システム監査技術者 過去問 解説~2018年度 春期 午後Ⅱ[午後2]問1 アジャイル型開発~
2018-04-23 公開
過去問題との関係性
アジャイルをテーマにした問題は初。開発手法なのでプロジェクト分野の監査だろうか。
設問イではリスクと(必要な)コントロールが,設問ウでは監査手続きが問われているので,その点に関してはオーソドックスなパターンの問題。
設問ごとの解説
設問ア
ここは,設問イのリスク,コントロールをある程度限定する部分なので,採用する理由と開発の内容に関しては,必ず設問イのリスク・コントロールとワンセットで考える必要がある。きちんと連携できているかどうかが重要になる。
設問イ
設問イで,リスクと(必要な)コントロールが問われているので,ここでは監査人が必要だと思っているリスクとコントロールを書く。但し,一般論ではなく,設問アでアジャイル開発採用する理由及びアジャイル開発の内容に応じたリスクとコントロールを書く。設問イの最初に「設問アで述べた」とあるので。
加えて,①アジャイル特有のもので,②それはウォータフォール型開発とは異なるもので,③設問ウの監査手続きの,“体制”,“スキル”,“開発環境などの整備状況”につながるものなので,それをベースに考える。③があるので「アジャイルに向いたシステムか否か?」のような…体制・スキル・開発環境以外のリスクやコントロールに関しては適当ではない(ただ減点されるかどうかは不明。そんなに精度の良い論文は多くないはずなので)。
一般論だと次のようなものが考えられるので,そこから設問アに合致する内容で絞り込めばいい。繰り返しになるが,一般論であったとしても設問アと関連付けて書くこと。これが重要。
まずは体制面だが,アジャイルの場合は…ビジネス要件の取り込みを繰り返すわけなので,開発者側だけの体制ではNGで,常時ビジネス要件に対し決定権を持つ人とペアで動く必要がある。ユーザも開発チームの一員としてウォータフォール以上に主体的に参画しないといけない。その体制でないとビジネス要件の取り込みができない。そのあたりのリスクと,コントロールを書く。
他にも,運用担当者やUI担当者,仕様書を書く人など,必要に応じて,その役割持った人材をチームに入れることもある。要するにプロジェクトの特性に応じた体制になっていないといけない。
後は…アジャイル開発そのものの経験者の有無。チーム全員が経験者じゃないといけないわけではないが,指導しながら進めていける経験者が十分かどうかも体制面で書ける。
場所でもいいだろうか、体制に含まれるか。コミュニケーションを随時取っていくので,地理的に分散した体制では十分なコミュニケーションが取れない場合もある。それが何かしらの方法でコントロールされている必要がある。
後は…範囲が決まっていない中,ある意味性善説で開発を繰り返すので経営者や利用者の理解も必要だという点でもいいように思う。
開発環境などの整備状況に関しては,アジャイル特有の管理ツール(プロジェクトマネジメントツール)を使っているかどうかだ。
次にスキル。スキルは,アジャイル開発に関するスキル,開発環境の利用経験,コミュニケーションスキル,設計,開発,テスト,リリースなどオールマイティなスキルが必要になる。要するに,セル生産方式のように,メンバに求められるスキルセットが広範囲になりがちで,その分,個人差も大きくなりがちなので,そうなると計画通りに行かない。
最後に開発環境。アジャイルに特化したマネジメントツールや,テスト工数がどうしても多くなりがちで,繰り返し類似のテストをすることも少なくないので,テストツールの導入について言及してもいいだろう。
そんなところだろうか。
設問ウ
ここは例年通りの監査手続きが問われている。監査証拠と確認すべきポイントを要求されている。但し,これらは要求されなくても監査手続きの表現として書くように準備しておく必要がある。
加えて,平成25年以来…具体的に監査項目が指定されている。体制,スキル,開発環境だ。これらの“整備状況”を“開発着手前”に確かめるとなっている。
となると,設問イが監査人の考えるリスクとコントロールなので,当事者が誰か?プロジェクトマネージャやスクラムマスター等の責任者を明確にし,監査証拠としてはい体制図以外,スキルや開発環境などの整備状況はドキュメントがあるのか,ないのかを明確にして,それに応じた監査手続きを書けばいいだろう。監査証拠を含めないといけないことから,実際の当事者がどのようなコントロールをしているのか(そこで利用されているドキュメント等の存在)は書いた方がいいだろう。
とはいうものの…おそらくここで,実際にどういうコントロールが行われているのかを書かずに,唐突に監査証拠を書いたとしても,そういう論文が大多数だと思うので,そこは許容範囲だと思う。
但し,監査人がその内容をみて「アジャイルに適しているかどうか?」を判断するのではなく,アジャイル開発経験者や品質管理部門,PMOなどのレビューの議事録や承認印があるかどうかの方がいい。
数としては…監査項目ごとにコントロールが機能しているかどうかなので,予防牽制,誤謬適示,修正回復の3点もしくは2点(予防と事後)ずつで書けば,6~9になり,字数も1000字くらいにはなるだろう。
感想
PMBOK ® v6がアジャイル対応が目玉の一つなので,平成31年春にはアジャイルが高度系でも来るだろうと思っていたが,監査で最初に来るとは思いもしなかった。1年早い。
したがって…アジャイル開発経験者は書きやすいだろうけど,未経験者は避けた方がいい。しかし問2が「設問ウが監査手続き」のパターンではないので,アジャイル開発未経験者でもこっちを選ぶ人は多かったはず。
さらにアジャイル開発経験者が,しっかりと設問イでアと関連付けるとともに自分の意見とし,設問ウで監査手続きの表現にできているとは限らない。
したがって,アジャイル開発のリスクやコントロール,監査手続きが少々ピント外れでもA評価になると思われる。かなり合格論文のレベルは低いと見ている。
参考資料
label 関連タグ著者の三好康之さんから許可を得て、2018年度 春期 情報処理技術者試験 の出題問題への感想を一部修正し、転載しています。
転載元: 三好康之オフィシャルブログ 「自分らしい働き方」Powered by Ameba
『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも受け放題!!
- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba
