マッシュアップやQEDWikiにもJ-SOX対応が必要になる
今、SOX関連の資料を読んでいて気づいたことが1つあります。
SOXは、J-SOXもそうですが、財務諸表に大きな影響を与える業務プロセスやIT環境について、特にしっかりとコントロールをかけることを求めています。
IT全般ではITガバナンスの確立、それもCOBITのような体系だった、言い換えれば漏れのないアプローチによる手当てが必要になります。
そのなかには、アプリケーションの変更は、開発者以外の者がその変更を承認し、テストを行い、その一部始終を記録として残しておかなければならないということも含まれてきます。
そこで「あ!」と思ったのがAJAXなど組みやすいスクリプト言語を使って行われるマッシュアップ。それから最近IBMが開発しているQEDWikiによるエンドユーザープログラミングです。
これらは、売上や経費に関係する業務において、末端のユーザーが、自分が使いやすいようにアプリケーションを作ったり変更したりという形で使われると、J-SOXなどが求めている統制の対象となります。
マッシュアップやQEDWikiは、軽快な開発ができるところに本分があるわけですが、そこに第三者による承認、テストなどが入ってくるとするとすれば、組む側はげんなりしてしまいますね…。(Web2.0の創発の精神に反します…)
マッシュアップやQEDWikiを内部統制に対応させるための、バックグラウンドで動作して承認およびテストが自動的に行われるようなITの手当て(組む側が意識しなくともよい)がなければいけませんね。