日本版SOX法でプログラム開発に求められるもの：セキュリティツールで作る内部統制（8）（3/3 ページ）

[中島 浩光，＠IT]

日本版SOX法対策はISO 9000と同じ？

　ここまで、プログラム開発について説明してきましたが、過去に似たような経験をされた方もいらっしゃると思います。

　実は筆者も経験しているのですが、日本版SOX法対応におけるプログラム開発におけるポイントは、品質管理の国際認証である「ISO 9000シリーズ」をシステム開発業務を対象として適用した場合と非常によく似ています。実際、日本版SOX法においてもISO 9000シリーズにおいても、監査・評価の対象となる業務は同じなのです。

　また、「財務報告の正確性・信頼性」を保証するためには業務システムの開発の品質が高くなければならない、と考えれば、日本版SOX法とISO 9000シリーズの目的もかなり近いものと見なせることになります。つまり、ISO 9000は「品質管理・品質の向上」を目的とした内部統制活動の枠組であるといえます。

Document! Document! Document!

　さて、ここまでプログラム開発に求められるポイントや、ISO 9000との関連などを説明してきました。

　これらのポイントを押さえたうえでプロジェクト管理をきちんと行い、実際の「運用」、つまりプログラム開発を行う必要があります。しかし、評価・監査に対応するために必要なのは、各種のタスクの監査ログともいえる成果物です。そのため、プログラム開発においては、何よりも「成果物の文書化」が重要になります。また、監査への対応だけでなく開発プロジェクトの実行においても、文書化が果たす役割は非常に大きいのです。

　「Document! Document! Document!」を日本語にすると、「文書化！文書化！文書化！」といった感じですが、これは筆者がさまざまなトレーニングで教えられ、時には教える立場として伝えてきたことなのです。

　要件定義書・システム設計書やテスト結果などの成果物だけではなく、会議や口頭でのコミュニケーションも必要に応じて議事録やメールなどの形で文書化しておくことは、監査への対応のみならずさまざまな場面で役立ちます。そのため、開発プロジェクト作業においては、文書化は最重要項目の1つであると考えなければならないのです。

　次回は、プログラム開発されたものを本番環境に反映する、「プログラム変更」について解説します。

Profile

中島 浩光（なかじま ひろみつ）

日本CA株式会社　カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング（現アクセンチュア）入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了

「セキュリティツールで作る内部統制」バックナンバー

• 内部統制におけるコンピュータの運用とEUC
• プログラム変更はIT全般統制のもう1つの鍵
• 日本版SOX法でプログラム開発に求められるもの
• 日本版SOX法に必要なセキュリティポリシーとは？
• “正しいログ”と日本版SOX法の関係は？
• IT統制のキモとなる認証とアクセス制御とは
• 統制の鍵となるシステムセキュリティ保証とは
• 日本版SOX法対応のためのIT内部統制とは？
• 内部統制におけるITとCOBITの関係は？
• 日米SOX法や内部統制とITの関係を理解しよう！