1985年版、1996年版に続く「システム監査基準」が公表された。「システム監査基準」と「システム管理基準」の峻別などを含む今回の改定のポイントを見ていこう。
平成16(2004)年10月、経済産業省から「システム監査基準」の改訂が公表されました。
今回の「システム監査基準」の改訂は、平成8(1996)年以来の改訂であり、情報化社会の急速な変化を考えると遅きに失した、という声も聞かれます。しかし、今回の改訂を前向きにとらえ、新しい「システム監査基準」、および後で詳しく述べますが、新設された「システム管理基準」を併せて有効活用し、わが国の健全な情報化社会の構築につなげていくことが重要です。
この記事では、今回の「システム監査基準」改訂の意義、ポイントについて整理します。
「システム監査基準」は、昭和60(1985)年に、当時の通商産業省によって、策定・公表されました。その後、平成8年(1996)年に改訂が行われ、今回が2回目の改訂になります。平成8年の改訂からの8年間に、情報システムはわが国経済社会の中枢な位置を占めるようになりました。また、電子政府・電子自治体という国家レベルでの情報化も本格化しつつあります。こうした情報化環境の変化は、民間経済の発展、社会生活の充実、国際競争力の向上に大きな貢献をしている一方で、さまざまなリスクを生み出し、リスク対応いかんによっては、多大なマイナス影響を与える状況になってきています。
1.ITおよび情報ネットワーク技術の発展
2.情報システムの社会のさまざまな領域への浸透
3.情報システム利用者の広がり
4.情報システムの複雑化、多様化、広域化
5.情報化投資の増大と効果の不透明さ
6.さまざまなIT関連事業者の出現
7.電子政府/電子自治体の本格化
8.機密情報/個人情報の流通
こうした情報化環境の変化に伴うリスクを抑え、健全な情報化社会を構築していくために、情報化環境の状況を客観的に評価し、改善に向けた指摘・提案を行うシステム監査の重要性が高まっており、今回の「システム監査基準」改訂の背景にもなっています。
今回の「システム監査基準」のポイントは、大きく次の5つの点に整理することができます。
1.「監査人の行為規範」と「情報システム管理の標準」との峻別
いままで「システム監査基準」として1つだった内容を、システム監査を実施するシステム監査人の行為規範をまとめた「システム監査基準」と、情報システムが備えているべき標準的項目をまとめた「システム管理基準」に峻別(しゅんべつ)しました。
「システム監査基準」および「システム管理基準」の内容については、後で詳しく説明しますが、システム監査人は「システム監査基準」に従った姿勢・手順で、対象の情報システムの状況が「システム管理基準」に照らして適切か否かを調査・評価することになります。
この変更は、システム監査人が有効かつ効率的な監査を行ううえで、極めて有意義なものといえます。
2.ITおよび情報ネットワーク技術の革新への対応
ITの進歩は目覚ましいものがありますが、中でも、インターネットを利用したブロードバンド化は情報化環境を大きく変ぼうさせ、新たなリスクを出現させました。そうした技術変化に伴うリスクのコントロール状況を評価するための新たな管理項目を設定しました。
技術環境の変化への対応は当然であり、今後もタイムリーな基準の見直しが必要といえます。
3.事業における情報システムの位置付けの変化への対応
いまや、民間企業および自治体などの組織体において、組織体の経営目的を達成するために、情報システムは不可欠な存在となっています。まさに、経営戦略と情報戦略は一体化したものとなっています。
今回の改訂では、経営戦略と情報戦略を整合させ、情報化投資を適切に管理し、情報化体制や情報システムにまつわるリスクのコントロールの仕組みを確立する概念としての「ITガバナンス」を意識し、ITガバナンスを実現するための管理項目を設定しています。
経営的視点からの情報システムの評価という観点を強化した改訂であり、重要なポイントといえます。
4.社会に対する説明責任の高まりと保証型監査の必要性
有効かつ効率的な組織体の運営にとって、情報システムそのものが有効かつ効率的に運営されることが重要です。
組織体の運営は単独で行われるものではなく、株主、顧客、取引先、自治体、住民など、さまざまな利害関係者とかかわっています。そうした中、組織体の長には、情報システムが組織体の経営目的に合致していること、安全かつ有効に運営されていること、システムおよび取り扱われるデータが信頼性を有していること、法令を順守していることなどを、これら利害関係者に説明できる必要があります。
そのために、いままでの問題点を指摘し改善を提案するという助言型監査に加えて、保証型監査という考え方を取り入れました。保証型監査とは、調査した範囲内で、一定の基準に照らして評価した範囲内で、監査対象の状況が適切であることを宣言するものであり、システム監査に新しい役割を持たせた改訂として、注目すべき点といえます。
5.情報セキュリティ監査制度との関係
経済産業省は、平成15(2003)年度、情報セキュリティに焦点を絞った監査の枠組みである「情報セキュリティ監査制度」を立ち上げ、その中で「情報セキュリティ監査基準」「情報セキュリティ管理基準」を公表しました。
いままで、システム監査の中で情報セキュリティについての監査も行ってきましたが、「情報セキュリティ監査制度」が運用されるようになったことに伴い、情報セキュリティ監査についての監査はそちらに集約し、システム監査は情報セキュリティ以外の分野について監査するという位置付けを明確にしました。
なお、「システム監査基準」と「情報セキュリティ監査基準」は、監査人の行為規範として同じ内容になっています。
Copyright © ITmedia, Inc. All Rights Reserved.