新しい「システム監査基準」は、前述したとおり、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。
新しい「システム監査基準」では、システム監査の目的を次のように設定しています。
組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。
この目的に記述されていることは、先に説明した今回の改訂のポイントを反映したものとなっています。
新しい「システム基準」は、3つの大きな基準で構成されています。
個々の基準項目の内容については、最後に示したURLからダウンロードし確認していただきたいですが、いままでの「システム監査基準」と比べて変わった点、あるいは明らかになった点として、次のことが挙げられます。
「システム管理基準」は、先に述べたように、情報システムが備えていなければならない標準的項目をまとめたものですが、「システム管理基準」では、次のように位置付けられます。
組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。
つまり、「システム管理基準」はシステム監査人のためだけの基準ではなく、システム監査人を含めた情報システムにかかわる関係者にとっての共通基準であるといえます。例えば、システム監査人にとっては、情報システムを監査し状況の適切性を判断するための尺度として用いるべき基準となります。また、システム開発担当者にとっては、システム設計時に盛り込むべきコントロールの基準となり、システム管理者にとっては、安全にシステムを管理するためのコントロールの基準となるでしょう。
「システム管理基準」は情報システムのライフサイクルに対応した標準管理を設定しており、その全体構成は次のようになっています。
|
|
いままでの「システム監査基準」の実施基準に挙げられていた項目と比べて、「システム管理基準」では次のような点が特徴といえます。
改訂された「システム監査基準」および「システム管理基準」は、経済産業省の次のサイトからダウンロードすることができます。今回の改訂の主旨を理解した上で、健全な情報化環境を構築するために、これらの基準を有効に活用していただきたいと思います。
▼著者名 小野 修一(おの しゅういち)
有限会社ビジネス情報コンサルティング 代表取締役
早稲田大学理工学部出身。システム監査企業台帳登録企業、情報セキュリティ監査企業台帳登録企業
▼専門分野
業務改革支援、情報戦略立案、情報化計画策定、情報化投資対効果評価、情報システム監査
▼著書
『情報システム監査実践マニュアル』(共著、工業調査会)
『情報化投資効果を生み出す80のポイント』(工業調査会)
『成功するシステム導入の進め方』(日本実業出版社)
『ITソリューション 戦略的情報化に向けて』(共著、同友館)
『図解でわかる部門の仕事 情報システム部』
『システムコンサルタントになる本』(共著、日本能率協会マネジメントセンター)ほか多数
Copyright © ITmedia, Inc. All Rights Reserved.