システム監査のノート

• T社：機械工具などの製造販売会社
• 競争力強化のため、生産管理システムを再構築
• 要件定義のレビューがおわり、基本設計の開始準備中

⇒　基本設計に進む条件を満たしているか妥当性を監査する

• T社　――（保守委託）―→　Ｘ社　なので　開発も委託依頼
• 契約

1. 要件定義・・・ＳＥＳ契約：Ｘ社にて要件定義書作成
2. 基本設計〜・・・請負：各工程でＴ社システム部＋関係部門参加でレビューと検収
3. 必要な資材はＴ社が提供

• その他

1. Ｔ社システム部は人員が少ない⇒システムオーナは製造管理部が担当し、Ｘ社と共同開発。（システム部自体は支援担当）

Ｘ社は自社の様式で要件定義書を作成してしまった。
　　　　　↓
Ｔ社―Ｘ社間で記載内容/レベル感に認識相違あり
　　　　　↓
Ｘ社はこの指摘をうけてＴ社フォーマットで書き直した。

基本設計以降の工程で、リスクが顕在するおそれがある
リスク⇒２社間で用語/ドキュメントの記載内容に齟齬をおこし、設計内容で誤解が生じるリスク

　　　　　↓

使用する用語の意味や定義が一致しているかを確認すべき

• Ｘ社にて現場工場代表者にヒアリング調査、整理を実施
• 機能要件領域⇒製造管理部（システムオーナ）がレビュー⇒要件定義書へ
• システム基盤領域⇒製造管理部では判断不能⇒そのまま横流し

システム基盤に依存する記述のレビューはどのように実施されたのかチェックが必要

契約に関して確認をすべき。

ＳＥＳで要件定義をやっているので、Ｔ社の責任で意思決定や確認をしているか
⇒つまり、発注者であるＴ社の責任で要件定義が作られているか確認が必要。

• 具体的な設計に着手するための要員は準備済み
• システム稼働時期が決まっている

⇒　業務要件が一部決まってないが、予定通り工程開始とする想定

T社としてＸ社へ基本設計着手前に提示すべき前提条件がある。

　　　　↓考えられるリスク

未確定部分が確定した際、すでに着手した基本設計について、手戻りが発生するリスクがある

つまり、

未確定の業務要件が確定することによって、確定済みの要件に影響が出た場合の対応方針の提示

をすべき

・判明している業務要件

• 工場の稼働時間帯に特注品の製造指示書が出力されなくなると、生産停止に陥るので考慮すること

　　　↑
これに対し、可用性の業務要件にはバックアップの頻度のみ記述している。

つまり可用性への対応不足。
⇒可用性は稼働率で定義されるものである

工場の稼働時間帯におけるシステムの稼働率を定義すべき