問2 IT組織の役割・責任に関する監査について
この問題文を読む限り…ストーリは,こんな感じかな。
「…というIT環境の変化があった。それに対して,IT組織(情報システム部)の役割・責任を変更すべく取組みを行っている。その取組状況を確かめるためのに監査を実施する」
問1もそうだけど,DX,PoC,アジャイルの知識があれば,何とか書ききれる。状況設定が難しいけど。そこは想像力で補えば何とかなりそう。
あ,あと…これはいつもの「(現場で実施しているコントロール=対応策の)適切性」が問われているわけじゃないので,現場でのコントロールを書かなくてもいい。平成30年,29年の流れかな。30年のアジャイルの問題応用すれば書けそうだし。
まぁ…書いても書きようはあるので問題はないけれど。
もしも,現場での当事者が行っているコントロールを書き忘れたと思っている人には朗報。問題ない。
設問ア
IT環境の変化と,その変化を受ける前の体制及び役割・責任の概要を書く。問題文に例があるので,それを参考に(2-3行目)。
例1)オンプレミス+内部で保守→要員確保できないため,クラウド+運用を委託する
例2)要件定義を実施して,開発はベンダに請負契約で依頼する。→守りの成果を担保する開発から,攻めのIT(AI等)でPoCやアジャイル
設問イ
2-1.IT組織の役割・責任をどう変更すべきか?という点については,自分の”あるべき論”を述べればいい。監査対象企業がどうしているのか?は入れても入れなくてもいい。入れる場合には,その時の持論を展開する。
例1)ベンダコントロール,契約に関する知識など
例2)ベンダと協調して進める体制,開発チームを持つ,幅広い知識が必要,CIOとしての責任強化など
アジャイル開発を行っていくことを予備調査で把握している場合には,従来のウォータフォール型とアジャイル型との違いを中心に役割と責任の変化を書けばいい。
2-2.リスク
その場合のリスクは…
1)問題文の例以外だと…ノウハウが無くなる,依存的になる,従来よりも運用コストや情報化投資費用が高くなる,現場からのニーズに柔軟に対応できなくなる,システムが足枷になって業務改善が進まない,
2)知識不足,経験不足,成果が出せない(PoCばかりで実用化できない)
設問ウ
ここは,取組状況が問われている。いつもの”適切性”じゃない。
取組状況は…「~に取り組んでいるかどうかを確認する」ということでいける。適切性の場合は,当事者が実施していることを書いた上で,それが適切かどうかを書くことになるため,当事者のコントロールが必要だが…
今回はそうではない。その取組の適切性は問われていない。
したがって…当事者のコントロールは無くてもいい(書いてもいいけど,その場合はその先まで書かないといけない)
ということで…
リスクに対する(自分が必要だと考えているコントロール)を書いて,それをしているかどうかを確認するというスタンスで書く。
但し,この場合でも…監査証拠は必要なので,何を見れば取組状況がわかるのか?インタビューでもいいけれど,そればかりだとおかしくなるので,具体的なドキュメントとそれを使用しているという事実を書いた上で監査手続につなげていけばいいだろう。
留意事項を入れることもお忘れなく。
例)
クラウドサービスを利用する場合,システム運用費用が以前に比べて適切かどうかを定期的に評価する必要がある。
A社では,3か月に1回開催する経営会議で,各部門の予算の消化状況を報告しているが,その時に利用している情報システム部の収支報告書を確認して,クラウドサービスとオンプレミスの場合との投資効果を比較しているかどうかを確認する。加えて,そのシミュレーションを導入後も定期的に実施しているかどうかを確認する。会議で使用した資料内で確認できない場合には,情報システム部のC部長にインタビューをして確認する。
一つの項目だけだけど…こんな感じかな。
繰り返しになるけれど…「実施していることの適切性」ではないので,持論だけで展開しやすい。ただ,監査証拠にドキュメントを利用する場合,唐突にその監査証拠を書くのではなく(それをすると,そのドキュメントがあるのが当然のように言ってるように見えるので),上記の例のように…A社で使っている旨を書いた上でね。
以上。