第120号：CMMIの最近のニュース, システム監査技術者試験からアプレイザルの考え方を学ぶ

CMMI関連の最近のニュースを２つほどご紹介します。

‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
・年間アプレイザル数のレコードを更新
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
2月24日のCMMI Instituteのプレスリリースによると、2013年は過去最大の1600件を超えるアプレイザルが実施された年になったとのことです。
これは、1年間で実施されたアプレイザル数が最も多かった2012年の記録を11%も上回るとのこと。
1600件のうちの40%近くは中国でのアプレイザルだそうです。
　
プレスリリースの中で、CMMI InstituteのCEOのKirk Botula氏は、「国がグローバル市場での競争力を高め、国際的な信頼性を確立することをCMMIアプレイザルが支援している。
国境を超えて顧客と成長し続けることについて興奮している」と、コメントしています。
　
プレスリリースの全文を読みたい方はこちらからどうぞ。
http://cmmiinstitute.com/pressrelease20140224/
　
世界でのCMMIの利用者が増えていくのは、ソフトウェア開発における共通言語としての利用価値が高まっていくので良いことだと思います。
　
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
・「次世代のCMMI」の開発が始まる
‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥
Pat O'Tooleさんのメールによると、CMMI Instituteが「次世代」のCMMIの開発プロジェクトを開始することをアナウンスしたとのこと。
　
この「次世代」プロジェクトのスポンサー組織による最初の戦略的計画セッションが、3月14日にピッツバーグにて行われたようです。
　
このプロジェクトにより、モデル、手法、トレーニング、資格証明、技術インフラ等を見直す戦略的インプットを作り出していくとのこと。
　
新バージョンのCMMIが出るのはしばらく先になりそうですが、新しい情報が入り次第、またメルマガ等でお伝えしてきます。

もうすぐ春季の情報処理試験が行われますが、読者の皆さんは情報処理試験は受験されますか？

え？　SEPGになって開発現場を離れたから、もうデータベースやネットワークの知識はそれほど必要でないので受験していない？

まあ、それも一理あると思いますが、試験区分によっては、プロセス改善推進者にも結構役立つものもあります。
その１つがシステム監査技術者試験です。

プロセス改善の活動の１つに、プロセス評定、いわゆるアプレイザルがありますが、システム監査技術者試験の教科書やシステム監査基準を読んでみると、システム監査とCMMIのアプレイザルは考え方が似たところがあるのに気がつきます。

システム監査の勉強をすることで、アプレイザルの考え方を学ぶことにも役立つのではないかと思いましたので、ご紹介したいと思います。

以下、システム監査とCMMIアプレイザルが似ている点をいくつか挙げてみます。

システム監査基準によると、システム監査の目的は、「組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与すること」となっています。
　
CMMIのアプレイザルは、組織の事業目標達成に寄与するために、アプレイザルチームが組織のプロセスを評価し、プロセスの強みや弱みを識別する活動です。
　
評価する対象が、組織の情報システムのコントロールなのか、組織のプロセスなのかの違いはあれど、どちらも対象のプロセスが適切なのかを客観性を持って評価し、改善点を見出してあるべき方向へと導くという点は共通です。

システム監査は、対象組織から独立した監査人が客観的な立場で実施する必要があります。
客観性は以下の２つの独立性を確保することで満たされます。
　
　　外観上の独立性：非監査主体の組織から身分上独立した立場にある
　　
　　精神上の独立性：監査意見が特定の人や組織の意向に左右されないように、偏向を排し、常に公正かつ客観的に判断する
　
CMMIの評定においても、アプレイザには客観性が求められます。
リードアプレイザを組織外から招聘したとしても、CMMIの評定はチームを組んで実施しますので、組織内のメンバから選ばれたアプレイザがチームメンバとして参加することが多いです。
アプレイザは外観上の独立性を確保することはもとより、精神上の独立性も忘れずに心にとめておきたいところです。

システム監査は、目的に応じて以下の監査タイプを選択または比重を変えて実施します。
　
　　保証型：対象の情報システムのコントロールが適切であることを保証、または不適切である旨を監査意見として提示する
　　
　　助言型：対象の情報システムのコントール上の問題点を特定して、改善提言を監査意見として提示する
　
組織のコントロールレベルが低いうちは助言型、高いレベルになったら保証型の比重を高めて実施します。
　
CMMIの評定では、明確に保証型、助言型といったタイプ分けはありませんが、正式アプレイザル手法(SCAMPI)では、改善の初期段階ではClass Cにてアプローチを評価し、中間段階でClass Bにて展開状況を評価、成熟度してきたらClass Aにてプロセスが根付いているかを評価します。徐々に助言型から保証型の度合いを高めていくのと考え方は似ています。

「CMMIのアプレイザルは何のためにやるのか。組織のトップをどう説得して良いか分からない」「アプレイザに求められる良い振る舞いとは何か。どのような心構えで望めばよいか分からない」と常々思っている方は、一度システム監査のことを調べてみると、あなたの求める答えのヒントが見つかるかもしれませんよ。