ITガバナンスの観点を取り入れた「新・システム監査基準」：特別企画：「新・システム監査基準」解説（2/2 ページ）

[小野 修一，＠IT]

システム監査の目的とは

　新しい「システム監査基準」は、前述したとおり、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。

　新しい「システム監査基準」では、システム監査の目的を次のように設定しています。

組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。

図表4　「システム監査基準」におけるシステム監査の目的

　この目的に記述されていることは、先に説明した今回の改訂のポイントを反映したものとなっています。

　新しい「システム基準」は、3つの大きな基準で構成されています。

1. 一般基準：監査人としての適格性および監査実施上の順守事項を規定している
2. 実施基準：監査計画の立案および監査手続きの適用方法を中心に監査実施上の枠組みを規定している
3. 報告基準：監査報告にかかわる留意事項と監査報告書の記載方法を規定している

　個々の基準項目の内容については、最後に示したURLからダウンロードし確認していただきたいですが、いままでの「システム監査基準」と比べて変わった点、あるいは明らかになった点として、次のことが挙げられます。

• 内部監査だけでなく、組織体の外部の監査人に監査を依頼する場合においても利用できる
• 保証型監査、助言型監査の両方の監査に利用できる
• 監査の実施に当たって、監査人は正当な注意をもって業務を実施することを明記した
• 監査人は監査結果の適正性を確保するために、適切な品質管理を行うことを明記した
• 監査の実施における監査証拠の入手と評価について明記した
• 監査調書の作成と保存について明記した
• 監査報告書の内容が、監査証拠に裏付けられていなければならないことを明記した
• 監査人は監査報告書の記載内容に責任を負うことを明記した

システム管理基準

　「システム管理基準」は、先に述べたように、情報システムが備えていなければならない標準的項目をまとめたものですが、「システム管理基準」では、次のように位置付けられます。

組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。

図表5　「システム管理基準」の位置付け

　つまり、「システム管理基準」はシステム監査人のためだけの基準ではなく、システム監査人を含めた情報システムにかかわる関係者にとっての共通基準であるといえます。例えば、システム監査人にとっては、情報システムを監査し状況の適切性を判断するための尺度として用いるべき基準となります。また、システム開発担当者にとっては、システム設計時に盛り込むべきコントロールの基準となり、システム管理者にとっては、安全にシステムを管理するためのコントロールの基準となるでしょう。

　「システム管理基準」は情報システムのライフサイクルに対応した標準管理を設定しており、その全体構成は次のようになっています。

大項目 中項目 I．情報戦略 1． 全体最適化 2． 組織体制 3． 情報化投資 4． 情報資産管理の方針 5． 事業継続計画 6． コンプライアンス II．企画業務 1． 開発計画 2． 分析 3． 調達 III．開発業務 1． 開発手順 2． システム設計 3． プログラム設計 4． プログラミング 5． システムテスト・ユーザー受け入れテスト 6． 移行

大項目 中項目 IV．運用業務 1． 運用管理ルール 2． 運用管理 3． 入力管理 4． データ管理 5． 出力管理 6． ソフトウェア管理 7． ハードウェア管理 8． ネットワーク管理 9． 構成管理 10． 建物・関連設備管理 V．保守業務 1． 保守手順 2． 保守計画 3． 保守の実施 4． 保守の確認 5． 移行 6． 情報システムの廃棄 VI．共通業務 1． ドキュメント管理 2． 進ちょく管理 3． 品質管理 4． 人的資源管理 5． 委託・受託 6． 変更管理 7． 災害対策

図表6 「システム管理基準」の全体構成

　いままでの「システム監査基準」の実施基準に挙げられていた項目と比べて、「システム管理基準」では次のような点が特徴といえます。

1. 企画フェイズの上流として、情報戦略フェイズを設け、効果的な情報システムの構築、リスクマネジメント、コンプライアンスなどの、ITガバナンスの観点から情報システムとして管理すべき事項を整理した。コンプライアンスなどの、ITガバナンスの観点から情報システムとして管理すべき事項を整理した。
2. パッケージソフトの利用が増加している状況を受け、各フェイズでのパッケージソフト利用に関する管理事項を設定した。
3. 企画業務の開発計画の中で、全体最適化の視点を強調した管理すべき事項を設定した。
4. 共通業務の中に、重要性の増している管理項目として、品質管理、変更管理を追加し、管理すべき事項を設定した。
5. アウトソーシングの普及を受け、共通業務の中の外部委託に関して、委託と受託を分けて管理すべき事項を整理した。

　改訂された「システム監査基準」および「システム管理基準」は、経済産業省の次のサイトからダウンロードすることができます。今回の改訂の主旨を理解した上で、健全な情報化環境を構築するために、これらの基準を有効に活用していただきたいと思います。

経済産業省：新「システム監査基準」、「システム管理基準」の公表について（PDF形式）

著者紹介

▼著者名　小野 修一（おの しゅういち）

有限会社ビジネス情報コンサルティング 代表取締役

早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業

▼専門分野

業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査

▼著書

『情報システム監査実践マニュアル』（共著、工業調査会）

『情報化投資効果を生み出す80のポイント』（工業調査会）

『成功するシステム導入の進め方』（日本実業出版社）

『ITソリューション 戦略的情報化に向けて』（共著、同友館）

『図解でわかる部門の仕事 情報システム部』

『システムコンサルタントになる本』（共著、日本能率協会マネジメントセンター）ほか多数