経済産業省が発表したIT統制ガイダンスの公開草案

 経済産業省が、日本版SOX法に対応する「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公開草案を発表した。システム管理基準とはシステム監査の監査項目が定められているものであり、情報システムの計画から廃棄までの全プロセスにわたっての標準的なプロセスが示されているともいえる。この追補版ということは、日本版SOX法のITに関わる部分はシステム監査として実施される方向にあるともいえる。
 内容的には具体的な説明が多くなったということであろうが、決定的なところが欠落している。ITの全般統制において、プログラムとデータの信頼性をテストする必要があるとしているが、どのように信頼性をテストするのか未解決のままである。要件に基づいて行われた基本設計の通りに詳細設計やプログラムが正しく記述されるということをどのように確認し、テストするのであろうか。テストを行い確認するということは、プログラムの信頼性を100%テストできないことを物語っている。
 ERPパッケージなどの業務パッケージを導入することは完全ではないにしても、信頼性を高める手段にはなりえる。しかしながら、手作業や一部自動化を行う部分もあり、どうしても企業でシステム開発がなくなることはありえない。プログラムの自動生成ということはどうしても避けては通れないところにきている。

トラックバック

このエントリーのトラックバックURL:
http://www.innova-bp.co.jp/mt/mt-tb.cgi/99