明日(12月26日)は納会。今年の仕事も今日で最後になる。今年1年はJ-SOX法つまり内部統制対応に結構時間を費やした。IT統制のうち、IT全体統制とIT全般統制について、上期には統制評価、下期の11月には統制評価テストが監査法人によって実施された。結果として今年度は、以下の4点に絞られたようだ。
① 情報システムの開発者と運用者の職務分離
② 基幹業務システムへのアクセスログの収集
③ 情報システムの開発、運用は全てユーザーからの依頼に基づいていること
④ その証明として、本番環境への開発・改修プログラムの移行および本番データの直接修正を行う特権IDのアクティビティ管理がなされ、“見える化”されていること
結果、最も重要視されたのは一言で言うなら特権IDのトレーサビリティの確立で、この課題の前に、統制効果のアンバランスという理由から、多くの会社で実現不可能と思われる職務分離についてはトーンダウンしたようだ。
さてさて、2009年度の評価項目は如何に。。。。。。
