システム監査基準 意訳(姉訳?)

2013年4月17日 / posted in 勉強 / 1 Comment

システム監査基準 意訳(姉訳?)

 

I 前文

いま、あなたが生きてるこの時代の情報システムっていうのはさ、、えっと、ここでいうのは「組織における情報システム」っていう意味なんだけど、これはもうただのツールなんかじゃなくて、組織のやりたいこと(たとえば企業であれば、それは経営戦略)を実現するための重要なインフラっていうか、つまり、なくてはならないものになってます。もう情報システムが無かったらビジネスにならないよね。さらにそれだけじゃなくて、その情報システム同士が連携したりしてるわけで、つまり繋がって大きくなってきてるから、組織だけじゃなくて社会全体にとっても重要なものになってきたの。でも、その一方で、情報システムそのものも、いろいろな種類があって、複雑すぎて、もうわけがわからないよ、って状態になりつつあるんだよね。だから、情報システムにかかわる人、たとえば作る人だったり、使う人だったり、管理する人だったりいろいろいるけれど、もうそれは組織の中だけじゃなくて、組織の外にも存在していて、つまり簡単に言うと、利害関係者は自分の組織だけじゃなくって組織外っていうか、社会全体に広がっちゃってる状態ってわけ。なので『誰かの組織の情報システムがこわれた』『システムがハックされた』みたいないったひどいことになると、その組織に対してだけじゃなくて、社会にも大きな影響を与えちゃう。だから、そういうものから情報システムを守るためにきちんとコントロールすることがとっても大事!っていうことに、みんな気が付き始めた、ってわけ。
システム監査って言葉は、なんだかとても難しそうだけど(『監査』って言葉には、なんだか威厳や威圧みたいなものを感じるよね)、でも実はそんなに難しいものじゃなくて、さっき言ったみたいな『情報システムがこわれたりハックされたり』といった可能性、つまり『リスク』ってことなんだけど、そのリスクに対して、「はい、ここんちはきちんとやってますよー」っていうことを認めてあげるための、とても良い方法なの。もしくは、組織が自分のところのシステム監査を実施するってことは、その組織が目指すITのあり方みたいなものの実現にすごく役に立つし、利害関係のある人に対して、「私たちはこうやってきちんとやってますよー」っていう説明責任を果たすことにもつながるんだよね。

なんで組織がリスクに対するコントロールを整備したり運用したりするのかっていうと、こんな感じ。

・情報システムが、組織のやりたいことのを実現するのに役立つため
・情報システムが、安全で有効で効率よく機能するため
・情報システムが、外部への信用をなくさないため
・情報システムが、法律やルールをきちんと守るため

このシステム監査基準はね、上手にシステム監査をするための「監査人の行動規範」なんだ。行動規範って言うのを説明するのはとても難しいけど、「どうあるべきかを述べているもの」、って感じかな。だからこの基準では、あなたがシステム監査人としてどうあるべきが書いてあると思ってもらえばいいかな。そして、この監査基準では、監査人とはどうあるべきかってことや、業務上守るべきことを規定した「一般基準」、監査計画の立て方やその進め方とか、監査の枠組みを規定する「実施基準」、報告のしかたや報告書の書き方を規定した「報告基準」の3つからできてます。ちょっと難しいかな?がんばってついてきてね。
このシステム監査基準は、組織が自分たちに対して行う内部監査のときだけでなく、外部者に依頼する監査でも使っていいし、情報システムに保証をつける目的の保証型監査でも、助言行うだけの助言型監査でも使ってもらっていいんだよ。

システム監査を実施するとき、その状態が適切かどうかを判断するための尺度があったほうが良いよね。ていうかないと困るし。だから、このシステム監査基準の姉妹編にシステム管理基準ってのも作っといたので、そっちを見ながらそれに準拠してるかどうかっていう風にやることを原則とします。だけど、この監査基準自体は、それとは独立しているので、管理基準に準拠しない形のシステム監査でも全然使ってもらって構わないからね。

 

II システム監査の目的

システム監査の目的っていうのは、組織体のシステムにまつわるリスクに対するコントロールが、リスクアセスメントに基づいてちゃんとやってるかかどうかを、えーとここでいうやってるかっていうのは、ちゃんとやれる状態なのか(整備されているか)、正しくやっているか(運用されているか)、っていうことを、独立的で専門的な立場のシステム監査人がチェック(検証・評価)することで、保証したり助言をしたりして、ITガバナンスの実現を助けてあげることを言います。

 

III 一般基準

 

1.目的、権限と責任

システム監査を実施するときの目的とか対象範囲とか、システム監査人の権限とか責任みたいなもの、つまり要するにどこまでどれくらいやるのかっていうことは、きちんと文書化された規定とか契約書みたいなもので明確に決めておかないとだめです。テキトーにやってはいけません。

 

2.独立性、客観性と職業倫理

2. 1外観上の独立性

システム監査人は、システム監査を客観的に実施しなきゃいけないので、監査対象から独立していなければだめです。監査の目的によっては、監査を受けるシステムや組織と仲良しで(利害関係を有して)はだめです。たとえば、監査の目的によっては、中の人が監査をやるのはだめなときがあったりする、ってことです。

2.2 精神上の独立性

 システム監査人は、システム監査の実施のときは、思いこみやひいき目をもたずに、いつも公正で客観的な監査判断をしないとだめです。浪花節とかだめだよ、絶対。

2.3 職業倫理と誠実性

システム監査人は、職業倫理に従って、誠実に業務を実施しなくちゃだめです。マジメにやってね。

 

3.専門能力

システム監査人は、適切な教育と実務経験を通じて、専門職としての知能及び技能を持っていなければだめです。勉強怠らないように、向上心を忘れないようにね。

 

4.業務上の義務

4.1 注意義務

 システム監査人は、専門職として、自覚を持って注意深く業務を実施しなければだめです。プロなんですから。

4.2 守秘義務

 システム監査人は、監査の業務上、結果的に知ってしまった秘密を、正当な理由なく他に開示したり、自分の利益のために利用してはだめです。あたりまえです。

 

5.品質管理

システム監査人は、監査結果の適正さを確保するために、ちゃんとした品質管理を行わなければだめです。自信があるのは良いことだけど、独りよがりにならず、客観的な評価も受けようね。

 

IV 実施基準

 

1.監査計画の立案

システム監査人は、実施するシステム監査の目的を、うまいこと達成するために、監査手続きの内容や時期や範囲について、ほどよい監査計画を考えなければだめです。監査計画は、事情に応じていつも修正できるように、弾力的に(柔軟に)運用しないとだめです。計画は実現可能な範囲で、でも計画がすべてじゃないよ。

2.監査の手順

システム監査は、監査計画に基づいて、予備調査、本調査、評価の結論という手順で実施しなくちゃだめです。これはもうお約束。

3.監査の実施

3.1 監査証拠の入手と評価

 システム監査人は適切に慎重に監査手続きを実施して、保証や助言などの監査結果を裏付けるのに、十分で適切な監査証拠を入手して評価しないとだめです。監査証拠集めが大事だから、しっかりね。

3.2 監査調書の作成と保存

 システム監査人は、実施した監査手続きの結果とその関連資料を、監査調書として作成しないとだめです。その監査調書は、監査結果の裏付けとなるので、監査の結論にいたった過程がわかるように、わかりやすく記録して、きちんと保管しなくちゃだめです。監査の仕事は、ぶっちゃけ監査調書がすべてなので、わかりやすくを心がけて、なくさないように。

4.監査業務の体制

システム監査人は、システム監査の目的がうまいこと達成できるように、適切な監査体制を整えて、監査計画の立案から、監査報告書の提出、改善指導(フォローアップ)までの業務の全体をちゃんと管理しなくちゃだめです。目の前のことだけじゃなくて、全体も考えてね。

5.他の専門職の利用

システム監査人は、システム監査の目的を達成するうえで、必要であり適切だと判断される場合には、他の専門職による支援を考慮しないとだめです。自分だけではできないこともあります。そして、他の専門職による支援を受ける場合であっても、利用の範囲、方法、結果の判断等は、システム監査人の責任において行わないとだめです。できないことは詳しい人に頼むのは良いことです。でも判断は自分でしましょう。判断は人任せにはできません。

6.情報セキュリティ監査

情報セキュリティの監査をする場合は、原則として情報セキュリティ監査基準を活用する方が良いです。あっちの方が詳しいもん。

 

V 報告基準

 

1.監査報告書の提出と開示

 システム監査人は、実施した監査の目的にあった適切な形の監査報告書を作って、遅れることなく監査の依頼者に提出しないとだめです。監査報告書を外部へ開示する必要があるときは、システム監査人は監査の依頼者と、開示に方法をいっしょに考えてあげないとだめです。納期守って提出してね。でも、提出して、はいおしまい!ではありません。

2.監査報告の根拠

システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものじゃないとだめです。勘とかありえないからね。

3.監査報告書の記載事項

監査報告書には、実施した監査の対象、監査の概要、意見(保証または助言)、制約や除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係をちゃんと示して、システム監査人が監査の目的に応じて必要だ判断したことをわかりやすく記載しなければだめです。ちょっと堅苦しくなっちゃったけど、ここ結構大事だから、ゆるしてね。

4.監査報告についての責任

システム監査人は、監査報告書に書いてことについては、責任を負わないとだめです。知りません、では通りません。

5.監査報告に基づく改善指導(フォローアップ)

システム監査人は、監査の結果に基づいて必要な措置ができるよう、適切な指導をしないとだめです。命令でもなく指示でもなく、指導です。監査人はそんなに偉くありません。

 

 

 

 

 

 

 

 

 

< NO TAGS >

Comments (1)

  1. 11:32 PM, 2013年4月17日uraneko  / 返信

    後半雑だなあ……。

コメントを残す

Allowed Tags - You may use these HTML tags and attributes in your comment.

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Pingbacks (0)

› No pingbacks yet.