2018年 春期 応用情報技術者試験 問11
システム更改プロジェクトの監査
貸金業者のV社は、主要システムの一つである債権管理システムの稼働を7年前に開始し、これまで改修を重ねて、債権管理業務の変更に対応してきた。しかし、業務要件の多様化が進み、業務要件間の整合性を確保することが困難になってきた。そこで、V社の経営陣はシステム更改が必要と判断し、現在、債権管理システムの更改プロジェクト(以下、本プロジェクトという)を推進している。
V社の内部監査部長は、年度監査計画に基づき、システム監査チームに対して本プロジェクトの要件定義の適切性について監査を実施するよう指示した。
【予備調査】
システム監査チームは、X年6月上旬に予備調査を行い、本プロジェクトの概要を次のとおり把握した。
(1) システム更改スケジュールの概要は、図1のとおりである。
| X年 | X+1年 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | 11月 | 12月 | 1月 | 2月 | 3月 | 4月 |
| 要件定義 | 設計 | 開発 | テスト | 移行準備 | |||||||
| ← → → → → → → → → → → 移行・稼働 | |||||||||||
(2) 本プロジェクトの重要事項を決定する会議体であるプロジェクト運営委員会(以下、運営委員会という)は、V社のシステム部担当役員を議長とし、システム部、債権管理部、法務部の各部長で構成される。運営委員会では、本プロジェクトの重要課題が記載された課題管理表を確認し、必要に応じて各部などに対応を指示する。
運営委員会の会議内容は、議事録に記録される。
(3) 要件定義を行う要件検討会は、運営委員会が指名した各部の部員(以下、要件定義メンバという)で構成される。債権管理部及び法務部の要件定義メンバは、業務要件の検討結果を業務要件一覧にまとめ、システム部の要件定義メンバは、業務要件一覧に基づき、システム要件の検討結果をシステム要件一覧にまとめる。業務要件一覧の一部を表1に、システム要件一覧の一部を表2に示す。
| 項番 | 業務要件 | 根拠資料 ( )内は資料所管部 |
|---|---|---|
| ① | 受取証書に、当社の商号・登録番号、契約年月日、受領金額・その他息、受領年月日などを記載する。 | 債権管理法令集 (法務部) |
| ② | 債務者に対して、法令で定める時間帯(以下、法定時間帯という)に電話発信することを禁止する。 | 債権管理法令集 (法務部) |
| ③ | 債務者に対して、法定時間帯の開始前1時間及び終了後1時間(以下、当社規制時間帯という)に電話発信した場合、電話の内容と理由を確認するよう、業務管理者に注意を促す。 | 業務マニュアル (債権管理部) |
X年6月1日現在の法定時間帯:21~翌日8時
X年6月1日現在の当社規制時間帯:20~21時、及び8~9時
| 項番 | 業務要件 | システム要件 |
|---|---|---|
| ① | 表1項番① | 基幹システムから連携された債権データに基づき、受取証書データを編集し、受取証書データベースに登録する。 |
| ② | 表1項番② | パラメタに設定した法定時間帯に、業務担当者が電話発信ボタンを押した場合、エラーメッセージを表示し、発信できないようにする。 |
| ③ | 表1項番③ | 日次の夜間バッチ処理で、パラメタに設定した当社規制時間帯の発信記録を抽出し、業務管理用端末に要注意発信一覧を表示する。 |
(4) 要件検討会の議事録には、要件定義メンバの出席状況、検討テーマ、質疑応答・意見、検討結果などが記載されている。例えば、X年6月8日に開催された要件検討会の議事録には、"要件定義書の作成が遅れており、X年6月30日までに運営委員会で承認されないおそれがある"と記載されていた。また、V社のプロジェクト管理基準には、要件検討会の開催後に、プロジェクトに参加している各部の管理職全員が、回覧される議事録を閲覧し、記載事項を確認するよう定められている。
【本調査】
システム監査チームは、予備調査の結果を踏まえ、要件定義書承認前のX年6月中旬に本調査を実施した。
(1) 債権管理部及び法務部において、業務要件が適切に確認されているかどうかを、次のとおり確認した。
① 要件検討会の議事録を閲覧したところ、債権管理部の要件定義メンバP氏が第2回要件検討会を欠席していることが記録されていた。
② P氏にインタビューしたところ、P氏は、"欠席した第2回要件検討会も含めて、全ての要件検討会の議事録を閲覧し、記載事項を確認している"と回答した。
③ また、P氏は、"プロジェクト管理基準に従って、債権管理部の管理職全員が要件検討会の議事録の記載事項を確認していると認識している"と回答した。
④ P氏の③の回答内容が事実かどうかを確認するために、追加の監査手続を行った。
(2) 業務要件の根拠が明確かどうかを、次のとおり確認した。
① 業務要件一覧に記載された業務要件をサンプル抽出し、根拠資料の内容と照合した。しかし、業務要件の一部は根拠資料の内容との関係が不明確であったことから、業務要件の根拠が明確であることを立証するための十分なaを得られなかった。例えば、表1項番①の業務要件が、債権管理法令集に記載された法令のどの条項に対応するのか、システム監査チームは確認できなかった。
② 業務要件の根拠が明確であることを立証するために、bにcを説明するよう求めた。
(3) 業務要件とシステム要件が整合しているかどうかを、次のとおり確認した。
① 業務要件一覧とシステム要件一覧を照合したところ、業務要件ごとにシステム要件が定義されていた。
② 業務要件及び対応するシステム要件をサンプル抽出し、関連する要件検討会の議事録を閲覧するとともに、要件定義メンバにインタビューした。その結果、業務要件及びシステム要件の具体的な内容についての認識が、要件定義メンバ間で合致していないケースがあった。例えば、P氏は、表1項番③の当社規制時間帯が、前日の20~21時、及び当日の8~9時の間であると考えていた。一方、システム部の要件定義メンバは、表2項番③について、バッチ処理時間帯の制約があるので、前日の8~9時、及び前日の20~21時の間の発信記録を、要注意発信一覧として表示しようと考えていた。
③ ②の状況が生じた原因を確認した上で、"業務要件とシステム要件を整合させることが必要である"ことを指摘した。
(4) 要件検討会で認識された重要課題が、運営委員会で確認されているかどうかを確認するためにd、e及びfを照合した。