ソフトウェアは企業の資産である。

 日本の企業の大半は情報システムの開発・運用を実態としてベンダーにアウトソーシングしているので、ソフトウェアが資産であり、自らが管理するべきものであるという感覚が薄い。機能拡張などをするたびに、ソースコードをベンダーに貸し出し、修正前のソースコードの返却を受け、修正後のソースコードを納入させるという手続きを取っている企業はあまりないはずである。ISO9000もシステム監査もベンダー側の話であると思っている企業が大半である。
 日本版SOX法におけるITの全般統制は、これらの慣習を全て打ち崩すことになる。ソフトウェアを文書化された業務プロセス通りに開発・保守していることを統制する必要があるわけであり、ベンダーに委託しているということでは済まされなくなる。ミドルウェアやパッケージは当然のことながら対象外であるが、それ以外の業務ソフトウェアは対象となる。
 ソフトウェアのソースコードやドキュメントのバージョン管理だけでなく、どの担当者がいつ更新したかについてもログを取る必要がある。ベンダーに委託していたとしても、きちんと管理されていることを確認しておく必要がある。人が紙で管理するようなレベルの話ではない。

トラックバック

このエントリーのトラックバックURL:
http://www.innova-bp.co.jp/mt/mt-tb.cgi/101