応用情報　PMBOK（WBS、RFI・RFP、ファンクションポイント法、EVMアーンドバリューマネジメント、クリティカルパス・開始終了、リスク、パレード図）、サービス管理、ファシリティマネジメント(UPS)、監査

PMBOKの概要

プロジェクトマネージャーbody of knowledgeの略
プロジェクト管理の成功ノウハウ集であり、10の知識エリアに分かれている

PMO

プロジェクトマネージャーオフィスの略
企業内の、プロジェクトマネージャーを支援する部署

支援型→コントロール型→指揮型　という順に
PMOが関わるレベルが上がる

・支援型
トレーニングやアドバイスのみ行う

・指揮型
直接管理を行う

フェーズ

プロジェクト全体における作業工程
(例)要件定義フェーズ

※各フェーズの終わりにはフェーズゲートが設定
プロジェクトの進捗状況を評価
↓
プロジェクトを継続するか、中止するか判断

アクティビティ

①統合

プロジェクト全体の統合を行う

・プロジェクト憲章の作成

プロジェクトを正式に認可するために、目標・成果物・プロジェクトマネージャーの責任等を記した文書

↓
・計画書の作成
↓
・全体のマネジメント
↓

・作業の監視、変更の管理

遅延している場合のスケジュール変更等、要求に応じて管理する
→統合変更管理という

↓
・フィードバック

②ステークホルダー

ステークホルダー登録簿

ステークホルダーを洗い出して一覧にしたもの

ステアリングコミッティ

方向性を最終的に決める委員会
ステークホルダー間の調整も行う

③コミュニケーション

ステークホルダーとの円滑なコミュニケーションをとるために、情報の伝達手段・伝達内容等のどこを改善するべきか考える必要がある

どこを改善するべきか、しっかり試験で問われる

④スコープ

スコープ=範囲
どんなシステムを作るか、について範囲を定義する

スコープの定義

成果物の範囲・範囲から除外する項目を定め、スコープ記述書（スコープ規定書）に記述

プロジェクトの時間短縮をする方法

◆クラッシング

スコープを変更せずに、コストを追加投入して、スケジュール全体を短縮させる方法

【クラッシングで、優先的に資源を投入するべき対象】

クリティカルパス上のスケジュールアクティビティ
(スケジュール全体を短縮させることができるから)

※難しい業務や、長時間かかる業務に資源投入をしても
効果は比較的薄い

◆ファストトラッキング

直列に並んでいた作業を分割し、並行で行い短縮する方法

WBS(work breakdown structure)

プロジェクトに必要な作業や成果物を、階層化した図で表すもの
↓
階層化することで、管理可能な大きさに細分化することが目的

（例）
画面設計
　画面一覧
　画面遷移図
　画面レイアウト…

⑤資源

内部からの物・人の獲得を行う。（外部からの獲得は、⑥調達で）
試験では、人月の計算がしっかり出される

⑥調達

RFP→リクエスト　for　 プロポーサル

ベンダーに対して、システム設計や機器構成の内容、受注条件などを記載した提案書を提出するよう、要求すること

※RFPを作成するメリット
・認識の相違による開発手戻りが減る
・発注先の選定基準が明確になるので、価格が適正になりやすい

⑦コスト

プロジェクトで決めた予算内で完了するように管理する

見積手法

類推法　(類推見積法)

過去の似たプロジェクトを基に見積もる方法

三点見積法

最も順調に進んだ場合（楽観値）
悪条件が重なり遅延した場合（悲観値）
実際の予想（最頻値

プログラムステップ法（LOC法）

プログラムの行数(ステップ数)から、どれくらいのコストがかかるか調べる方法

⭐️ファンクションポイント法

ソフトウェアの機能を、外部入力などの5つの要素の数や特性、複雑さなどを考慮して、ソフトウェア規模を算出する方法

※人月=人×ヶ月
3人月=3人×1ヶ月　or　1人×3ヶ月

COCOMO

開発規模がわかっていることを前提にして、工数と工期を見積もる方法

【計算式】
予想されるプログラムの行数×係数（メンバーの能力など）

標準値法(標準タスク法)

各項目に対して、作業量の基準を決める
↓
基準値を適用して算出した作業量の積算で、全体の作業量を見積もる

EVM（アーンドバリューマネジメント）

プロジェクトの進捗度を、お金に換算したもの
※実際にかかったお金ではない

PV(planned value)

各段階における計画上の進捗度

EV(earned value)

各段階における実際の進捗度

AC(actual cost)

各段階で実際にかかったコスト

✅BAC(Budget at Completion)

予想されるコスト(予算)

✅EAC(estimate at completion)

プロジェクトが終わったら、かかりそうなコスト

コストの効率(CPI)をEV÷ACで求めて、予算をコスト効率で割る
BAC÷(EV÷AC)

◆SPI スケジュール効率指数

EV/PV

◆CPI コスト効率指数

EV/AC

EVMの例題

①

AC(実際のコスト)がEV(実際の進捗度)に比べて3倍
↓
予算が4千万なので、実際の3倍かかる見込み
↓
ゆえに、EACは12千万

②

・スケジュールが予定通りか
PVとEVの差を求めれば良い

・コストが予定通りか
ACとEVの差を求めれば良い

【参考問題】

応用情報技術者過去問道場(午後)

⑧スケジュール

◆アローダイアグラム

クリティカルパスのやつ

クリティカルパス

目標の到達地点まで、最も日数が長くかかるルート

最早結合点時刻

クリティカルパスの日数のこと

【例題】

1

Eが終わるまでのクリティカルパスは、A→B→D→F

なので17日かかるが、ここまでにはEを終わらせたいので、17-4で13日

◆プレシデンスダイアグラム

開始終了のやつ
※「リード」「ラグ」の考え方が試験に出る！

⑨リスク

ここに書いてある

⑩品質

旧QC7つ道具

✅パレート図

棒グラフと折れ線グラフから構成される
(例)
棒グラフ→累積比率
折れ線グラフ→点数

☑️散布図

✅特性要因図（フィッシュボーンチャート）

原因と結果を、魚の骨のような形状で表現

✅管理図

中心線→平均値
上方管理限界線→上限
下方管理限界線→下限

これらの範囲を越えたら欠陥とみなす

※欠陥が少ない＝良い　とは限らない
欠陥が少なすぎるのは、テストのやり方が間違ってる可能性も

☑️層別
データを属性ごとに分類

☑️ヒストグラム

☑️チェックシート
To Doリストのこと

新QC7つ道具

・親和図法(KJ法)
データの中で類似点を見つけてグループ化することで、複雑な調査やアイデアを処理しやすくなる

・連関図法

・系統図法

・PDPC法

・マトリックス図法

・マトリックスデータ解析法

・アローダイアグラム

CMMI (Capability Maturity Model Integration)

別名、能力成熟度モデル
組織におけるプロセス改善をガイドするモデル

未成熟なプロセスから有効性を持ったプロセスへの
改善経路も記述

組織の状況に合わせて適用内容を
徐々に高度化できるようにもなっている

レベル

プロセス成熟度に対して5つのレベルを設定

レベル1：初期

場当たり的で無秩序な、組織として最も低い状態

レベル2：管理された

プロジェクト管理のための
基本的なプロセスが備わっている状態

レベル3：定義された

組織内に標準化された一貫性のあるプロセスが
定義されている状態

レベル4：定量的に管理された

定量的な品質目標が存在し、
プロセスはデータに基づき予測可能である状態

レベル5：最適化している

継続的な改善プロセスが常に機能している状態

COBIT(Control Objectives for Information and related Technology)

情報システムコントロール協会（ISACA）と
ITガバナンス協会（ITGI）が1992年に
作成を開始した情報技術（IT）管理についての
ベストプラクティス集

ITIL(Information Technology Infrastructure Library)

ITサービスを最も効果的に提供できた成功事例
ISO/IEC 20000という規格で、ITILの考え方がまとめられている。これを日本語に直したのがJIS Q 20000

以下の「サービスサポート」「サービスデリバリ」に大きく分かれる

サービスサポート

ITILのうち、ITサービスの運用に関する作業

・需要管理

鯖落ちを避けて、ピーク時間以外にサービスを提供すること

①サービスデスク

サービスデスクで利用者の声を受けて、一連のプロセスでサービスの運用をサポートする

サービスデスクで受けた問い合わせをインシデントとして記録される

サービスデスクの目的は②インシデント管理

✅ローカルサービスデスク
ユーザーが住む地域ごとに、サービスデスクを提供する形態

☑️中央サービスデスク
☑️バーチャルサービスデスク
☑️フォロー•ザ•サン
↓

エスカレーション

解決できないものを、他部署に引き継ぐこと

✅機能的エスカレーション
専門知識を持つ人にエスカレーションすること

✅階層別エスカレーション
立場が上の人にエスカレーションすること

②インシデント管理(インシデント＝正常に業務をできない状況)

トラブルや障害の原因を探ること

既知のエラー(原因が既に特定されていたり、回避策が既にあるが、解決されていない問題)かどうかを確認する

③問題管理

インシデントの再発を防止すること

・回避策

未知の解決しづらいインシデントが起こった時、悪影響を軽減・排除するための応急処置

※回避策で解決されたものは、既知のエラーと見なされる

◯痛みの値分析

インシデントが事業に与える影響の範囲を分析すること

④構成管理

システムで使う機器、ソフトウェアなどを管理しておくこと

✅CI(構成品目)
管理対象となる品目のこと
大規模なCIは管理が大変なので、CMDBというデータベースで管理する必要がある
↓
CMDBを参照すれば、システムが修正されているかどうか等を、全従業員が把握できる

⑤変更管理

「変更したい」という要求のRFC(リクエスト　フォー　チェンジ)を受ける
↓
変更の検討、実施

⑥展開管理(リリース管理)

事前に展開の手順を作成
↓
⑤の変更管理で変更した内容を、本番環境に正しく反映させる

※途中でトラブルが生じたら、展開を途中で止める
→この場合、展開の処理は全て切り戻し(つまり、キャンセル)しなければならない

サービスデリバリ

ITILのうち、長期的な視点でITサービスの計画と改善を図るもの

サービスレベル管理

SLA(サービスレベル合意書)を、提供者と利用者との間で締結し、ユーザーに対するサービスの品質を維持改善する

①キャパシティ管理

サーバー、ネットワークの負荷（キャパシティ）を管理すること
実際に変更を検討したり、対応したりはしない。
それは、サービスサポートの⑤変更管理が行う

②サービス可用性管理

システムの、通常時の稼働率を維持するための管理のこと

可用性
＝予め合意された時間に要求された機能を実行するサービス、サービスコンポーネントの能力

③サービス継続性管理

災害時にも、サービスを使えるように管理すること
マニュアルを作成・支社でも本社機能を代行できるようにする等

✅BCP(Business Continuity Planning)
事業継続計画のこと

✅RTO(Recovery Time Objective)
復旧にかける時間の目標値

✅RLO(Right-to-Left Override)
復旧前の何%まで戻すか
RLOを70%→復旧前の70%のレベルに

✅RPO(Recruitment Process Outsourcing)
どの時のデータを戻すか
RPOを24時間→24時間前のデータを

④サービス財務管理

予算を確保するために管理すること
（例）毎月の課金額を増やす

ファシリティマネジメント

サージ防護

落雷などの家電圧の被害から、システムを守る

UPS(uninterruptible power supply)

別名:無停電電源装置
停電の時に、安全にシャットダウンできるよう、
コンピューターに一時的に電力を供給する装置

電力会社からの電源と共に、UPSがあることで
冗長構成になる！

直流給電

👍　直流と交流の変換回数が少なくなる
→変換時の電力消費抑えられる

❌　圧力を変えるのに手間かかる

交流給電

👍　変圧が簡単

❌　直流、交流の変換時に電力かかる

システム監査

📌監査人が点検する対象

・マネジメント

自発的にサポートすること

・コントロール

セキュリティが担保されているかどうか

・ガバナンス

ステークホルダーのニーズを満たすような、組織能力

📌監査項目の種類

・信頼性

障害発生の頻度、影響範囲、回復の度合い

(例)CPUの性能指標、単体テストの結果報告

・安全性

不正アクセス、ウイルス等から保護されている度合い

(例)アクセスログ

・効率性

システムの資源の活用した効果、費用対効果

(例)ソフトウェア導入の費用対効果

📌監査人に求められる要素

✅外観上の独立性

監査対象と、身分上密接な利害関係があってはならない

(例)総務部に所属する監査人Aさんが、チームメンバーと一緒に入退室管理の状況を監査するのはアウト！

✅精神上の独立性

☑️専門能力

☑️職業倫理と誠実性

※監査基準

システム監査業務の品質を確保し、有効かつ効率的な監査を実現するためのシステム監査人の行為規範

📌監査の手順

①監査計画の立案

効率的な監査となるように、事前に計画を立てる

②予備調査

・監査対象の詳細(システム、業務)
・事務手続き、マニュアル等を通じた業務内容
・内部統制の体制

これらに関する情報を、本調査の前に入手する

③本調査

・予備調査で作成した監査手続書に伴い、監査手続をする

・推測ではなく、監査証拠に基づいて行う
システムに何か発生したら、遡って検証できるようにしておく

・結果と、それを裏付ける資料を監査調書としてまとめる
(例)
実施内容が客観的である
裏付けが合理的である

〇監査証跡

データの発生～処理結果を追跡できる記録

(例)出力情報のエラー状況に関する記録

○可監査性

本調査の際に、効果的に監査できるようにシステムが設計・運用されていること。

④評価・結論

監査調書に基づき、コントロールができているか評価する。
↓
評価した結果を、監査報告書としてまとめる
文書内では、指摘事項や改善報告などの監査意見を記す

監査意見には2種類ある。

✅保証意見
適切にコントロールできていることを保証する意見

✅助言意見
欠陥を指摘して、改善点を明らかにする意見

↓
なお、監査意見には根拠となる監査証拠を添える必要がある

⑤フォロー

改善できるように、手助けを行う

【超重要】監査人はアドバイス・要求はできるが、命令はできない

監査人は業務を命令はできないが、改善指導(フォローアップ)はできる

📌監査サンプリング

母集団の中で、100%未満の項目に監査手続きを適用すること

・許容逸脱率

受け入れられる、所定の内部統制からの逸脱した割合

・サンプリングリスク

母集団と抽出したサンプルで、同じ監査手続きを実施したのに結果が異なるリスク

📌監査の手法

システム監査には、ウォークスルー以外にもいくつかの手法があります。これらの手法は、システムや業務プロセスの適正性、効率性、セキュリティを確認するために使われます。以下に代表的なシステム監査の手法を紹介します。

1. 監査プログラムによるテスト

• 概要: 監査人が監査用に作成したプログラムや、専用ツールを使用して、システムのデータ処理や機能が期待通りに動作しているかをテストする方法。

• 特徴: データ処理の正確性やセキュリティ対策の有効性を検証するために、シミュレーションやテストデータを用いることが多い。

• 例: 例えば、会計システムで不正なデータ入力が適切に拒否されるか、またはアクセス制御が適切に機能しているかを確認する。

2. スキャニング（Scanning）

• 概要: システムのログやデータを分析するために、自動ツールを使用して異常や不正な活動を検出する手法。

• 特徴: 特にネットワークやシステムの脆弱性スキャンに使われることが多く、システムの脆弱性やリスクを洗い出すことが目的。

• 例: ネットワークのスキャンを行い、開いている不要なポートや、既知の脆弱性がある部分を検出する。

3. コンプライアンスレビュー

• 概要: 法律や規制、内部ルール、業界基準に準拠しているかどうかを確認するための手法。

• 特徴: 監査対象のシステムが、例えば個人情報保護法や業界特有のセキュリティ基準に適合しているかをレビューする。コンプライアンス違反がないかを確認することが重要。

• 例: 情報セキュリティ管理規格ISO/IEC 27001に基づいた運用が行われているかを確認する。

4. 実データテスト（Test Data）

• 概要: 監査人が作成したテストデータを実際のシステムに投入し、データ処理が期待通りに行われているか確認する手法。

• 特徴: テストデータを使ってシステムの処理が正確に行われるかを検証し、不正やエラーがないかをチェックする。

• 例: 会計システムにテスト用のデータを入力して、適切に計算が行われているか、異常なデータが拒否されているかを確認。

5. インタビュー（Interview）

• 概要: システム運用者や業務担当者に対してヒアリングを行い、システムやプロセスの実態を把握する手法。

• 特徴: 文書化された手順と実際の運用が一致しているか確認するため、関係者から情報を収集する。

• 例: システム管理者に対して、アクセス権限の管理方法やバックアップの実施状況について確認する。

6. ドキュメントレビュー

• 概要: システムに関連する文書やレポートを確認し、規定通りにシステムが運用されているかを確認する手法。

• 特徴: 設計書、操作マニュアル、運用規程、ログファイルなどの書面を監査人が確認し、適切な運用が行われているかをチェックする。

• 例: セキュリティポリシーに従って運用が行われているか、アクセスログが適切に記録されているかを確認する。

7. 統計的サンプリング

• 概要: 全体のデータの中から一部を無作為に抽出し、そのサンプルを精査することで、全体の傾向を把握する手法。

• 特徴: データの全体量が多すぎて全件確認できない場合に、代表的なサンプルを用いて検証を行う。サンプルの選び方が重要。

• 例: 取引データの一部を抽出し、不正やエラーがないかを確認し、その結果から全体の信頼性を評価する。

8. パラレルシミュレーション

• 概要: 監査対象のシステムとは別に、同じ入力データを使用して監査人がシミュレーションを行い、結果を比較する手法。

• 特徴: 本番システムでのデータ処理と、監査人のシステムでの処理結果が一致するかを確認することで、正確性や信頼性をチェックする。

• 例: 給与計算システムの処理結果を、監査側で別途プログラムを使ってシミュレーションし、結果が一致するか確認する。

9.ウォークスルー　(ソフトウェア開発の方とは違う)

データの生成から入力，処理，出力，活用までのプロセス、及び組み込まれているコントロールを、システム監査人が、書面上で、又は実際に追跡する

内部統制

業務を必ず複数人・複数部門でチェックすること

【4つの目的】

・業務の有効性及び効率性

事業活動の目的の達成のため、業務の有効性及び効率性を高めること

・財務報告の信頼性

財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること

・事業活動に関わる法令等の遵守

事業活動に関わる法令その他の規範の遵守を促進すること

・資産の保全

資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること

【目的を達成するための6要素】

・統制環境

組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎・基盤のこと

・リスクの評価と対応

組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセス

・統制活動

経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続きのこと

・情報と伝達

必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること

・モニタリング

内部統制が有効に機能していることを継続的に評価するプロセス

・ITへの対応

組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応すること