質問
弊社で取り決めた統制手続きに、 「アプリケーション改修時、開発者が直接変更作業をしてはならない」 というようなものがあるのですが・・・
正直言って、形骸化しています。
実態としてどうなっているかというと、 最初に運用担当者がアプリケーションサーバにログインしますが、 (当然ながら開発者は本番サーバへのログイン情報は知りませんので) あとは開発者にバトンタッチし、 開発者が直接デプロイなどのアプリ改修の一連の変更作業を実施しています。
理由は、開発者から運用担当者に変更作業手順を伝達する時間が勿体無いからです。 また、デプロイなどの作業は、やはり開発した人間がいちばん迅速かつ確実に遂行できますので、 作業ミスなどのリスクも比較的少ないと思います。 (一方、思い込みみたいなリスクもありますけども・・)
初年度の統制手続きの策定時は、監査法人からの勧め(ツッコミ?)もあって、 冒頭に記述したような厳しめの統制手続きにしたのですが、 「アプリケーション改修時、開発者のほかに第三者が立ち会わなくてはならない」 というように緩めなければと考えています。 やっぱり、出来ないもんは出来ませんもの!w
皆さんのところでは、こういったアプリケーション改修の際の職務分掌って どうされていますか? コストもあまりかからず、監査法人も納得!みたいな「実態に合った」良い手続きがあれば 是非教えていただきたいです。
よろしくお願いします!!
No.1614 本番環境へのプログラムの登録権限 とおなじことではないかと。
リスク回避条件を追求してくるのなら判るのですが企業規模から言って物理的経済的に不可能な統制手続きを求めてくるのが問題なのだと思います。 監査法人もまだ経験が浅くて”丁度いい”解決策が無いのでしょう。
アカウントをお持ちのかたはこちら
アカウントをお持ちでないかたはこちら
ログインすることであなたの お困り事を全国の情シス担当者へ 質問することができます。
質問
弊社で取り決めた統制手続きに、
「アプリケーション改修時、開発者が直接変更作業をしてはならない」
というようなものがあるのですが・・・
正直言って、形骸化しています。
実態としてどうなっているかというと、
最初に運用担当者がアプリケーションサーバにログインしますが、
(当然ながら開発者は本番サーバへのログイン情報は知りませんので)
あとは開発者にバトンタッチし、
開発者が直接デプロイなどのアプリ改修の一連の変更作業を実施しています。
理由は、開発者から運用担当者に変更作業手順を伝達する時間が勿体無いからです。
また、デプロイなどの作業は、やはり開発した人間がいちばん迅速かつ確実に遂行できますので、
作業ミスなどのリスクも比較的少ないと思います。
(一方、思い込みみたいなリスクもありますけども・・)
初年度の統制手続きの策定時は、監査法人からの勧め(ツッコミ?)もあって、
冒頭に記述したような厳しめの統制手続きにしたのですが、
「アプリケーション改修時、開発者のほかに第三者が立ち会わなくてはならない」
というように緩めなければと考えています。
やっぱり、出来ないもんは出来ませんもの!w
皆さんのところでは、こういったアプリケーション改修の際の職務分掌って
どうされていますか?
コストもあまりかからず、監査法人も納得!みたいな「実態に合った」良い手続きがあれば
是非教えていただきたいです。
よろしくお願いします!!