【システム監査】データ直接修正はきちんとバックアップを取ってから行う

データの直接修正（一般ユーザ用のアプリケーションを使用せずにシステム担当者がアプリケーション以外の方法でデータを修正すること等）については、J-SOXでも重要視されていることから、「ユーザ部門からの依頼（担当者起票・責任者承認）に基づき、システム部門が実施し、ユーザ部門が結果を確認する」といった手続きが整備されている会社も多いと思います。

一方、システム部門内での手続きを監査で確認しますと、「データの保全」をせずにデータの直接修正をしている会社をいくつか見たことがあります。
ここでの「データの保全」とは、データ修正対象となる部分のデータのバックアップを取ることを指しています。何も「フルバックアップを取る」と言っているわけではありません。例えば、対象となるテーブルをSQLコマンドで抽出（select文で抽出）して、テキスト形式で保存していてもいいですし、画面のハードコピーでも構わないと考えます。

「簡単なコマンドだし」、「失敗するわけがないし」という理由で、データの保全（バックアップ）を怠った結果、誤ってデータを削除してしまっているトラブルも数件見たことがあります。

仮に失敗した際、日次バックアップ等からデータを戻せばいいという考えでしょうが、当然、長時間業務が停止してしまいます。
「データの保全をしてからデータの直接修正をしているか。」も監査時に聞いてみてもよいと考えます。