株式会社A&Aゲートウェイ > 企業価値向上のヒント
| シリーズ システム監査(2):弊社が提供するシステム監査チェクリスト | ||||
|---|---|---|---|---|
システム監査チェックリストの特長弊社が提供する「システム監査チェクリスト」(以下、チェックリスト)には次のような特長があります。特長1:評価結果が自動的にグラフで表示される!
チェックリストに基づき評価すると、自動的に結果がグラフで表示され、基準への適合状況を容易に把握することができます。小規模な組織や幅広い業種を対象としていることの他に、日本で策定された基準なので、外国基準の直訳と比べて日本人には分かりやすいというメリットがあります。 特長3:監査部門にシステムの専門的能力が無くても利用できる!
システム管理基準は2018年の改訂で、「行うことが望ましいこと」、「留意すべきこと」として「着眼点」が新たに加えられました。情報システムの管理能力や診断能力が無くても容易に使えることを意図してのものです。この長所をチェックリストはそのまま受け継いでいるので、監査部門に情報システムに関する専門的能力がなくても容易に使うことができます。チェックリストの概要想定している組織対象となる組織は、独立した情報システム部門と監査部門があることを想定しています。情報システムは他部門が兼務している場合や、CIOを任命していない場合のように、想定と異なる組織の場合は、適宜読み替えて使用してください。チェックリストのイメージ
全体の流れ全体の流れは次のとおりです。準備作業のA、B、C、評価作業のD、Eは、それぞれの解説に対応しています。 準備作業(チェックリストのカスタマイズ) |
| この作業はCIO (あるいは情報システム部門)と監査部門が協同で行うことを想定しています。 |
A 組織の状況の把握
要求事項の明確化
組織が独自のシステム管理基準を定めている場合もあれば、まったく定めていない場合もあると思われます。いずれの場合でも、まずは組織としてどの程度のシステム管理を要求するのか明確にします。この作業はCIOの役割を担う人が行います。情報システム部門が実作業を支援・代行するケースも多いと思われます。システム管理基準の管理策レベルで組織として要求するか、しないかを明確にし、その結果を「適否」の欄(イメージでは非表示)に〇×で記入します。
「対象組織の状況」の記入
組織で定めている役職等の名称とシスステム管理基準の名称が異なる場合は、読み替えが必要となることを記入します。読み替えの例:CIOは経営陣と読み替えるetc
システム管理基準の管理策で、「定める」、「文書化する」などとなっている規定に対し、整備途中のものがあれば、その旨を記入します。
B 評価対象フェーズの選択
フェーズは次に示すⅠからⅩで構成されています。Ⅰ.ITガバナンス
Ⅱ.企画フェーズ
Ⅲ.開発フェーズ
IV.アジャイル開発
Ⅴ.運用・利用フェーズ
Ⅵ.保守フェーズ
Ⅶ.外部サービス管理
Ⅷ.事業継続管理
Ⅸ.人的資源管理
Ⅹ.ドキュメント管理
監査目的や組織の特性に合わせて、評価対象となるフェーズを取捨選択します。例えば、アジャイル開発を行わないという場合は、Ⅳを対象から除外します。
C 管理策の選択
監査目的や組織の特性に合わせて、評価対象となる管理策を取捨選択します。例えば、システム開発をすべて外部委託するような場合は、開発フェーズの該当の管理策を対象から除外します。評価作業
D 着眼点実施状況の評価
| この作業は情報システム部門が行うことを想定しています。2年目以降も継続してチェックリストを使用される場合は、最後の「2年目以降のチェックリストの使い方」を参考にしてください。 |
「着眼点実施状況」の記入
プルダウンメニューから、「はい」はY、「いいえ」はNを選択して、記入します。着眼点は「することが望ましい」助言的要素も含まれています。必要に応じて「管理策」や「主旨」を参考にします。「はい」・「いいえ」の判断に迷うようであれば、「どちらかといえば」で判断して差し支えありません。業種、情報システムの特性等によって適用しないという判断もあり得ます。ユーザ部門が所管で、情報システム部門では承知していなケース等もありうるので、「Y」、「N」の他に、「NA」(対象外)も選択肢として用意しています。
「コメント」の記入
列幅が広くならないよう、情報システム部門と監査部門の共有としています。情報システム部門が記入するのは次のようなケースです。・要求事項の規定が策定途上にある場合
・要求事項に変わる適切な補完措置が講じられている場合
・要求事項は満たしていないけれども、当分の間は例外扱いで、問題なしと評価する場合
E 管理策の評価
| この作業は監査部門が行うことを想定しています。 |
「管理策の評価」の記入
プルダウンメニューから、「達成していない」はN、「部分的に達成している」はP、「おおむね達成している」はL、「十分達成している」はFを選択して、記入します。この結果がグラフで自動表示されます。評価の目安として、次のとおり数字も示しています。
N - 達成していない(0-15%)
P - 部分的に達成している(15-50%)
L - おおむね達成している(50-85%)
F - 十分達成している(85-100%)
小項目はY/N、中項目はN/P/L/Fで評価する方法は、数値区分を含めITガバナンス/ITマネジメントの国際的フレームワークであるCOBITのセルフアセスメントに倣っています。
評価の方法については、後述の「管理策の評価方法」をご覧ください。
「コメント」の記入
情報システム部門と監査部門共用の記入欄なので、どちらが記入したか分かるよう、監査部門は赤字とするなど色を変えて記入します。監査部門の場合、コメント欄には、現地での観察、対象部門へのインタビュー等の結果を記入します。報告書に記載すべき重要な発見事項も記入しておき、監査報告書作成時の参考にします。
管理策の評価方法
管理策の評価は、情報システム部門によるセルフアセスメント、ドキュメントレビュー、現地での観察、対象部門へのインタビュー等の結果を総合的に勘案して、「達成していない(N)」、「部分的に達成している(P)」、「おおむね達成している(L)」、「十分達成している(F)」のいずれであるかを判定します。最終的には評価者の判断によりますが、評価プロセスの一例を次に示します。|
1 原則として、情報システム部による着眼点のセルフアセスメントを尊重して管理策の評価を行う。必要に応じてエビデンスの確認を行う。 2 管理策が意図するところを斟酌して対策を講じているかどうかで評価を行う。 3 管理策と密接に関連する着眼点の評価がNの場合、管理策の評価はNとする。着眼点全体で管理策の実施が担保される場合は、着眼点全体の実施状況で管理策を評価する。また、管理策を評価する情報として着眼点だけでは確証が持てない場合は、インタビュー等で適宜補う。 4 組織として文書化が必要と判断した規定等が策定途上にある場合は、Pと評価する。 5 管理策実施のエビデンスが確認できなかったものはL、エビデンスが確認できたものはFとする。 6 最終的な評価は、情報システム部による着眼点のセルフアセスメント、業務の観察状況、インタビュー結果、他の監査人の意見等を参考に、監査部門長が総合的な観点から評価を行い、情報システム部長との意見交換を経て決定する。 |
2年目以降のチェックリストの使い方
このチェックリストは、はじめてシステム監査を行う企業の利用を想定しています。一度はしっかり確認してほしいとの考えから、情報システム部門による着眼点レベルからの点検としていますが、2年目以降はアレンジしてご利用頂くことも可能です。例えば、管理が一定レベルに到達したと見込める場合は、情報システム部門も「管理策の評価」欄を使ってセルフアセスメントを行う方法があります。
この場合、監査部門も情報システム部門と同じ「管理策の評価」を行うので、監査部門用に欄を追加して使うことになります。監査部門は独立したアセッサーの立場でその妥当性を検証します。
以上、チェックリストは、このような使い方を想定して作成したということを書き連ねました。参考にして頂ければ幸いです。
2020/12/15加筆修正
システム管理基準を、それぞれの企業の実情に合わせてチェックリスト化するだけの余力がない企業も多いと思います。ご要望に応じて対応できますので、お問合せフォームからご照会ください。お問合せフォームはこちら
2020-10-10