システム監査とは
システム監査は、会計監査とは異なり、法的強制のない任意監査です。
その目的は、「情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資する」ことにあります。システムの運用において不正や欠陥があるかどうかだけでなく、そのシステムが組織に役立っているか、システムの構築や運用に無駄がないかなども監査の対象になります。すなわち、システムの企画からシステムの廃棄にいたるまで、システムのライフサイクル全体が監査対象です。
経済産業省「システム監査基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf)、「システム管理基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf)(昭和60年1月告示、平成16年10月改訂)は、システム監査の目的を次のように示しています。
- 組織体の情報システムにまつわる
(行政、民間を問わない。対象は情報システ全般
- リスクに対するコントロールが、
(機密性・一貫性・可用性・効率性・有効性などの管理)
- リスクアセスメントに基づいて
(リスクアセスメント:リスク評価→「システム管理基準」)
- 適切に整備・運用されているかを、
(整備・運用は被監査部門の任務)
- 独立かつ専門的な立場のシステム監査人が
(監査人は社外者あるいは情報システムの提供・利用部門外の監査部門などの専門家)
- 検証又は評価することによって、
(ルールが整備されているか、実践されているか)
- 保証を与えあるいは助言を行い、
(保証と助言の2つがある。報告先は監査依頼者(通常は経営者)。是正をするのは被監査部門)
- もってITガバナンスの実現に寄与することにある。
- システム監査基準
- 監査人が監査をするための基準です。監査人は被監査部門から独立していること、情報システムと監査に関する能力を持っていることなど、監査人に関する規程や、監査の方法、報告の方法などの基準が定められています。
- システム管理基準
- 監査の判断尺度として用いるべき基準で、経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用するための実践規範になっています。
システム管理基準の体系
- Ⅰ 情報戦略
1.全体最適化
2.組織体制
3.情報化投資
4.情報資産管理
5.事業継続計画
6.コンプライアンス
- Ⅱ 企画業務
1.開発計画
2.分析
3.調達
- Ⅲ 開発業務
1.開発手順
2.システム設計
3.プログラム設計
4.プログラミング
5.システムテスト・ユーザ受け入れテスト
6.移行
- Ⅳ 運用業務
1.運用管理ルール
2.運用管理
3.入力管理
4.データ管理
5.出力管理
6.ソフトウェア管理
7.ハードウェア管理
8.ネットワーク管理
9.構成管理
10.建物・関連設備管理
- Ⅴ 保守業務
1.保守手順
2.保守計画
3.保守の実施
4.保守の確認
5.移行
6.情報システムの廃棄
- Ⅵ 共通業務
1.ドキュメント管理
2.進捗管理
3.品質管理
4.人的資源管理
5.委託・受託
6.変更管理
7.災害対策