公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2010年1月18日月曜日

運用(システムライフサイクルの監査)のチェックリスト

システムライフサイクルの監査/運用/

今回はシステムライフサイクルの「運用」のチェックリストの作成に挑戦します。引き続き、チェックの観点は「ここから始めるIT監査」(社団法人日本内部監査協会編)によるものです。

  必要な統制

  1. 運用オペレーションマニュアル
    1. 運用スケジュール
    2. 運用手順・運用管理ルール
    3. 入出力データの管理手順、管理方法
  2. オペレーションの記録
  3. システムの稼動記録
  4. 障害記録
  5. プロジェクト報告書
  6. プロジェクト管理のデータベース

  チェックリスト

  1. 運用管理
    1. 運用オペレーション・マニュアルが作成され、運用スケジュール、運用手順が明確にされているか
      • 運用オペレーション・マニュアルの存在を確認
      • 運用オペレーションマニュアルに運用スケジュール、運用手順が明記されていることを確認
    2. 処理の優先順位、実行時期等を考慮して処理スケジュールが作成されているか
      • 運用オペレーション・マニュアルの運用スケジュールに優先順位や実行時期に関する情報が記載されていることを確認
    3. オペレーションは、運用スケジュール、オペレーション指示書にしたがって行われているか
      • オペレーション記録を確認し、オペレーションが、運用スケジュール、オペレーション指示書にしたがっていることを確認
    4. 例外処理のオペレーション、オペレーターの交替、オペレーション記録の保管は、運用管理ルールに基づいて実施されているか
      • オペレーション記録を確認し、例外処理のオペレーション、オペレーターの交替が運用管理ルールに基づいていることを確認
      • オペレーション記録が運用管理ルールに基づいて保管されていることを確認
    5. 入出力データの管理手順、管理方法が明確になっているか
      • 運用オペレーションマニュアルに入出力データの管理手順、管理方法が記載されていることを確認
    6. システムの稼動実績を把握し、性能を管理しているか
      • システムの稼動記録が存在することを確認
      • 稼動記録に性能の管理項目があることを確認
    7. 障害・災害発生時の業務処理・対応策、復旧手順・復旧作業、連絡・運用体制が明確にされているか
      • 運用オペレーションマニュアルに障害・災害発生時の対応が記載されていることを確認
    8. 定期的に障害発生状況の分析を行い、再発防止策が図られているか
      • 障害記録の存在を確認
      • 運用管理部署のミーティング記録を確認し、障害発生状況の分析と再発防止策の検討が実施されていることを確認
  2. プロジェクトの評価
    1. 開発されたシステムの提供機能に対する評価が実施されているか
      • プロジェクト報告書に開発されたシステムの提供機能に対する評価の記載があることを確認
    2. システム投資に対する効果の観点から評価が実施されているか
      • プロジェクト報告書にシステム投資に対する効果の評価が記載されていることを確認
    3. 品質管理、進捗管理、コスト管理等プロジェクトの運営の観点からの評価が実施されているか
      • プロジェクト報告書に品質管理、進捗管理、コスト管理等プロジェクトの運営の観点からの評価の記載があることを確認
    4. 開発期間、開発工数、開発コスト等の数値データが収集され、計画と実績との差異分析が行われているか
      • プロジェクト報告書に計画と差異分析結果の記載があることを確認
    5. 評価結果からの教訓等がデータベース化され、以後のプロジェクトでの、参考値として容易に利用可能となっているか
      • プロジェクト管理のデータベースに教訓等の情報が登録され、参照可能であることを確認

特に運用については、記録等、管理するための仕組みが構築されていないと監査が難しいと感じました。
次回は、「保守」と「廃棄」です。

0 件のコメント:

コメントを投稿