公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2009年12月31日木曜日

システムライフサイクル監査の監査観点

2009年最後のエントリーです。来年も当ブログを宜しくお願いします。

システムライフサイクルの監査には以下の要点項目があります。
    1. 情報戦略(経産省のみ大項目あり)
    2. 企画
    3. 開発
    4. 運用
    5. システム利用(FISCのみ大項目あり)
    6. 保守(FISCは大項目無し)
    7. 廃棄(FISCは大項目無し)

今回は、1.情報戦略 について監査観点のレベルまで「システム管理基準」(経済産業省)を参考に整理してみます。監査手続については2010年の課題にします。(笑)
  1. 全体最適化
    1. 全体最適化の方針・目標
      1. ITガバナンスの方針を明確にすること。
      2. 情報化投資及び情報化構想の決定における原則を定めること。
      3. 情報システム全体の最適化目標を経営戦略に基づいて設定すること。
      4. 組織体全体の情報システムのあるべき姿を明確にすること。
      5. システム化によって生ずる組織及び業務の変更の方針を明確にすること。
      6. 情報セキュリティ基本方針を明確にすること。
    2. 全体最適化計画の承認
      1. 全体最適化計画の立案体制は、組織体の長の承認を得ること。
      2. 全体最適化計画は、組織体の長の承認を得ること。
      3. 全体最適化計画は、利害関係者の合意を得ること。
    3. 全体最適化計画の策定
      1. 全体最適化計画は、方針及び目標に基づいていること。
      2. 全体最適化計画は、コンプライアンスを考慮すること。
      3. 全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
      4. 全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
      5. 全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明確にすること。
      6. 全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
      7. 全体最適化計画は、外部資源の活用を考慮すること。
    4. 全体最適化計画の運用
      1. 全体最適化計画は、関係者に周知徹底すること。
      2. 全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。
  2. 組織体制
    1. 情報システム化委員会
      1. 全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
      2. 委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
      3. 委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
      4. 委員会は、活動内容を組織体の長に報告すること。
      5. 委員会は、意思決定を支援するための情報を組織体の長に提供すること。
    2. 情報システム部門
      1. 情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
      2. 情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託等を考慮した体制にすること。
    3. 人的資源管理の方針
      1. 情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
      2. 人的資源の調達及び育成の方針を明確にすること。
  3. 情報化投資
    1. 情報化投資計画は、経営戦略との整合性を考慮して策定すること。
    2. 情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討すること。
    3. 情報化投資に関する予算を適切に執行すること。
    4. 情報化投資に関する投資効果の算出方法を明確にすること。
    5. 情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点に対して対策を講じること。
    6. 投資した費用が適正に使用されたことを確認すること。
  4. 情報資産管理の方針
      1. 情報資産の管理方針及び体制を明確にすること。
      2. 情報資産のリスク分析を行い、その対応策を考慮すること。
      3. 情報資産の効率的で有効な活用を考慮すること。
      4. 情報資産の共有化による生産性向上を考慮すること。
  5. 事業継続計画
      1. 情報システムに関連した事業継続の方針を策定すること。
      2. 事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
      3. 事業継続計画は、従業員の教育訓練の方針を明確にすること。
      4. 事業継続計画は、関係各部に周知徹底すること。
      5. 事業継続計画は、必要に応じて見直すこと。
  6. コンプライアンス
      1. 法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
      2. 遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
      3. 情報倫理規程を定め、関係者に教育及び周知徹底すること。
      4. 個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
      5. 法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること
2010年につづく。

0 件のコメント:

コメントを投稿