ここまでお読みになってお気付きの方もいらっしゃると思いますが、プログラム変更で求められることはITIL(IT Infrastructure Library)の変更管理・リリース管理と大きく重なります。
そもそもITILが「IT運用のベストプラクティス」であると位置付けられているため、その変更管理・リリース管理のプロセスは非常によくできており、前述したポイントの中でも変更管理手続きの明確化や承認プロセスなどについては、そのまま適用することにより重要なポイントを押さえることができます。
しかしながら、「財務報告の正確性・信頼性の保証」という観点から考えると、権限分離の考え方や、作業者の不正やミスへの対策において、弱い部分があります。
従って、ITILの変更管理・リリース管理のプロセスをベースに、前述した必要な統制活動を追加するといったアプローチが有効であると考えられます。そういった追加のポイントとしては、変更(リリース)作業時におけるアクセス管理・監査証跡取得や、プログラムファイルに対する変更履歴の取得といったものがあります。
さて、次回最終回は「コンピュータ運用」について説明するとともに、これまでのまとめとして、IT全般統制に対しての全体アプローチを考察していきたいと思います。
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.