2012/07/27 2 目次 1. 会社概要 2. 品質監理室 3.ANA IT 部門標準化の取り組み 4. 外部審査 5. 内部監査 6. 外部監査 7. 今後にむけて

Transcription

1 ANA IT 部門品質向上への取り組み チェックポイントレビュー 内部監査 外部監査の取り組みについて 2012 年 7 月 27 日全日空システム企画株式会社品質監理室

2 2012/07/27 2 目次 1. 会社概要 2. 品質監理室 3.ANA IT 部門標準化の取り組み 4. 外部審査 5. 内部監査 6. 外部監査 7. 今後にむけて

3 1. 会社概要 2012/07/27 3 会社概要 会社名 : 全日空システム企画株式会社 (ASP) 設立 :1986 年 8 月資本金 :5250 万円従業員数 :773 名 (2012 年 4 月 1 日現在 ) 本社 : 大田区羽田空港羽田事業所 : 大田区東糀谷売上高 :203 億円 (2011 年 3 月期 ) 株主 : 全日本空輸株式会社事業内容 : コンサルティングシステムインテグレーションサービス受託ソフトウェア開発 ASP( アプリケーションサービスプロバイダ ) 情報システム保守運用サービスソフトウェアプロダクト仕入販売

4 1. 会社概要 2012/07/27 4 組織図

5 2. 品質監理室 2012/07/27 5 品質監理室 ANA グループ IT 部門 ( 業務プロセス改革室 ACC ASP) の品質方針に基づく品質マネジメントシステムの運営およびセキュリティマネジメントシステムの運営を主管し 全社横断的なマネジメントを行うことで 最高経営層を補佐し 各部に対し機能的指示や支援及び助言を行う また 標準化活動の推進計画策定 実施 標準化推進関連部署との整合性確保 調整を行う 品質監理業務 1. 品質方針 目標の策定 管理 評価 2. 品質マネジメントシステムの策定 運用 監査 改善 3. システム標準ガイドライン運用ルール策定 監査 改善 4. 生産性指標及び 品質管理指標の策定 分析 評価 改善 5. 生産性向上 品質向上に関する諸施策立案 推進 分析 評価 ( 品質マネジメントレビュー ) 6. 品質マネジメントシステムに関する教育計画立案及び推進 7. 品質監査計画立案及び推進 8. 品質審査 (CP レビュー /QA レビュー ) の運営 9. 顧客満足に関する調査 分析 施策立案 推進 10. ANA セキュリティポリシーに基づくセキュリティ方針の策定 11. セキュリティ基準の策定 監査 改善 12. セキュリティマネジメントシステムの策定 運用 監査 改善 13. セキュリティインシデントの総括管理 14. セキュリティ維持向上に関する諸施策立案 推進 15. 全社情報共有化に関する諸施策立案 推進 16. 情報セキュリティ委員会の運営 17. IT 全般統制監査対応 ( 窓口 監査準備 実施支援 是正支援 ) 18. 全社品質関連情報の共有化に関する諸施策立案 推進 19. IT ガバナンスプロセスの標準化推進 ( 構築 展開 維持 ) 標準化統括業務 1. 標準化活動の統括 管理 ( 計画策定 推進 管理 評価 ) 2. 開発業務プロセスの標準化推進 ( 構築 展開 遡及 維持 適用支援 ) 3. 開発業務プロセスに関わる教育の実施 4. 標準化啓発に関する諸施策立案 推進 5. 標準化活動の分析 評価 改善

6 3.ANA IT 部門標準化の取り組み 2012/07/27 6 標準化への歩み 経緯 2007 年の大規模システム障害がきっかけ 根本的な問題の分析 と 抜本的な課題解決の検討 を開始 ANA/ASP 一体となっての改革 バックアップシステム / 通信技術面の強化 / 組織面の強化 品質 標準化推進組織の設置 品質強化を目的に 業務アプリケーションの開発標準化 インフラ共通 統合化 統合運用基盤の整備を行う 標準 IT 資産の整備と推進 IT 推進プロセスの整備と推進 IT ガバナンス 品質 標準化監理 内部審査 / 外部審査 ( チェックポイントレビュー )/ 内部監査 / 外部監査 IT アーキテクチャ ( ドキュメント ) の整備 IT アーキテクチャ ( システム ) の整備

7 3.ANA IT 部門標準化の取り組み 2012/07/27 7 審査と監査 標準化の取り組みの中で 審査 と 監査 の定義を整理した 内部審査 プロジェクト内レビュー 外部審査 CP( チェックポイント ) レビュー QA( 見積 ) レビュー 内部監査 ISO9001( 品質マニュアル ) からの継承 開発業務内部監査 運用業務内部監査 外部監査 ISO9001( 品質マニュアル ) からの継承 品質 標準化監理プロセスに対しての外部監査機関による外部監査

8 4. 外部審査 2012/07/27 8 CP( チェックポイント ) レビューとは CP レビューは システム開発における品質審査を目的とし 成果物 プロセス ( チェックリスト ) を審査する セミナー当日ご紹介します CP レビュー実施工程 実施タイミング 対象ドキュメント 確認ポイントなどを説明します

9 4. 外部審査 2012/07/27 9 CP レビュー実施体制 セミナー当日ご紹介します 体制図について説明します

10 4. 外部審査 2012/07/27 10 CP レビュー実施方法 年度計画 経営会議 事務局 レビュー案件候補抽出 事前指摘 議事録結果報告書 対応状況の確認 日程調整 CP レビュー プロジェクト レビュー対象ドキュメント提出 完成版でなくともよい 直してしまう人もいます 対応 -2W -3d -1d 0d +2W

11 4. 外部審査 2012/07/27 11 CP レビュー実施状況 CP レビュー件数 備考 2008Q4 8 CP レビュー開始 2009Q Q Q Q Q Q Q Q Q Q Q Q Q 年 6 月 30 日現在 レビュー対象案件選定基準 1 スケジュール 予算 体制に懸念が想定される案件 2 業務影響範囲が大きい大規模案件 ( 目安として開発規模が 1 億円以上 ) 3 大幅なインフラ構成変更を伴う案件 ベースとなる技術が変更となるシステム再構築案件 4 セキュリティ上の考慮が必要となる案件 5 開発工程に当社 ASP が直接関わらない案件 (ANA 直案件 ) 6 審査事務局が必要と判断した案件 7 プロジェクトからレビュー依頼のあった案件 8ASP 社内案件 (ASP 内部で CP レビュー実施 ) 上記対象から 選定する

12 5. 内部監査 2012/07/27 12 監査対象 外部監査内部監査 外部監査 QMS QMS ASP 品質マニュアル 品質 標準化監理プロセス推進規程 内部監査 上流工程 開発業務 運用業務 上流工程 開発業務 運用業務 ~2009 年までの 外部監査 / 内部監査の範囲 外部監査も内部監査と同様の範囲を監査した 注 ) 当時の QMS( 品質マニュアル ) に上流工程と運用業務が含まれていなかったため 両監査の対象から除外されていた 新 QMS では 上流 運用も対象範囲に含めた 2010 年度から 外部監査と内部監査は監査対象を分けた 内部監査は 開発 / 運用業務の遵守事項を監査する 外部監査は QMS( 品質 標準化監理プロセス ) を監査する

13 5. 内部監査 2012/07/27 13 ISO 9001 経緯 1999 年 ISO9001 取得に合わせ 内部監査開始 内部監査員の教育 訓練 監査員任命 ASP 品質マニュアルに従った内部監査の実施 年 2 回実施 内部監査実施内容 品質記録 ( 成果物 レビュー記録 ) の有無の確認承認印と日付の妥当性確認不適合判断是正指示

14 5. 内部監査 2012/07/27 14 ISO 9001 内部監査の課題 品質記録の確認のみであり そのプロセス ( 開発プロセス等 ) の実施内容の妥当性や成果物の内容まで監査できていなかった 監査直前に ( 監査のために ) 資料作成をおこなっていた ( つじつま合わせを行っていた ) 監査人の人的リソースの問題から 監査対象案件を制限していた 開発終了案件を対象としていたため 不適合があったとしても その対策は事後対策にしかならなかった

15 5. 内部監査 2012/07/27 15 内部監査の基本的な考え方 ISO9001 の良いところの応用 決められることを確実に実施する 確認は ISO9001 の監査そのものである 決まりごとを守る というあたりまえの事の確認を 遵守性監査 と位置づけ チェックシートでの確認とし 監査対象を拡大する 品質を STEPUP させるための工夫 プロセスの実施内容の妥当性を検証する ( なぜそれで良かったのか ) プロジェクト内レビューに有識者は参加していたのか レビューに時間をかけたのか 指摘事項は出ていたのか 成果物の内容を確認する スタンダード適合確認 開発中であっても品質向上を狙う プロセスの有効性を確認するための 有効性監査 と位置づけ CP レビュアーが対面で実施する

16 5. 内部監査 2012/07/27 16 遵守状況を確認する監査 ( 従来の ISO9001 監査を踏襲 ) ~ 品質 標準化監理プロセス推進規程の遵守状況を確認する ~ 各部の 品質管理委員 が自部門の監査を行う 品質管理委員による内部監査 対象プロジェクトは内部監査事務局が選定する ( システム開発 エンハンス業務を持つ全チームを対象とする ) 品質監理室が作成する 内部監査チェックリスト ( 遵守状況確認版 ) を使用して 対面式で実施する 回答者 ( 監査対象プロジェクトの PM) がチェックリストに記入し 文書 / 記録などを準備する 確認者 ( 品質管理委員 ) と回答者が対面形式で チェックリストと文書 / 記録を確認する 監査時に内部監査事務局が立ち会う ( 全件ではなくスケジュールに合わせて選択して立ち会う ) 品質管理委員は監査結果に基づき 改善の要否を検討する 内部監査事務局は 監査結果に従って改善指示を行うまた 内部監査事務局が必要と判断した場合も品質管理委員と協議の上で改善指示を行う

17 5. 内部監査 2012/07/27 17 有効性を確認する監査 ( 形式だけではない監査の施策 ) ~ プロセスの遵守だけでなく 意図した結果を出したかを監査する ~ 内部監査員教育 ( 新設 ) を受講した資格者が他部門の監査を行う 内部監査員による内部監査 2011 年度は品質監理室の CP レビューアーが内部監査員を務める 対象プロジェクトは内部監査事務局が 遵守状況を確認する監査の結果を考慮して選定する 品質監理室が作成する 内部監査チェックリスト ( 有効性確認版 ) を使用して 対面式で実施する 内部監査員は監査結果に基づき 改善の要否を検討する 内部監査事務局は 監査結果に従って改善指示を行う断した場合も内部監査員と協議の上で改善指示を行う また 内部監査事務局が必要と判

18 5. 内部監査 2012/07/27 18 管理責任者 担当役員 / 品質監理室長 内部監査事務局 品質監理室 遵守状況監査 品質管理委員 有効性監査 内部監査員 ASP 各部門 ( システム開発 エンハンス業務を持つ全チーム ) 遵守状況を確認する監査結果から内部監査事務局が選択したチーム

19 5. 内部監査 2012/07/27 19 改善活動 価値機軸の変更 ISO9001の認証を継続するための監査 改善のための監査 不適合を出さない ( 出したくない ) 監査 課題を発見するための監査 ( 改善による品質向上 ) 各部 品監室 遵守状況確認チェックリスト 開発業務内部監査結果に基づく改善計画 各部の改善活動 有効性監査報告書 定期的なモニタリング 有効策の部門間共有など 品質監理室からの報告 各部内での共有 各部で作成する 品質監理室と共有 各部の改善活動を品質監理室でモニタリングし 有効な改善策を 品質管理委員会などを通じて共有する

20 5. 内部監査 2012/07/ 年度内部監査データおよび効果 遵守性監査対象案件 37 案件 (37プロジェクト) 全部署全チーム遵守率平均 77% 100% の案件は12 案件有効性監査対象案件 10 案件 (10プロジェクト) よかった点 ( 有効性が確認できた プロジェクト数 ) 改善したほうがいい点 ( 改善点摘出 アドバイスを行った プロジェクト数 ) プロジェクト管理計画 ( 記述内容 周知 共有 ) 協力会社管理 ( コミュニケーション 管理上の工夫など ) プロジェクト責任者のレビュー参加部門内チーム内共有 ( 改善 ノウハウなど ) プロジェクト管理計画 ( 記述内容 共有 ) 協力会社管理 ( コミュニケーション 管理計画など ) PMの役割について指標 ( テスト レビュー ) レビューチェックシートの改善 顧客との要件確認 承認の証憑 等々 大障害は減少傾向にある

21 6. 外部監査 2012/07/27 21 外部監査 過去 (ISO9001) 開発案件について 品質マニュアルどおりに実施されているかを監査 内部監査と同じ内容監査人が 内部 か 外部 の違いだけ 現在 (2011 年度 ~) 品質マネージメントシステムに関わる妥当性 有効性の確認品質 標準化プロセス推進規程に記述されている 品質活動が機能しているかを 外部監査機関が監査品質監理室 運用統括部の業務が効果的かどうかの監査内部監査とは監査内容が異なる

22 6. 外部監査 2012/07/27 22 外部監査対象プロセス セミナー当日ご紹介します 外部監査対象について説明します

23 2012/07/ 外部監査 監査概要 品質マネージメントシステムに関わる妥当性 有効性の確認品質標準化監理プロセス推進規程に定められた遵守項目の有効性確認 (ISO の文書審査に相当 ) システム開発 エンハンス業務における遵守規程の監査を行う内部監査 ( 遵守状況監査 / 有効性監査 ) 自体に関わる妥当性 有効性の確認内部監査そのものが有効であるかどうかを監査する 外部監査結果からのフィードバック ( 例 ) 項目外部監査員の発見事項要旨外部監査員の想定するリスク ASP の対応方針 2-1 開発業務内部監査実施結果報告書 では 監査結果 を 1. 良かったところ と 2. 改善したほうがよいところ に分け 概要被監査部門の活動についてできている点も明記する仕組みとなっている しかし 改善したほうがよいところ の記載では WBS の作成レベルが細かすぎる という現状に対して WBS の見直しを検討する といった指摘となっており 被監査部門が実施すべき改善策が明確に示されていません 改善策の記載が抽象的である場合 被監査部門が対応すべき改善が実行されない または不足する恐れがある 優先度 : 中 外部監査結果を元に 次年度の活動計画として取り込む 各部が作成する内部監査改善計画については 品質監理室の監査員がフォローを行い改善策を確認した また各部が行う改善計画の実施においては 品質監理室がモニタリングを行い活動状況を確認する また 次年度の内部監査を行う際には 監査結果をより具体的に指摘するよう内部監査実施要領書 ( または内部監査計画書 ) を 2012 年度上期に改訂する

24 6. 今後にむけて 2012/07/27 24 外部審査 内部監査 外部監査の改善について 計画品質は向上しているようだが やはり 開発途中で 品質の低下 コスト増 スケジュール遅延 がなくなったわけではない どうやら 計画を推進する場面に問題がありそうだ 開発プロセス監査 ( 仮 ) プロジェクト推進に関して審査を行い 改善策を打つ 予兆を発見し 問題を回避する 計画中です

25 ご清聴ありがとうございました 2012/07/27 25