日本版SOX法が、いよいよ現実味を帯びてきた。2009年3月期の決算期からの対応が見込まれているが、そのためには2007年4月、つまり来年4月には、日本版SOX法に対応した仕組みを企業として構築し終わっていなければならない。つまり、残された準備期間はそれほど多くないのである。

不可欠なIT統制

日本版SOX法が求めているのは、内部統制の強化と置き換えることができる。そして、すでにビジネスとITが一体化した現在、企業における内部統制を考えた場合、欠かすことができないのがITシステムの統制である。事実、公開された日本版SOX法の草案でもIT統制の実施が言及されており、具体的には「業務処理統制」と「IT全般統制」が必要だと述べている。そして、開発の側面から関連してくるのが後者の「IT全般統制」であり、リスクマネージメントを前提にした品質確保である。

IT全般統制と開発

IT全般統制とは、ＩＴを利用した業務処理統制が有効に機能する環境を保証する間接的な統制をいう。全般統制は、通常、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用並びに保守、アクセス セキュリティおよびアプリケーション システムの取得、開発並びに保守に対する統制を含むものである。
そして、開発をキーワードにした場合は、さらにそこで稼働するアプリケーション自体が、様々なリスクを前提とした充分なテストがなされ、正しく開発されたものであるかを統制することになる。アプリケーションもインフラも正しいものであってこそ、はじめて正しい業務が可能になるというわけだ。

<拡大図>

<拡大図>

開発段階でドキュメントを残す

では、具体的に正しいアプリケーションであるかどうかを、どのように統制し、なおかつエビデンスを残すにはどうすれば良いのだろうか。ひとつの方法としてあげられるのが、開発時に行ったテストの結果をレポートとしてドキュメントに残すことだ。そして、レポートの正当性を主張するためには、どのような目的において行ったテストなのかを表すためのテスト計画書が必要であり、そのテストの全てを網羅して行ったかのカバレッジの証明も必要になる。さらにそのテスト計画書を作成するためには、当然様々なリスクを想定した要件定義を厳密に行う必要がある。つまり「リスクマネージメント」を意識した統制が採られていたかの証明である。こうした一連のドキュメントを残すことで、アプリケーション開発の正当性、ひいてはアプリケーション自体の正当性を主張できることになる。

機能よりも品質の時代

ただ、ドキュメントを残すとはいうものの、限られた開発時間の中で行うのは簡単なことではない。開発の一連の流れでは、開発スケジュールに遅れが出てしまった場合、テストの時間が割かれていくことも少なくない。しかし、日本版SOX法が施行されると、これまで以上に品質がクローズアップされるのは必定だろう。そうなると、いかに品質を担保するためのテストを、効率よく行うかが重要になってくる。今後は、アプリケーションの機能以上に、品質が重視される時代となるだろう。

テストを確実に実施し、効率化するコンピュウェアの支援ツール群

効率的なテストの実施に欠かせないのがテストツールの存在である。日本コンピュウェアでは、アプリケーションの完全性、可用性、セキュリティをテストするためのさまざまなツールを提供している。

もちろんこうしたツールを使用することで、テストを行うことはもちろん、その結果をドキュメントとしても生成できる。ツールを利用することで、テストの効率的、効果的な実施だけでなく、テストのその後も含め、開発期間全体の短縮、品質の向上、スタッフの負荷低減などを実現することができる。

本来企業として必要であった業務の見直しや、ITの品質向上といったことに、なかなか手が回りきらないのが実情だったろう。しかし、この日本版SOX法の施行に対応するには、こうしたことに本格的に取り組まなければならず、IT業務に携わる担当者にとっては様々な部分を見直すことが必要になり、忙しい日々となるかもしれないが、企業の競争力向上には良いきっかけとなるだろう。日本コンピュウェアでは開発の現場においても、日本版SOX法への対応を「品質」と「リスクマネージメント」の視点から強力にサポートしている。