ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第13回目です。

さて、今回はアプリケーション・システムのメンテナンス作業の、ウィークポイントと課題が明確になる質問リストです。業務の根幹を支える、アプリケーション・システム。内部統制の観点から、そのメンテナンス業務は、実作業の手順と管理方法をあらかじめ明確に設定し、それに従って行われていくことが要求されます。メンテナンス作業の管理方法に関してチェックしてください。 実際に監査法人に内部統制のコンサルティングを依頼した際、ほとんどの監査法人が質問してくると想定される質問リストです。


Q1.ユーザ部門から発生したメンテナンス依頼に関して、情報システム部門での処理手順、承認プロセスが定められていますか?
（ YES ・ NO ） 

Q2.情報システム部門でのメンテナンス依頼の処理状況が、随時記録される体制を整備していますか?
（ YES ・ NO ） 

Q3.システムメンテナンス依頼の処理状況に関して、情報システム部門からユーザ部門へ定期的な通知が行われていますか?
（ YES ・ NO ） 

Q4.メンテナンスが完了したプログラムは、その規模と内容に合わせて、情報システム部門とユーザ部門の双方で適正なテストが行われ、テスト結果が常時記録されていますか?
（ YES ・ NO ）

Q5.大規模なメンテナンスが実施される場合、事前にユーザ部門による入念な受け入れテストが必ず行われていますか?
（ YES ・ NO ）

Q6.メンテナンスが完了したプログラムを本番環境へ移行する際、新プログラムなどの本番環境へ導入されるケースと、同様の手続きが適用されていますか?
（ YES ・ NO ）

Q7.プログラムのメンテナンス内容に合わせて、開発関係文書の改訂も行われていますか?
（ YES ・ NO ）
 
Q8.稼働プログラムにバグが発生した場合、情報システム部門の担当者が行う緊急のプログラムメンテナンス作業を管理するための手順、確認手続などが明文化されていますか?
（ YES ・ NO ）

Q9.緊急でプログラムを修正する場合、事前に情報システム部門のみでなく、必ずユーザ部門の責任者の承認も得ていますか?
（ YES ・ NO ）

Q10.緊急でメンテナンス作業が行われた場合、その実施内容と処理結果について、記録が残されていますか?
（ YES ・ NO ）

いかがでしょうか。NOが一つでもあれば、内部統制評価でNGとなります。逆にすべてをクリアできていれば、新法に適用した内部統制システムが確立されていることを意味します。

2008年4月に向けて、カウントダウンははじまっています。

Dr.QがITサプリをお届けしました。次回もお楽しみに。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。