Tweet

日本版SOX法でプログラム開発に求められるもの

中島 浩光

2007/1/24

前のページ｜1　2　3｜第9回

日本版SOX法対策はISO 9000と同じ？

　ここまで、プログラム開発について説明してきましたが、過去に似たような経験をされた方もいらっしゃると思います。

　実は筆者も経験しているのですが、日本版SOX法対応におけるプログラム開発におけるポイントは、品質管理の国際認証である「ISO 9000シリーズ」をシステム開発業務を対象として適用した場合と非常によく似ています。実際、日本版SOX法においてもISO 9000シリーズにおいても、監査・評価の対象となる業務は同じなのです。

　また、「財務報告の正確性・信頼性」を保証するためには業務システムの開発の品質が高くなければならない、と考えれば、日本版SOX法とISO 9000シリーズの目的もかなり近いものと見なせることになります。つまり、ISO 9000は「品質管理・品質の向上」を目的とした内部統制活動の枠組であるといえます。

Document! Document! Document!

　さて、ここまでプログラム開発に求められるポイントや、ISO 9000との関連などを説明してきました。

　これらのポイントを押さえたうえでプロジェクト管理をきちんと行い、実際の「運用」、つまりプログラム開発を行う必要があります。しかし、評価・監査に対応するために必要なのは、各種のタスクの監査ログともいえる成果物です。そのため、プログラム開発においては、何よりも「成果物の文書化」が重要になります。また、監査への対応だけでなく開発プロジェクトの実行においても、文書化が果たす役割は非常に大きいのです。

　「Document! Document! Document!」を日本語にすると、「文書化！文書化！文書化！」といった感じですが、これは筆者がさまざまなトレーニングで教えられ、時には教える立場として伝えてきたことなのです。

　要件定義書・システム設計書やテスト結果などの成果物だけではなく、会議や口頭でのコミュニケーションも必要に応じて議事録やメールなどの形で文書化しておくことは、監査への対応のみならずさまざまな場面で役立ちます。そのため、開発プロジェクト作業においては、文書化は最重要項目の1つであると考えなければならないのです。

　次回は、プログラム開発されたものを本番環境に反映する、「プログラム変更」について解説します。

「日本版SOX法＆コンプライアンス」コーナーTOPへ

中島 浩光 （なかじま ひろみつ）
日本CA株式会社　カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了

前のページ｜1　2　3｜第9回

	Page 1 「プログラム開発」と「アプリケーション統制」とは プログラム開発の監査では遠い過去を検証するわけではない
	Page2 「プログラム開発」で求められる統制活動
	Page3 日本版SOX法対策はISO 9000と同じ？ Document! Document! Document!

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）