システム監査基準及びシステム管理基準の改訂

木曜日 , 26, 4月 2018 harakan Technology システム監査基準及びシステム管理基準の改訂 はコメントを受け付けていません

経済産業省が公表している「システム監査基準」「システム管理基準」が改訂されました。今回は約14年ぶりの大幅改訂になります。

 

「システム監査基準」及び「システム管理基準」の改訂について

http://www.meti.go.jp/policy/netsecurity/sys-kansa/h30kaitei.html

 

今回の改訂のポイントは大きく3点あります。

  • 従来のシステム管理基準においても、「ITガバナンス」の概念や業務継続計画について定めていましたが、その公開後、「ITガバナンス」についてのJISQ38500や業務継続についてのJISQ22301等の国際規格が成立したため、これらの国際規格との整合性をとるとともに、米国におけるITガバナンスの規格であり、国際的に影響力を有するCOBIT等の内容を踏まえた見直しを行いました。
  • 従来のシステム管理基準では、企画、開発、運用及び保守という概念を前提としたウォーターフォール型のシステム開発を前提としていましたが、短期間での反復した開発を行うアジャイル型のシステム開発における取扱いについても管理策として含め、また、クラウドの利用等を念頭に置いた、整理等の見直しを行いました。
  • 従来のシステム監査基準及びシステム管理基準は、項目の詳細についての説明がなく、運用において、各項目の内容を解説した資料を参照することが必要となっていたため、今回の見直しにより、システム監査基準には「主旨」及び「解釈指針」を、システム管理基準には「主旨」及び「着眼点」を併せて記載することにより、基準の記載内容に基づく運用が行いやすくなるよう見直しを行いました。また、システム監査基準において、実務への適用を踏まえて監査実施の流れに沿った構成の見直しを行いました。

IT投資に関するパートを抜粋引用します。

5. 情報システム投資の評価・指示・モニタ
3.情報化投資(6)
(1) 経営陣は、情報システム投資計画を経営戦略との整合性を評価して策定すること。
(2) 情報システム投資計画の決定に際して、経営陣は、影響、効果、期間、実現性等の観点から複数の選択肢を評価すること。
(3) 経営陣は、情報化投資に関する予算を適切にモニタしていること。
(4) 経営陣は、情報システム投資の方針及び確保すべき経営資源を明確にすることと、その投資状況及び経営資源の状況をモニタリングしていること。
(5) 経営陣は、情報システム投資に関する投資効果の算出及びリスク算定の方法を明確にしていること。
(6) 経営陣は、情報システムの全体的な実績及び個別プロジェクトの実績を財務的な観点からモニタリングして、問題点に対して対策を講じること。
(7) 経営陣は、投資した費用が適正な使用であったかについてモニタリング及び評価をすること

「執行」「評価」「確認」といった文言が「モニタリング」という文言で統一されているほか、「全体最適化計画」に関する記述が文書全体にわたって見直されています。

 

当社へのコンサルティングのご依頼はこちら

https://ssl.form-mailer.jp/fms/d1ea93ab330461

Facebookページはこちら

https://www.facebook.com/kletaassociates/