株式会社A&Aゲートウェイ > 企業価値向上のヒント
| シリーズ システム監査(1):プロローグ「システム監査のすすめ」 |
|---|
|
システム停止により業務遂行ができなくなるリスクや、機密情報・個人情報の漏えいに伴って発生する経済損失への対策は、今や企業経営における重要課題です。たとえ中小規模レベルの企業においても、情報システムへの依存度合いが高くなっている今日において、システム監査は不可欠なものになってきています。 このシリーズの記事が、システム管理基準への理解を深め、情報システムを対象とした監査に取り組むきっかけになれば幸いです。 システム監査の目的システム監査を行ったことのない監査部門の責任者が、経営者に何のためにシステム監査を行う必要があるのかを説明しようとする場合、「情報システムの様々なリスクについて適切に対処しているか総合的に点検・評価を行い、経営陣に報告することで、今後の事業運営の一助とする。」が簡潔で経営者の理解が得られやすいと思います。評価を行うということですから、判断尺度となる基準が必要となります。FISCの安全管理対策基準や、COBIT、ITIL、ISOなど、目的に応じて様々なフレームワーク(基準)が公表されていますが、はじめてシステム監査に取り組む場合は、幅広い領域をカバーしている経済産業省のシステム管理基準がもっとも適しているといえるでしょう。 システム管理基準の概要2018年4月に公表された経済産業省のシステム管理基準は、次のフェーズ毎に、「管理策」、「主旨」、「着眼点」で構成されています。Ⅰ.ITガバナンス Ⅱ.企画フェーズ Ⅲ.開発フェーズ IV.アジャイル開発 Ⅴ.運用・利用フェーズ Ⅵ.保守フェーズ Ⅶ.外部サービス管理 Ⅷ.事業継続管理 Ⅸ.人的資源管理 Ⅹ.ドキュメント管理 管理策は、全部で282項目ありますが、すべての項目を企業の要求事項(基準)とすることは適切ではありません。組織体制や情報システムの特性に応じて適宜取捨選択することが必要です。 また、この経済産業省のシステム管理基準には、AI、RPA、IoT、クラウドサービス等は含まれていませんので、他の基準やガイドラインから必要な項目を補完することも検討する必要があります。 次回は、このシステム管理基準を基に、監査にもセルフアセスメントにも利用できるチェックリストについてご紹介します。(次回に続く) ◇経済産業省「システム監査基準」及び「システム管理基準」へのリンク ・「システム監査基準」及び「システム管理基準」の改訂について ・システム監査基準(平成30年4月20日改訂) ・システム管理基準(平成30年4月20日改訂) ・システム管理基準骨子(平成30年4月20日) 2020-10-03 |