プログラム変更はIT全般統制のもう1つの鍵：セキュリティツールで作る内部統制（9）（1/3 ページ）

前回、日本版SOX法対応におけるセキュリティ以外の分野である「プログラム開発」について解説した。今回は、残りの「プログラム変更」と「コンピュータ運用」のうち、「プログラム変更」について説明する。

　前回は、IT全般統制における「プログラム開発」について解説しました。通常の統制活動が本番環境における統制活動であるのに対し、プログラム開発は開発環境におけるプロセスの統制であることを説明しました。

　今回説明する「プログラム変更」は、「プログラム開発」のアウトプットを本番環境へ反映するプロセスにおける統制活動ですが、セキュリティ（プログラムとデータへのアクセス）とともに、IT全般統制における重点ポイントであるといわれています。今回はこの「プログラム変更」におけるポイントを解説していきます。

「プログラム変更」が重要な理由

　日本版SOX法対応における内部統制の目的は、財務報告の正確性・信頼性であることはご存じのとおりです。そのため、内部統制においては業務を「正確に」かつ「完全に」行うことが求められます。同様に、ITにおいてもシステムにおける処理が正確かつ完全であること、結果としてプログラム（業務システム）やデータが正確かつ完全であること、つまり、「完全性（Integrity）」が求められます。

　日本版SOX法における「プログラム変更」とは、プログラムファイル自体や設定、基盤などの変更を本番環境で行うプロセスのことを指します。プログラムを変更することは、システムの完全性を直接的に損なうリスクも高いため、IT全般統制の中でも重要な統制活動とされているのです。

　日本版SOX法対応の際に起こった事故ではありませんが、過去にもシステムの変更作業における作業の抜けや単純なミスによって、新聞に大きく取り上げられるようなシステムの事故が引き起こされた例もありました。

　つまり、プログラム変更を「正しく」行わないことによって、業務データの不整合や会社業務の停止につながるほど大きな影響を及ぼす可能性があるため、日本版SOX法対応においても「正しい」プログラム変更作業の整備と運用は非常に重要なのです。