前回の学習内容はこちら。
ストラテジ系に比べると、マネジメント系は楽かも知れません。結構楽しいです。
それでは今日も、いってみよー!
ITパスポート学習記録~システム企画~要件定義プロセス編その②~
リスクマネジメント
| リスクマネジメント | リスクマネジメントとは、プロジェクトに発生する予期せぬ問題や困難(リスク)の影響を最小限に抑える活動である。 プロジェクトでは、技術的な課題、要件や仕様変更、予算オーバー、作業遅延など、プロジェクトの成果物に直接影響するリスクに対応する準備が必要となる。 リスクマネジメントでは、「悲観的に準備して、楽観的に対処する」という重要な考え方がある。 |
| リスクアセスメント | リスクアセスメント(risk assessment:リスク査定)とは、リスクを特定し、潜在的な影響と発生確率を評価する。 リスク特定・リスク分析・リスク評価の3つの観点で進めていく。 |
| リスク特定 | リスクアセスメントのひとつで、リスクによって、どんな事象が起きるかを把握する。 例1)新型システムの導入で業務フローが大きく変わり、一時的に業務遅延が生じるかも知れない。 例2)新型システムにスタッフが慣れないことで、作業ミスが増えるかも知れない。 例3)新型システムが想定通りの性能(効果)を発揮しないかも知れない。 |
| リスク分析 | リスクアセスメントのひとつで、リスクの性質を理解し、起きたときの規模を想定する。 例1)業務遅延が生じた際、影響は大きいが発生確率は中程度。 例2)作業ミスが増えた際、その影響は中程度で発生確率も中程度。 例3)システムが想定を下回る性能だった際、その影響は非常に大きい。 |
| リスク評価 | リスクアセスメントのひとつで、リスク分析の結果から、損害発生時の対応基準や優先順位を定める。 例1)導入初期の業務遅延は、運用開始1ヶ月以内と見積り、それ以降も遅延が見られる場合は詳細な原因調査を行う。 例2)導入開始前から、スタッフへの新型システムの運用勉強会を開催する。 例3)事業の運営に大きな影響を及ぼす可能性がある場合、従来利用していたシステムに切り戻して対応できるように準備する。 |
| リスク対応策 | リスク対応策では、リスクアセスメントで明確にしたリスクに対してどのように対応するのかを決定する。リスク対応策は4項目あり、影響度の大小・発生確率の大小で方針を決定する。方針には、リスク回避・リスク低減・リスク移転・リスク受容がある。 |
| リスク回避 | 影響度が大きく、発生確率も大きい場合の方針。リスクが発生する原因を排除する。 例)最先端のAIシステムの導入により業務改善を検討したが、AIの精度に左右され、業務内容によってうまく機能しないリスクがあったため、導入を見送った。回避により、問題が起きないように安全を優先できるが、本来得たかったリターンも得られなくなる。 |
| リスク低減 | 影響度が小さく、発生確率が大きい場合の方針。リスク対策を講じることにより、脅威発生の可能性を下げる。 例)あるシステムで、個人情報の漏えいリスクが特定されたため、データを暗号化する対応でリスクを低減した。万が一、データが漏えいしても、暗号化されていれば、本質的な情報を守ることができる。 |
| リスク移転 | 影響度が大きく、発生確率が小さい場合の方針。リスクを他者に移転する。 例)リスク移転の代表例は、損害保険。もしも、火災でオフィスがなくなるリスクがあるならば、毎月一定金額の保険料を負担して、将来のリスクに備える。事業運営のリカバリーを金銭で解決するため、損害に対して保険金を受け取り、リスクを移転する。 |
| リスク受容 | 影響度が小さく、発生確率が小さい場合の方針。リスクのもつ影響が小さいため、対策せずに許容範囲として受容する。 例)企業が管理するWebサイトの1つが、古くから存在していて、一定の脆弱性があった。サイトの更新作業にはコストも時間もかかり、現在はアクセス件数も非常にわずかであることから、サイト更新は見送る判断をした。 |
システム監査とは
| システム監査 | システムの設計・開発・運用が、組織にとって適切に機能するかを評価する。セキュリティ、データ保護、システムのパフォーマンス、法令遵守などを検証する。 |
| 監査人 | 監査人とは、企業活動に法律やセキュリティの観点で問題がないかを監視・審査する業務を行う人のこと。監査人にとっても正しさを証明することは不可能なため、正しさの「お墨付きを与える」のみにとどまる。 |
| ITガバナンス | ITガバナンス(IT Governance:ITの統制)とは、企業が組織の価値を高めるために情報システム戦略の策定と実現に必要な組織能力のことである。 |
| レピュテーションリスク | レピュテーション(Reputation:評価・評判)リスクとは、企業組織の評判が悪化することで生じる潜在的な経営リスクのことを指す。 例)システム障害が起き、システムが使えない期間はユーザー(顧客)に迷惑をかけることになり、障害発生にようる企業の評価・評判も下がる事態に陥る。これにより、新規受注が激減し、業績が悪化するというリスク。 |
| システム監査基準 | システム監査基準とは、システム監査の品質を確保し、有効な監査を行うためのシステム監査人の行為規範を指す。 外観上の独立制、精神上の独立制、職業倫理と誠実性の3つの観点がある。 |
| 外観上の独立性 | システム監査基準のひとつで、第三者から見ても監査対象企業や関係者との間に利害関係がないことが求められる。 NG例)監査人が、監査対象企業の株を大量に保持する。この場合、監査人の独立性に疑問が持たれる可能性がある。 |
| 精神上の独立性 | システム監査基準のひとつで、システム監査を行う際に、偏った判断をせず、常に公正かつ客観的に監査判断を行わなければならない。 NG例)監査対象企業の社長が過去に女性スキャンダルを起こしたため、通常より厳しい監査報告書を作成した。 |
| 職業倫理と誠実性 | システム監査基準のひとつで、高い職業倫理を持ち、誠実に業務を行う。次のような点が求められる。 ・真実を歪めることなく、公正かつ正確に監査業務を行う。 ・不正や違法行為を見逃さない。 NG例)監査人は、ソフトウェアベンダーから「不正使用が見つかった場合の報奨金」の提案を受けた。監査人は、報奨金を受け取るために、監査企業で不正があったと虚偽の報告をし、企業に高額な罰金を支払わせる結果をもたらした。 |
| 監査業務 | 監査業務は、業務やプロジェクトとは直接の関係のない第三者の専門家が行う。企業組織の担当者(内部監査)と、外部の担当者(外部監査)の2種類に分類される。 |
| 内部監査 | 監査業務の一部。企業組織の社内の独立した部署で行われる監査。企業組織を熟知した担当者が、業務効率・リスク評価・内部統制の確認・コンプライアンス遵守などの焦点を当てて監査する。 |
| 外部監査 | 監査業務の一部。外部の専門家によって行われる監査。企業組織から業務を依頼され監査する。法律を守っているか、社会から見て問題ないかを評価し、結果をステークホルダに向けて公開する。 |
| 内部統制 | 内部統制とは、企業組織が自身で設定した適正に業務を行うためのルール・仕組みのこと。業務効率・法令遵守・資産の保全など、企業を動かす基準となる。内部統制は4つの目的と6つの基本要素にまとめられる。 |
| 業務の有効性及び効率性 | 内部統制の4つの目的のうちのひとつで、業務にあたり、時間・ヒト・モノの効率を考え、コストを軽減する。 |
| 財務報告の信頼性 | 内部統制の4つの目的のうちのひとつで、多数のステークホルダに、企業の財務状況を正しく報告する。 |
| 事業活動に関わる法令等の遵守 | 内部統制の4つの目的のうちのひとつで、会社や社会に損害を与えないため、法令遵守・コンプライアンスに適応した行動をする。 |
| 資産の保全 | 内部統制の4つの目的のうちのひとつで、会社の資産の入手・管理は、適正に行う。 |
| 統制環境 | 内部統制の6つの基本要素のうちのひとつで、「組織内のすべての者の統制」を意味する。経営者や従業員の中にルールを守る意思がない者がいれば、優れた仕組みの効果が損なわれる。 例)売上へのプレッシャーを従業員に与えると、内部で不正・虚偽の報告が起こりやすくなる。 |
| リスクの評価と対応 | 内部統制の6つの基本要素のうちのひとつで、企業組織の目標達成に影響を与える事象(リスク)について、要因を識別し、分析・評価する。 例)世の中でSDGsの活動が盛んになり、競合劣位を避けるために、自社でも取り組みをアピールすることで顧客の信頼を厚くする。 |
| 統制活動 | 内部統制の6つの基本要素のうちのひとつで、経営者の命令・指示が適切に実行されるよう、仕組みをつくる。 例)従業員の横領を防止する仕組みとして、パソコンを持ち出す際は、総務に申請し、許可された期間内だけ利用できる仕組みを用意する。 |
| 情報と伝達 | 内部統制の6つの基本要素のうちのひとつで、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられる環境を用意する。 例)経営者の考え方が、すべての従業員に正しく伝達されるようにする。 |
| モニタリング | 内部統制の6つの基本要素のうちのひとつで、内部統制が常に機能しているか、定期的にチェックする。 例)上司・部下間で業務報告が適切にされているかを正しく評価する。 |
| ITへの対応 | 内部統制の6つの基本要素のうちのひとつで、IT化されている業務・作業であっても、システムに不備があれば不適切な処理をされる恐れがある。これを避けるため、IT化した業務にも内部統制を適用する。 例)経理部が新しく導入する会計ソフトについて、効率的かつ有効に活用可能か社内で検証を行ってから実運用する。 |
要件定義プロセス
| 要件定義プロセス | 要件定義プロセスとは、業務要件を明確にし、これに沿ってシステム要件(機能要件・非機能要件)を決定するもの。 |
| 業務要件 | 要件定義プロセスのひとつで、業務要件は、システム化の対象となる業務の要件を明確にしたものである。システムで実現すべき要件を洗い出すため、ユーザーが実際に業務で利用するシーン・流れ・情報を整理する。また、システム化する範囲としない範囲も決める。 |
| システム要件 | 要件定義プロセスのひとつで、システム要件は、業務要件を満たすシステムの仕様を細かく記述したものである。機能要件と非機能要件に分けて作業を行う。 |
| 機能要件 | 機能要件(Functional Requirements)とは、システムが具体的に持つ機能を明確にしたものである。ECサイトであれば、アカウント管理や商品管理、購入手続きなどの機能を持ち、そのために必要な画面やデータの流れなどを決める。 |
| 非機能要件 | 非機能要件(Non-Functional Requirements)とは、システムの品質・性能に関わる要件のこと。機能面以外にシステムに求める要件となり、稼働率・効率性・セキュリティなどを決定する。システム利用者には認知されづらい機能以外の要件のため、非機能要件と呼ぶ。 |
| 共通フレーム | 共通フレームとは、手順や業務の標準化を行うためのもの。国際規格ISO/IEC 12207を日本独自に拡張したガイドラインで、効率よくシステム開発を行うための「共通の枠組み」として利用できる。 |
調達業務
| 調達業務 | システム開発での調達業務は、システムの発注元企業が、システム開発が可能なベンダー企業を選定・契約し、外部からシステムを導入するまでの流れを示す。調達業務の発生するタイミングは、システム発注元企業で、ある程度の企画が固まった段階で行われる。 |
| 企画 | 調達業務のひとつで、企画プロセスの内容を固める。 例)ビジネスモデルの設計、業務ニーズの検討、予算の決定 など |
| 市場調査 | 調達業務のひとつで、市場に公開されたベンダーの製品・サービス情報を収集する。候補となるベンダー企業とNDAを締結し、企画情報を共有する。 |
| RFI/RFP | 調達業務のひとつで、システムを企画した企業は、ベンダー企業の候補にRFI/RFPを送付する。ベンダー企業候補は、これに応じた資料提供・プレゼンを行う。 |
| 提案・評価 | 調達業務のひとつで、ベンダー企業候補の提案資料などを評価し、適切なベンダー企業を選定する。 |
| 契約 | 調達業務のひとつで、システムを企画した企業と、ベンダー企業の双方が合意できるよう契約を締結する。双方の権利・義務、役割分担などが決定される。 |
| NDA | NDA(Non-Disclosure Agreement:機密保持契約)とは、事業上の秘密を漏らさないように法的な約束を交わす契約書のことである。Non-Disclosureとは、「非開示」を意味する。企業間で提案を受け渡す際、互いに知り得た情報を外部に漏らさないよう、書面によって締結する。 |
| RFI | RFI(Request for Information:情報提供依頼書)とは、ベンダー企業への仕事の依頼を検討する初期段階で、発注元企業がベンダー企業に提出する文書である。RFIは、発注元企業がベンダー企業の基本情報、技術情報、製品情報などの詳細情報を収集する目的で提出する。 |
| RFP | RFP(Request for Proposal:提案依頼書)とは、発注元企業がベンダー企業に対し、システムの具体的な提案や、予算・スケジュールなどについての提案をしてもらうための文書である。 |
| 契約締結 | 契約を結ぶベンダー企業の決定後に、契約締結を行う。 契約の種類としては、業務委託契約(またはサービス契約)、システム開発契約がある。 業務委託契約: 特定の業務やサービスをベンダーに委託する際に締結される。契約には、業務の内容、報酬、納期、品質基準などが明記される。 システム開発契約: システムの設計、開発、テスト、導入などの一連の業務をベンダーに依頼する際に締結される。開発の範囲、仕様、納期、コスト、品質基準、変更管理手順などが詳細に記載される。 |
Ankiアプリ用データ
以下のサイトより、Ankiアプリで活用できるITパスポートのストラテジ系+システム企画~要件定義プロセスの暗記データがダウンロードできます。
パスワードは半角で、「shirakawa」です。
ぜひ、学習にご活用ください。
firestorageダウンロード
firestorage.com
Ankiアプリの使い方
Ankiアプリの簡単な使い方をご紹介しています。ぜひ、ご一読ください。
合わせて読みたい
参考文献
今回、学習用として参考にさせていただいているのがこちらの教本です。AmazonではPDF版もあるようです。セクションごとにQRコードを読み取って小テストを受けることができ、学習の確認もできて頼りがいのある一冊です。また、YouTubeでの解説動画もありますので、そちらも参考に学習を進めると良いでしょう。
bookfan 1号店 楽天市場店
¥1,650 (2025/04/09 09:25時点 | 楽天市場調べ)
ポチップ
コメント