月刊監査研究2009年7月号に日本セキュリティ監査協会副会長の喜入博氏の論稿「情報システムの信頼性向上のための監査の役割」が掲載されていました。
情報システムの障害の動向と経済産業省の「情報システムの信頼性向上に関するガイドライン」の概要、同ガイドラインを活用した監査について説明されています。本稿は非常に具体的な監査作業手順まで解説されているだけではなく、内閣官房の「重要インフラ各分野の安全基準等」についても解説されています。
今回はIT監査のガイドラインについて書いてみます。
IT監査(システム監査)のガイドラインは多方面から提供されています。主なガイドラインと概要は以下のとおりです。
1.COBIT
12月3日のエントリーでも紹介したITガバナンスを中心としたフレームワークです。ITと経営の関係について広く浸透しています。他のガイドラインもCOBITを参考にしていると思われるものが多くあります。
計画と組織⇒調達と導入⇒サービス提供とサポート⇒モニタリングと評価という統制サイクルで構成されています。
2. 経済産業省のシステム管理基準(含、システム監査基準)
システムのライフサイクルの監査を中心に基準が示されています。日本では最も浸透している基準と思われます。http://www.meti.go.jp/policy/it_policy/press/0005668/0/041008system.pdf
情報戦略⇒企画業務⇒開発業務⇒運用業務⇒保守業務の統制サイクルに加え、災害対策を含む
共通業務で構成されています。
3.金融機関等のシステム監査指針
金融情報システムセンターが提供するシステム監査指針です。具体的な監査手続きについてhttp://www.fisc.or.jp/publication/disp_target_detail.php?pid=188
システムのライフサイクルだけではなく情報セキュリティー等広範囲を網羅しています。チェック項目もかなり具体的です。
4.財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について
日本公認会計士協会が提供するJ-SOX向けの情報システムの監査指針です。財務報告に関わるITの監査が対象です。http://www.hp.jicpa.or.jp/specialized_field/images/00051-000043.pdf
ITに関する監査手続きの具体例にはCAAT(コンピュータ支援監査技法)についても言及されています。
上記の4つはそれぞれ重点を置いているところがフレームワークであったり、監査観点であったり、監査手法であったりしますが、共通する点も多くあります。いくつかに目を通しておくことでIT監査のポイントが見えてくるかも知れません。
公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。
0 件のコメント:
コメントを投稿