ソフト開発監査の事前準備(3)チェックリストの事前記入 

2021年1月20日ソフト開発監査

ソフト開発監査で使う監査チェックリストは事前に準備します

ソフト開発監査の本番は、監査チェックリストのチェック項目毎に具体的な作業の手順やその作業の結果を確認していく作業です。ですので、監査チェックリストが重要な役割を果たします。

この監査チェックリストは、監査に先立ってまず相手の会社に送っておき、回答欄に記入をして返送してもらいます。監査対象の会社が記入した回答欄の内容を見て、問題のありそうなチェック項目をピックアップしておき監査当日に詳しく話を聞くというのが監査の作業の手順です。

監査チェックリストの項目を監査の目的に合わせて取捨選択

グータラ親父がソフト開発監査の時に使っていた監査チェックリストは、実務・チェックリスト(開発プロセス)の記事で詳しく紹介しますので、興味のある方はそちらをご覧下さい。この記事では、監査の事前準備として監査チェックリストについてどのような作業を行うのかを紹介します。

監査チェックリストは、監査に先立って相手の会社に送ると先ほど紹介したのですが、その前にやっておく事があります。それは、今回の監査の目的に沿って、監査で重点的に確認する領域を決めて、それに合わせて監査チェックリストの項目を取捨選択する作業です。要するに、元の監査チェックリストは項目数が多いので、決められた時間内に監査ができる程度の件数まで間引きして件数を減らすという作業です。

監査チェックリストは、監査の目的に従って①開発プロセス ②要求仕様 ③テスト ④ソフトウエア技術  の4種類に分けてあります。各々の項目数を合算すると130項目程度になるので、この全てを1回の監査で確認するのは時間が足りません。ですので、グータラ親父は2段階に分けてチェック項目の取捨選択というか絞り込み(要するに間引きなのですが)をやっていました。

チェック項目間引きの第一段階で半分にし第二段階でさらに半分に絞り込む

まずは、相手の会社に監査チェクリストを送る前に、監査の目的 に従って大まかに半分程度に絞り込みます。次に、相手先の会社が記入してきた回答欄の内容を見ながら、監査当日に確認する項目としてさらに半分程度に絞り込みました

相手の会社に送る前の絞り込みは最初の頃はやっていなくて、全ての監査チェックリストの項目を相手の会社に送って回答欄を記入して貰っていました。しかし、監査チェックリストの項目数が80件を超えたあたりから、ちょっと困った事が起き始めました。チェックリストの最初の方の項目は、わりとしっかりと回答が書いてあるのですが、後ろの方になると素っ気ないというか簡単なというか、わりと手抜きというかな回答が並ぶようになりました。 

まあ、回答欄を書くほうにしてみれば、あまりに項目数が多いと途中で書くのが嫌になるのは理解できます。グータラ親父がこのチェックリストの回答欄を書く立場だとすれば、途中で気力が尽きるだろうなと思います。そんな事が続いたので、相手の会社に回答を書いてもらう項目数は多くても50項目程度に収まるように、絞り込む事にしました。

まあ、そんな事情からまずは監査チェックリストの項目を半分程度にまで絞り込んでから、その監査チェックリストを相手の会社に送り、回答欄を記入してもらっていました。

監査チェックリストの事前記入を相手先に依頼

監査の目的の沿って50項目程度に絞り込んだ監査チェックリストは、監査の2週間前を目処に相手の会社の送って回答を記入して貰います。そして、回答を記入してもらった監査チェックリストは、監査の1週間前までに返送してもらいます。

監査チェックリストは余り早くは送らない方が良いです、グータラ親父の経験からは監査の2週間程前が一番良かったです。記入の時間に余裕を持たせるためにもっと早く送っていた事もあったのですが、回答を書いてくれた相手の会社の人が監査の当日になって、自分の書いた回答の内容を思い出すのに手間取ってしまい、監査に時間が掛かるという場面によく出くわしました。そんな事もあるので、監査の2週間前あたりが、一番良いタイミングだと思います。

また、記入にあったっては回答の内容を確認できる具体的な資料(監査の世界では確証という言葉を使います)を添付するようにお願いします。 資料の中には社外に提供する事ができない物もあるでしょうから、その場合には監査当日に相手先の事務所でその資料を見せてもらいますので、なんという名前の資料かを書いておくようにお願いします。

監査チェッリスト項目から監査当日に確認する項目をされに選定

回答を記入してもらった監査チェックリストは監査の1週間前を目処に返してもらいます。返してもらった監査チェックリストは、回答欄の内容とその確証を見て監査当日に確認する項目を選定します。この段階で確認項目をさらに半分程度に絞り込んで最終的に 20項目~25項目程度に絞り込みます。

これも経験則なのですが、監査当日には確認項目1件について平均で15分程度の時間がかかります。20項目で5時間ですので、1日で監査を終えるにはこの程度の件数まで絞り込む必要があります。

個々の項目の回答欄を読むと、項目毎に相手の会社の得意な点や不得意な点が見えてきます。大まかに言って詳しく具体的に書いてある箇所は得意な点で、書き方が素っ気ない箇所は不得意な点です。ソフト開発監査は、ソフト開発の品質に影響を与える「監査相手の会社の開発プロセスや開発技術の問題点」を見つけて、評価したり改善を依頼したりする事が主要な目的です。なので、相手の会社の不得意な点に注意して監査当日に確認をする事になります。 

このような観点で、監査当日に確認する項目を20項目~25項目に絞り込んで監査の前準備は終了です。

最後に監査当日に準備してもらう監査環境についての要請

監査計画書には、最後に監査の当日に相手の会社に準備しておいて貰う内容が書いてあります。大きくは、ソフト開発の実体を確認するための各種の資料の確認作業や監査を進めるための作業環境です。

ソフト開発監査では、開発部門の開発の実務を見せてもらいながら確認を進めて行きます。具体的には、詳細な作業規程やワークシート、実際の設計書やレビューの記録、バグ管理システムやソフトリリースの承認書など、通常は社外に持ち出せない資料を見せてもらう事になります。ですので、その様な資料を参照できる環境を準備しておいて貰います。

また、監査を進めるには、監査チェクシートをプロジェクタで写して、今どの項目の確認を行っているのかについて参加者の意識を合わせる事も行います。監査の中で相手の管理職の人やエンジニアの人と少し突っ込んだ議論をする時には、ホワイトボードがあると助かります。これらの作業環境についても、事前に用意して貰いたい物については、監査計画書で事前に伝えておきます。

準備が終わったらいよいよ監査本番です

ここまでで、ソフト開発監査の当日までに準備しておく事前準備について、監査計画書の内容を使って紹介してきましたが、少しはソフト開発監査の実体が見えてきましたでしょうか? それでは次の記事からは、監査当日の進め方とそのポイントについて紹介します。