システム監査こぼれ話
JSOXや会計監査のIT監査に従事することが多かった筆者ですが
システム監査についてのこぼれ話です。
IT業務処理統制についてですが
このうちのひとつに
プログラムレビューというものがあります。
これはその名のとおり
プログラムを見て
そのシステムの適切性を確認するものとして
座学だと学びますが
実務的にこれを実際にやっているところがあるのかどうか
と言うのが非常に興味があります。
実務的には
かなり限定された場面でしか使われない
少なくとも
プログラムレビューを実施して、そのシステムを結論づける
ということは実務上はありませんでした。
その理由としては
1 時間が非常にかかる
これはプログラムレビューを実施すると
相当な高度の専門家がソースコードを読み込むことが必要ですが
非常に時間がかかります。
2 結論が出しにくい
上述のとおり、高度な専門家が時間をかけても
それだけではやはり
よくわからない
というのが実情です。
なんとなく大丈夫っぽい
というレベルの判断はできるかもしれませんが、
結局のところ、がちっとした結論を出すのが非常に難しいのですね
3 それぞれ得意な言語がある
プログラムなどはいろいろな言語があります。
そしてSEの方にも得意、不得意があります。
英語がしゃべれる人がいれば
スペイン語がしゃべれる人がいれば、
中国語がしゃべれる人がいれば
といった形で
いろいろな言語があり、全ての言語に通じている人はいません。
上記の理由により
結局コストパフォーマンスはすこぶる悪い
というのがプログラムレビューの実情ではないかと思います。