出来の良いRCMの持つ2つの側面:Tips of SOX(1/2 ページ)
システムが不変ではない以上、SOX対応における文書も更新していく必要がある。RCMの記述でも、更新作業で記載漏れなどが起こらない手立てを考えていく必要がある。
システムの名前は俗称に過ぎない
前回に引き続き、RCM(Risk Control Matrix)作成のポイントについて述べたいと思います。
システムには名前が付いていることが多いと思います。それは役割についた名前であったり、構築当初のプロジェクト名だったり、さまざまだと思います。しかし今日においてシステムは単独で存在するものではなく、他システムとの連携が普通に行われています。その方法もまたさまざまであり、時にはデータを受け渡すだけではなく、直接データベースを共有しているような場合もあるでしょう。また他システムにアクセスするクライアントプログラムに特定の名前がついてあたかも1つのシステムのように扱われている場合もあります。
そもそも同じ名前が付いていれば同じシステムであり、違う名前が付いていれば違うシステムなのでしょうか?例えば第○次システムのような名前もよく聞きます。これは前世代のシステムとは同じシステムなのでしょうか? きっとこのような名前ではなく、新しい名前が付いていれば違うシステムと扱われることでしょう。ここから分かることは、名前はシステムにとって俗称にしか過ぎず、名前をもって同一性、類似性、相違性を論じることはできないということでしょう。
この問題に関しては最初によく検討していただきたいと思います。これはSOXに限ったテーマではありません。あるシステム名をもって想起される内容が必ずしも全ての人間に同じイメージを与える訳ではなく、SOX以外でも誤解のもとになっている場合があります。
SOXでの注意点としては、例えばある既存システムの追加開発部分があたかも異なるシステムのように呼ばれている場合があります。このような場合、1つの独立したシステムとして文書化すると、コントロールの評価を行う時に失敗に気づくことがあります。独立した1つのシステムではないため、独自にコントロールの設計ができないのです。結果として「一緒に扱うべきであった」ことに気づくことでしょう。最初に分かっていれば別に文書化を行う必要がなかったはずです。
また逆のパターンもあるでしょう。例えば1つのシステムの手続きを文書化するにあたって、同じ業務に異なる手順が存在することがあります。よく調べて見ると、1つのシステムを複数のベンダーが開発しており、ベンダーによって手続きや手続きに用いられる様式が異なっているというわけです。このような場合には、結果として「別に扱うべきであった」ということが後で気づかれることになります。システム名とはあくまで便宜的に与えられた俗称であることを意識していればこのような事象を防ぐことができるでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.