システムが不変ではない以上、SOX対応における文書も更新していく必要がある。RCMの記述でも、更新作業で記載漏れなどが起こらない手立てを考えていく必要がある。
前回に引き続き、RCM(Risk Control Matrix)作成のポイントについて述べたいと思います。
システムには名前が付いていることが多いと思います。それは役割についた名前であったり、構築当初のプロジェクト名だったり、さまざまだと思います。しかし今日においてシステムは単独で存在するものではなく、他システムとの連携が普通に行われています。その方法もまたさまざまであり、時にはデータを受け渡すだけではなく、直接データベースを共有しているような場合もあるでしょう。また他システムにアクセスするクライアントプログラムに特定の名前がついてあたかも1つのシステムのように扱われている場合もあります。
そもそも同じ名前が付いていれば同じシステムであり、違う名前が付いていれば違うシステムなのでしょうか?例えば第○次システムのような名前もよく聞きます。これは前世代のシステムとは同じシステムなのでしょうか? きっとこのような名前ではなく、新しい名前が付いていれば違うシステムと扱われることでしょう。ここから分かることは、名前はシステムにとって俗称にしか過ぎず、名前をもって同一性、類似性、相違性を論じることはできないということでしょう。
この問題に関しては最初によく検討していただきたいと思います。これはSOXに限ったテーマではありません。あるシステム名をもって想起される内容が必ずしも全ての人間に同じイメージを与える訳ではなく、SOX以外でも誤解のもとになっている場合があります。
SOXでの注意点としては、例えばある既存システムの追加開発部分があたかも異なるシステムのように呼ばれている場合があります。このような場合、1つの独立したシステムとして文書化すると、コントロールの評価を行う時に失敗に気づくことがあります。独立した1つのシステムではないため、独自にコントロールの設計ができないのです。結果として「一緒に扱うべきであった」ことに気づくことでしょう。最初に分かっていれば別に文書化を行う必要がなかったはずです。
また逆のパターンもあるでしょう。例えば1つのシステムの手続きを文書化するにあたって、同じ業務に異なる手順が存在することがあります。よく調べて見ると、1つのシステムを複数のベンダーが開発しており、ベンダーによって手続きや手続きに用いられる様式が異なっているというわけです。このような場合には、結果として「別に扱うべきであった」ということが後で気づかれることになります。システム名とはあくまで便宜的に与えられた俗称であることを意識していればこのような事象を防ぐことができるでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授