R2 AU PM2-2 IT組織の役割・責任に関するシステム監査について

1.現状のIT組織について体制・及び役割・責任の概要、並びに影響を及ぼすIT環境の変化

1.1　現状のIT組織についての体制・及び役割・責任の概要について
　Z社は、自社開発のネットワーク機器（以下、機器という）を販売、設置する通信事業者である。Z社の機器は、Z社のシステム開発課が開発・保守を実施する。また、Z社技術部がZ社の技術部が設置、インシデント対応など運用面におけるサービス提供を実施する。
　Z社技術部では、機器の設置についてを実施する。具体的には、設置マニュアルの配備や、機器を設置する従業員（以下、施工者という）に機器設置に関する教育などを実施する。
　Ｚ社では、施工時のクレームやトラブルが、後の顧客関係に影響を及ぼすと考え、施工後にアンケートを実施するなど、施工の品質の維持に注力してきた。
1.2　影響を及ぼすIT環境の変化について
　Z社が扱うネットワーク機器を取り巻くIT環境は、非常に早いスピードで進んでいる。Z社が取り扱う商材には、ルータやUTMがあるが、単純なネットワーク機能の提供だけでなく、付加価値の伴った機能・サービスを提供する必要がある。
　Z社技術部においても、従来の業務に加えて、付加価値を高める業務を実施する必要があった。
　そこで、Z社技術部は、簡易的な作業は現状とは別の人員・組織が対応し、より品質の高い従来業務・及び新規の業務の実施を計画した。
　Z社技術部の要員が参加する会議で、業務の選別が討論された。この業務の選別において、Z社の子会社であるY社に機器の設置を依頼する（以下、施工依頼）、という内容であった。
　Y社は、Z社技術部の簡易的な業務を代わりに実施する目的で設立されたZ社の子会社である。
　私は、Z社内部監査室に所属するシステム監査人として、計画段階にある施工段階の計画の適切性を監査するものである。

2 IT環境の変化に対応したIT組織の変化、及び変化後に新たに発生するリスクについて

2.1　IT環境の変化に対応したIT組織の変化について
　Z社技術部は設問アで述べたIT環境の変化から、施工依頼を実施する必要があった。この施工依頼を実施するにあたって、施工の品質の維持をしつつ、効率的な業務委託をすることが求められる。
　Z社技術部は、上記の対応にあたって、組織内の体制の変更を実施した。
　従来から、Y社ではZ社の一部業務を実施していたので、報告や連絡のライン（以下、レポートラインという）は存在したが、施工依頼の対応に伴い、より緊密なレポートラインを要する。これは、Z社内の要員の数名を派遣させ、技術的な指導や管理をチーム単位で編成し、新たなレポートラインとする体制を整えることで対応することとなった。
2.2　変化後に新たに発生するリスクについて
　ただし、子会社ではあってもY社とZ社では組織自体が違うため、Z社は施工依頼に伴う組織内の体制変更は、複数のリスクが予想された。それは、以下の通りである。
①フィードバックができないリスク
　従来は、自社にて一括で行われた施工だが、Y社が施工し運用はZ社が実施することになる。従来では、施工時のインシデントの情報がZ社内の問題管理の部門に適切に共有できていたが、Y社との情報共有の仕組みが整えられていない場合、フィードバックができず同様のインシデントが繰り返し発生してしまうリスクがある。
②エスカレーションが適切に実施できないリスク
　施工依頼自体は簡易的な作業を依頼するが、現場作業においては突発的な障害対応や顧客対応といった不測の事態が発生することがある。この際に、適切なエスカレーションのルールがない場合に、新たな障害対応が必要となる二次災害を生むリスクがある。
③教育が十分ではないリスク
　新たな体制では、複数のチームに分かれて施工依頼を実施するが、メンバーに対する教育が、Z社の施工規格に基づき、統一的な内容ではない場合、施工品質が落ちるリスクがある。また、教育に関しては、メンバーのスキルやパーソナリティに合わせる工夫がない場合、メンバーの就業の充足度が足りず、離職率が高まるリスクがある。
　以上が、施工依頼に関して想定し得るリスクである。

3.リスクへの具体的な対応策と、その取組状況を確かめるための監査手続及びその留意事項

3.1リスクへの具体的な対応策について
　私が施工依頼の計画の適切性の監査にあたり、予備調査において確認できたZ社技術部が計画しているリスクへの具体的な対応策は以下の通りである。
①フィードバックのリスクの対応策
　施工依頼の施工の完了報告を、オンラインで施工報告書システムに登録し、Z社技術部にて網羅的に管理をする。
②エスカレーションに関するリスクの対応策について
　Z社内でY社内のレポートラインよりも上位のエスカレーション先を用意する。また、エスカレーションルールを文書にまとめ周知徹底をする。
③教育に関するリスクについて
　Y社の施工マニュアルを、現行のZ社で利用しているものを踏襲し、作成する。

①フィードバックのリスクの対応策の監査は、施工報告書にシステムの記入する内容及び管理体制を確認する必要がある。Y社における施工マニュアルを閲覧し、施工報告書システムに入力する内容がインシデントに関する記載があるかを確認する。留意点として、施工報告書システムの網羅性だけではなく、その内容を問題管理のプロセスに組み込む必要がある。そこで、追加の監査として、施工報告書システムに対するフィードバックに関する仕組みを確認するために技術部要員にインタビューを実施する。
②エスカレーション先のZ社内のエスカレーションの要員が、現状の業務に加えに対し、Y社施工の問合せに答える業務上の余裕があるかをインタビューにより実施する。エスカレーションルールに関してはY社が実施したエスカレーションルールの周知に関する試みをZ社として確認をする試みがあるか、施工依頼の企画書を査閲し確認する。
③施工マニュアルが、Z社の施工規格に基づいているか、を確認する。留意点として、子会社であるY社がZ社との施工品質の差異分析が十分でない場合、その管理に関わるコストが上がってしまう可能性がある。この観点から、追加の監査手続として、施工品質の差異分析についてZ社の要員にインタビューを実施する。
　以上が、私が計画した、施工依頼の計画の適切性の監査手続である。