① 「標準的な統制」 : プログラム登録・変更管理統制に於ける基礎的な制約条件
1.案件切りわけ基準
・ 案件の種別(ユーザ案件、障害案件、システム部内案件等)により
管理手続が異なる場合、案件切りわけ基準が明文化されている。
2.プログラム変更履歴
・ プログラム登録・変更履歴
①システムから出力されたプログラム変更履歴 が取得できる。
②手作成のプログラム変更履歴 が取得できる。
③最終更新日の分かるプログラム一覧 が取得できる。
④日次スナップショット が取得できる。
② 「標準的な統制」 : プログラム登録・変更管理に於ける標準的な統制
1.起案におけるユーザ部門の関与
・ 開発・修正案件の起案時には、ユーザ(オーナー)部門の然るべき承認を含んだ手続が存在する。
2.起案におけるIT部門の関与
・ 開発・修正案件の起案時には、IT部門の然るべき承認を含んだ手続が存在する。
3.開発方法論に則った開発・テスト
・ プログラムの設計・修正作業は、
所定の開発方法論に則って行われ、開発・テストの品質が適切に管理されている。
4.テスト結果に対するIT(開発)部門のレビュー
・ テスト結果に対しては、IT部門内で適切にレビューされ、
テストが不十分ではないことを検証する手続が存在する。
5.テスト結果に対するユーザ部門のレビュー
・ テスト結果に対しては、
ユーザ(オーナー)部門による受入テスト等により、レビュー(検収)される手続が存在する。
6.本番登録に対するIT部門レビュー
・ 本番登録作業に際しては、然るべき事前承認の手続が存在する。
7.本番登録結果の事後確認
・ 本番登録作業が正しく完了していることを、
本番登録の直後にプログラムID単位で事後確認する手続がある。
8.本番登録権限の制限(職務分掌)
・ 本番登録権限は職務上必要な者(ライブラリアン等)のみに限定され、
開発者は本番環境へのアクセス権を持たない。
9.プログラム更新状況の第三者チェック(ログレビュー)
・ 意図しないプログラム登録がないことを、本番登録担当者以外の者が定期的にモニタリングしている。
③ 「プログラム登録・変更管理に於けるリスク」 : 統制が効かない場合に於いて以下のリスクがある
1.企画
・ 意図せざる案件が開発・修正に移される
2.開発
・ 意図せざる機能が開発・修正に移される
3.テスト
・ テストが不適切、不十分で不具合があることに気づかない
4.本番登録
・ 承認外(修正目的またはテスト結果)の案件が本番登録される
・ 本番登録の過不足(異常終了を含む)がある