システム監査基準と管理基準(改訂版)
| 1.情報システムの発達による光と影 |
|
→ 光の面: |
社会生活の便利さ向上 |
|
|
企業経営の質的・量的向上 |
|
→ 影の面: |
犯罪・プライバシー情報漏洩・ |
|
|
システム停止による社会的混乱 |
コンピュータシステムは、企業の生産現場はもとより、全ての経営活動の中にまで入り込んでおり、その恩恵は計り知れない。情報化が進めば進むほど便利になる反面,困った問題が生じてくるのは一般的な技術進歩に共通する悩みである。そのような悩みの一つに,事故や災害などでコンピュータシステムが止まってしまって仕事が遂行できなくなる事態や,コンピュータ犯罪の発生やプライバシー情報の漏洩という社会的な影響が大きいトラブルがある。
システムが停止してしまったら想像以上のダメージを受けることは、阪神大震災での生産活動に与えた影響や、2002年の銀行の統合システムがダウンして多くの企業活動が数日にわたって停止してしまった事件でもわかる。しかも、ウイルスのように一企業内だけの問題ではなくネットワークを通じて関連するすべての企業に被害をもたらすことになる。
このような様々な観点から企業や自治体および各種団体の情報システムについて、その問題点を指摘し改善提案をするひとが「システム監査人」といわれる技術者である。
注意したいことは「監査は後ろ向き」の対策ではないということである。「システム監査」は「悪い点を指摘する」ことが目的でなく、一歩進んで「どうすればよいかを提言する」ことが目的である。今後の情報化の普及につれ、益々多くの企業で重要な役割を担うものである。
2.システム監査とは
(1)システム監査の目的
2004年改訂のシステム監査基準によると、システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な監査人が検証または評価することによって、保障を与えあるいは助言を行い、
もってITガバナンスの実現に寄与すること(前文より)
(2)リスクコントロールの目的
情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。
@ 戦略目標の達成への貢献 情報システムが、組織体の経営方針および戦略目標の実現に貢献するため
A 安全、有効かつ効率的な機能
情報システムが、組織体の目的を実現するよう安全、有効かつ効率的に機能するため
B 情報の信頼性確保
情報システムが、内部または外部に報告する情報の信頼性を保つように機能するため
C 法令遵守
情報システムが、関連法令、契約または内部規程等に準拠するため
3.システム監査基準とシステム管理基準
システム監査基準(平成16年改訂)システム監査基準は、2004年に改定されてシステム監査基準とシステム管理基準とに分かれた。システム監査基準は監査人の行為規範であり、システム管理基準は監査を行う上での実践規範である。
(1) システム監査基準とその構成
システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。その内容は、一般基準、実施基準、報告基準から構成される。
@ 一般基準は、監査人としての適格性および監査業務上の遵守事項を規定したもので、目的、権限と責任、専門能力、業務上の義務、品質管理などがある。
A 実施基準は、監査計画の立案および監査手続きの適用方法を中心に監査実施の枠組みを規定したもので、監査計画の立案、監査の手順、監査の実施、監査業務の体制、他の専門職の利用、情報セキュリティ監査などからなる。
B 報告基準は、監査報告に係わる留意事項と監査報告書の記載方式を規定したものである。監査報告書の提出と開示、監査報告の根拠、監査報告書の記載事項、監査報告に基づく改善指導などからなる。
(2)システム管理基準とその構成
システム管理基準は、組織体が主体的に経営戦略に沿って効果的な情報システムを立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。
参考文献
「システム監査技術者合格完全対策2005年版」梅津尚夫編著、経林書房、定価本体3800円
「システム監査過去問題&分析2005年版」梅津尚夫編著、経林書房、定価本体4900円 |
トップページへもどる