R2 AU PM2-2 IT組織の役割・責任に関するシステム監査について

1.関与しているIT組織について、現状の体制及び、役割・責任の概要、並びにそれに対して影響を及ぼすIT環境の変化

1.関与しているIT組織について、現状の体制及び、役割・責任の概要について
　Z社は首都圏を中心に自社開発のネットワーク機器を販売する通信事業者である。Z社はネットワーク機器の販売だけではなく、インシデント対応や運用に関わる支援（以下、サポート対応という）を自社にて一括で実施している。Z社のサポート対応は、Z社技術部の内勤者がサポート対応のサービス要求を受付け、そのまま対応を実施する。内勤者で対応ができない場合、エスカレーション先としてZ社技術部の外勤者（以下、外勤者という）が対応を継続する。Z社の外勤対応は首都圏を複数のエリアに分け、それぞれのエリアを拠点長と呼ばれる人員のマネジメントによって運営される。それぞれのエリアでは拠点長の責任において、インシデント対応の完了率といったZ社技術部の管理指標を管理している。
2.影響を及ぼすIT環境の変化
　Z社では開発する機器である、オンプレミスの商材の売上が全体的に低迷し、自社商品のDX推進を組み込んだ新技術の利活用による売り上げの回復及び補填が喫緊の課題となっていた。
　Z社技術部においても、従来の業務と共に新技術の利活用に通じたリーダーシップのある人材（以下、高度人材という）の獲得と、必要な要員の確保・調整が課題であった。また、それに合わせ、従来の業務から簡易的な業務を専門的に従事する（以下、簡易業務者という）部門を新たに設立し、外勤者の業務を従来のインシデント対応のみではなく論理的思考、交渉力、といった新しい能力（以下、高度能力という）の獲得に充てるような業務の振るい分けを必要とした。
730-1430

2.変更するべき組織の役割・責任、及びそのリスクについて

1.変更するべき組織の役割・責任について
　Z社技術部は、設問アで述べたIT環境の変化、及びその要請によって必要と考えた組織の役割・責任の変更（以下、高度技術対応組織という）は以下の通りである。
①高度人材
　従来のエリアに属しない形で、高度かつZ社技術部の統一的な規範及びあるべきZ社外勤者として活動し、Z社技術部の管理指標に責任を負う。
②簡易業務者
　各エリアに配属される形で、従来業務のうちから簡易業務に従事する。Z社技術部の管理課の所属するが、各エリアの拠点長の采配で業務を割り当てられる。
③従来の各拠点の業務
　外勤者は、従来の業務に加え、高度能力の能力の獲得、及び向上を実施する。また、拠点長は簡易業務者の業務管理及び、外勤者の高度能力の獲得に責任を負う。
　私は、Z社システム監査室のシステム監査人の立場で、企画段階にある高度技術対応の適切性に関する監査を実施することとなった。

2.変更に伴って新たに発生するリスク
　Z社技術部の高度技術対応の主管部門である管理課は、その企画段階においてリスク・アセスメントを実施し、以下のリスクがあると考えた。
①高度人材に関するリスク
　高度人材に関するリスクは、スキル、人物像、及びマインドセットが明確ではないため、選定や評価に偏りや過ちがあり、十分に活躍できないリスクが考えられる。また、高度な技能を有していても、インシデント対応に従事するのみでは、高度な業務対応を共有することができず、その業務が属人化するリスクが考えられる。
②簡易業務者に関するリスク
　簡易業務者に関するリスクは、従来業務から選定する簡易業務の分析が不十分で、業務を簡易業務と従来業務の振るい分けをしたメリットが得られないリスクが存在する。
1565-2265

3.リスクに対応するための具体的な対応策と、その取組状況を確かめるための監査手続及びその留意事項について

1.リスクに対応するための具体的な対応策について
　Z社技術部管理課が、設問イで述べたリスクに対応するための具体的な対応策は以下の通りである。
①高度人材に関するリスクへの対応策
　高度人材に関するリスクへは、高度人材が、想定する高度人材の業務が不確定かつ不明瞭だった場合に引き起こされる。このため、求めるスキル、人物像、及びマインドセットに関し、具体性を持ち、かつ明確になるように設定する。また、高度人材の業務が、通常業務であるインシデント対応のみならず、その技術を広く伝えることができるスキルが必要であることを認識し、その点を十分に考慮して人員を選定する。
②簡易業務者に関するリスクへの対応策
　簡易業務者に関するリスクは、従来業務を網羅的にリストアップし現状分析を実施し、そこから作業の簡易さや作業時間といった複数項目でスコアリングし、簡易業務として振るい分けを実施する。

2.取組状況を確認するための監査手続及び留意点について
　必要と考えた、それぞれの対応策に対して次の監査要点及び監査手続を設定した。
①高度人材に対する選定基準は明確かつ適切かという監査要点
　管理課が高度人材について検討した会議の議事録を入手して精査、及び企画書を精査するという監査手続を設定した。これにより選定基準の適切さを示す監査証拠を得る。留意点として、会議、及び企画書において参加者の従来業務に対する知見も必要になることに留意する。これは高度人材及び高度能力が従来業務の高度化を進めるものであるからである。この点に留意し、監査を実施する。
②簡易業務の選定及び業務の指示系統が適切かという監査要点
　管理課がリストアップした従来業務の現状分析表、及びスコアリングを実施した簡易業務表を入手し精査、及びその簡易業務へ振るい分ける過程を検討可能な資料を用意し精査する、という監査手続を設定した。これにより、簡易業務の選定の適切性を示す監査証拠を得る。