🧾問題・設問(AU-H28-1-PM2-Q2)
    1. 📘問題
    2. 📗設問
    3. 📔出題趣旨・採点講評(IPA)
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭情報システムの設計・開発段階における品質管理に関する監査についての考察
  4. 📌補足(考察について)

🍀概要

 システム監査技術者試験 平成28年 午後2 問2について、AIを活用して、詳細分析した結果を示します。
 本分析は、AIが問題文からその背景にある本質的な課題を深く掘り下げ、システム監査人が目指すべき理想像の一端を理解することに役立つよう、多角的な視点から考察したものです。これにより、単なる模範解答の提示に留まらず、論述問題を通して試される思考プロセス問題解決のアプローチを深く理解するための示唆を提供します。

🧾問題・設問(AU-H28-1-PM2-Q2)

 出典:情報処理推進機構 システム監査技術者試験 平成28年 午後2 問2(🔗取り扱いガイドライン)

📘問題

■タイトル
 情報システムの設計・開発段階における品質管理に関する監査について
■内容
 情報技術の進展に伴い,企業などでは,戦略的な新規サービスの提供,業務の効率向上などに情報システムを積極的に利活用している。また,情報システムはネットワーク化されており,不具合が発生するとその影響は組織内にとどまらず,取引先,さらには国民生活にまで及ぶおそれがある。したがって,本番稼働前の設計・開発段階において,業務の要件を満たしているか,プログラムに誤りはないかなど,品質が十分に確保されているかどうかを監査しておくことが重要である。
 情報システムに求められる品質は,関係するサービス又は業務の要件によって,その内容及びレベルは異なってくる。一方で,品質は,設計・開発段階における各工程を通じて,順次,組み込まれていくものである。したがって,設計・開発段階における情報システムの監査において,品質の確保状況を評価するには,一つの工程を対象とするだけでは不十分である。また,システム監査人が,設計書,テスト報告書などの内容を精査して,品質の確保状況を直接,評価することも難しい。
 これらの点を踏まえて,システム監査人は,設計・開発段階における品質管理に関わる体制,プロセスなどが適切かどうかを確かめることで,求められる品質が確保されているかどうかを評価する必要がある。さらに,レビュー,テストなどの実施において,品質が確保されているかどうかを測る客観的な指標が設定され,評価されていることを確かめることも有効である。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。

📗設問

■設問ア
 あなたが関係する情報システムの概要と,当該情報システムにおいて重要と考えられる品質の内容,及びその品質が確保されない場合のサービス又は業務への影響について,800字以内で述べよ。
■設問イ
 設問アで述べた品質について,設計・開発段階で品質が確保されなくなる要因,及び品質を確保するために必要なコントロールを,700字以上1,400字以内で具体的に述べよ。
■設問ウ
 設問イで述べたコントロールを踏まえて,設計・開発段階における品質管理の適切性を確認する監査手続について,監査証拠及び確認すべきポイントを含め,700字以上1,400字以内で具体的に述べよ。

📔出題趣旨・採点講評(IPA)

■出題趣旨
 企業などで利活用している情報システムにおける品質が確保されていないと,不具合が生じた場合の影響は当該組織だけではなく,顧客や取引先,さらには国民生活にまで及ぶ可能性がある。したがって,設計・開発段階における各工程を通じて品質が確保されるようにコントロールすることが重要になる。しかし,システム監査人が品質を直接,確かめることは難しい。そこで,システム監査人は,設計・開発段階における品質管理の適切性を確かめることで,重要な品質が確保されているかどうかを評価する必要がある。
 本問では,システム監査人として,情報システムの設計・開発段階における品質が確保されているかどうかを監査するための知識・能力があるかどうかを問う。
■採点講評
 問2(情報システムの設計・開発段階における品質管理に関する監査について)は,設問イでは,設計・開発段階において,どのような品質を確保すべきなのかを工程ごとに整理して論述できている解答は少なかった。設問ウでは,“品質管理”と“品質”を混同して論述している解答,設問イとの関連がなく一般論で論述している解答,そもそも監査手続になっていない解答が多かった。問題文の趣旨と設問で求められていることを正しく理解した上で,論述してほしい。

🪄詳細分析(AI)

📝3行まとめ

  1. 【背景】情報システムの品質不備は組織内に留まらず、取引先や社会全体に重大な影響を与えるリスクがあります。
  2. 【監査視点】監査では、設計・開発段階の各工程で品質を作り込む体制とプロセス、及び客観的な品質評価指標の有無を重視して確認します。
  3. 【行動・着眼点】監査人は、レビュー・テストの実施状況と品質ゲートの運用実態を確認し、品質管理のPDCAサイクルが機能しているかを検証すべきです。

🧭情報システムの設計・開発段階における品質管理に関する監査についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 情報システムの不具合が、自組織内だけでなく、取引先や社会全体に広範囲な影響を及ぼすリスクが増大している。
    • システムの品質は、最終的なテスト工程だけで確保できるものではなく、設計・開発段階の各工程を通じて作り込まれる(品質は工程で作り込まれる)という認識が重要である。
    • しかし、開発現場では、品質よりも機能実装やスケジュール遵守が優先され、品質管理活動がおろそかになりがちである。
    • システム監査人が、設計書やソースコードといった膨大な成果物を直接精査して品質を評価するのは、非現実的で困難である。
    • そのため、監査人は、成果物そのものではなく、品質を管理するための「体制」や「プロセス」が適切に機能しているかを評価する必要がある。
  • 変化の必要性の背景:
    • 品質に対する社会的要請の高まり: システム障害による大規模な社会的混乱が報道されるたびに、システムの品質に対する社会の目が厳しくなり、企業の品質管理責任が重くなった。
    • シフトレフトの原則: 開発ライフサイクルの後工程で不具合が発見されるほど、その修正コストは指数関数的に増大する。このため、設計・開発といった上流工程で品質を確保することの重要性が広く認識された。
    • プロセス監査への移行: 監査が、成果物の正しさを直接検証する「製品監査」から、正しい成果物を生み出すための「プロセスの監査」へと、その重点を移すようになった。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • 確立された品質管理体制: プロジェクト内に、開発チームから独立した品質保証(QA)チームが存在し、プロジェクト全体の品質に責任を持つ。QAチームは、品質目標の設定、品質管理計画の策定、各工程でのレビューやテストの実施・評価を主導する。
    • 客観的な品質目標(品質ゲート)の設定: プロジェクトの開始時に、システムの重要度に応じて、達成すべき品質目標が客観的・定量的な指標(例:コードカバレッジ80%以上、致命的なバグ0件)として定義される。各開発工程の完了時には、この品質目標をクリアしているかを判定する「品質ゲート」が設けられている。
    • 規律あるレビューとテスト: 設計書やソースコードのレビューが、単なる読み合わせではなく、明確な観点(チェックリスト)に基づき、形式的に(例:査読会)実施される。テストも、計画に基づき網羅的に実施され、その結果はツールで管理される。
    • 品質の可視化と継続的改善: テストの進捗、バグの発生・収束状況、レビューの指摘件数といった品質に関するデータが、ダッシュボードなどで常に可視化されている。これらのデータを分析し、品質を阻害している根本原因(例:特定のモジュールにバグが集中)を特定し、プロセス改善に繋げるPDCAサイクルが機能している。
  • 克服すべき障壁:
    • 品質とスケジュールの対立: プロジェクトマネージャーが、スケジュールを守るために、品質管理活動(レビューやテスト)を省略したり、不十分なまま次の工程に進むことを許可したりする。
    • 品質保証(QA)部門の形骸化: QAチームが、単なるテスト実施部隊と見なされたり、開発チームとの力関係で劣っていたりして、品質に対する十分な権限を行使できない。
    • 品質の定量化の難しさ: 「使いやすさ」のような定性的な品質を、客観的な指標に落とし込み、測定することの難しさ。
    • 文書化の負担: レビューやテストの記録をきちんと残すことが、開発者の負担となり、おろそかになる。
  • 利害関係者の視点:
    • 経営層: 開発中のシステムの品質が、客観的なデータに基づいて管理されていることを確認できる。リリース後の重大障害による事業リスクを低減できる。
    • 利用者: 自分たちの要求する品質(機能、性能、使いやすさ等)が、開発プロセスを通じて確保されているという安心感を得られる。
    • 開発チーム: 明確な品質目標を持つことで、手戻りの少ない効率的な開発が可能になる。品質の高い製品をリリースすることに誇りが持てる。
    • 監査人: 成果物そのものではなく、品質管理の「プロセス」と「体制」を監査する。品質管理計画書、レビューやテストの記録、品質指標のデータを監査証拠として、求められる品質が確保される仕組みが有効に機能しているかを評価する。

3. 要約

  • [200文字]要約:
    システムの品質は、テストだけでなく設計・開発の各工程で作り込む必要がある。理想像は、独立したQAチームが、客観的な品質目標に基づき、規律あるレビューやテストを主導する体制。監査人は、この品質管理の「プロセス」が有効に機能しているかを、各種記録やデータに基づき評価する。
  • [400文字]要約:
    システムの品質は、最終テストだけでなく、設計・開発の各工程での作り込みが重要である。しかし、監査人が全成果物を直接評価するのは困難だ。あるべき理想像は、開発から独立した品質保証チームが、客観的な品質目標(品質ゲート)を設定し、各工程の品質を管理する体制を確立することだ。監査人は、この品質管理の「プロセス」自体を監査対象とし、計画、レビュー・テスト記録、品質データを基に、その有効性を評価する。
  • [800文字]による詳細な考察:
    本問題は、システム監査における重要なパラダイムシフト、すなわち「製品監査」から「プロセス監査」への移行を、品質管理という切り口で明確に示している。監査人はもはや完成品の鑑定士ではなく、優れた製品を生み出す「製造ライン(開発プロセス)」の設計と運用を評価するコンサルタントとしての役割を担う。
    • あるべき理想像とは、「CI/CDパイプラインに統合された、自動化された品質ガバナンス」の実現である。これは、品質管理活動が、人手による断続的なチェックではなく、開発プロセスに組み込まれた、継続的かつ自動的なフィードバックループとして機能している状態を指す。理想的な状態では、開発者がコードを変更するたびに、静的解析ツールがコーディング規約違反をチェックし、単体テストが自動実行される。ビルドが成功すると、テスト環境に自動的にデプロイされ、結合テストやUIテストが実行される。これらの自動化された「品質ゲート」を通過できないコードは、本番環境へは進めない。品質保証(QA)チームの役割は、これらの手作業のテストから解放され、テスト戦略の策定、自動テストシナリオの設計、そして開発者への品質に関する啓蒙といった、より高度な活動にシフトする。
    • 理想像実現へのアプローチとして、システム監査人は、まず組織の「品質管理標準」や「開発標準」といった規程類を評価する。次に、プロジェクトの品質管理計画書をレビューし、その計画がプロジェクトの特性やリスクに見合った、妥当なものであるかを確認する。監査手続の核心は、この計画が実行されている証拠の検証である。①レビューの監査:設計レビューやコードレビューの議事録を閲覧し、形式的なものでなく、実質的な指摘と修正が行われているかを確認。②テストの監査:テスト管理ツールのデータを分析し、テストケースの消化率、バグの検出・修正状況を評価。特に、検出されたバグが、修正されずに放置されていないかを追跡する。③品質データの監査:プロジェクトが収集している品質メトリクス(コードカバレッジ、バグ密度など)のデータそのものの信頼性と、そのデータに基づくリリース判定プロセスの妥当性を評価する。
    • 期待される効果は、開発プロセスの手戻りを削減し、生産性を向上させると同時に、リリースされるシステムの品質を安定的に向上させることである。
    • 考慮すべきリスクは、品質管理が、柔軟性を欠いた画一的なルール適用に陥ることだ。監査人は、プロジェクトの特性(例:アジャイル開発)に応じて、品質管理のアプローチも変化すべきであることを理解し、その状況に応じた妥当性を評価する視点が必要である。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。