« システム監査の小論文試験対策の準備 | メイン | AU試験とシステム監査基準について »

2006年1月29日

システム監査の品質保証について

「システム監査の品質を確保し高めるための取り組み」について

こっくんさんの質問の要旨

設問ウの「システム監査の品質を確保し高めるための取り組み」で、 システム監査基準を列記しようと考えています。

そこで質問です。
システム監査基準(またはシステム管理基準)を記述する場合、 原文に忠実に書いたほうがベターですか。
それともイのあたりに基づいて、相当アレンジしたほうがいいですか。 ”程度”を教えてください。

結論

 「システム監査基準」「情報セキュリティ監査基準=報告書ガイドライン=」 を中心にすえつつ、不足している部分を他のスタンダードな規格で補うと良いでしょう。 まずは中心とすべき内容を列挙しておきましょう。

旧システム監査基準のなかでの重要点
 

システム監査基準のなかで重要な点を列挙します。使える部分は使いましょう

        
  • 1.II 用語の定義(2)システム監査人:次の知識及び能力を有し、システム監査に従事する もの①情報システムの基本知識、②システム監査の知識、③システム監査実施能力、④システム監査の実施 にあたっての関連知識
  •   
  • 2.V 一般基準 1体制:組織体はシステム監査が適切に実施できる体制 を整備すること

これらは、監査の品質確保のために監査人に要求するべき資質や体制を論述するときに便利です。

システム管理基準
 

システム管理基準にも重要な項目が掲載されて入ります。これをシステム監査の品質確保に 応用すると良いでしょう。

        
  • 4.3 教育訓練
  •   
  • (1)教育訓練に関する計画やカリキュラムは人的資源管理の方針に基づいて作成、見直すこと
  •   
  • (2)教育訓練に関する計画やカリキュラムは技術の向上、業務知識の習得、情報システムの情報セキュリティ 確保から検討すること
  •   
  • (3)教育訓練は、計画やカリキュラムに基づいて定期的かつ効果的に行うこと
  •   
  • (4)要員に対するキャリアパスを確立し、業務環境及び情報環境の変化に対応した見直しを行うこと

これらは、本来、被監査組織に適用すべきものですけれど、監査組織を監査する という観点で利用できます

品質保証の国際規格

 ISO9000、品質保証の国際規格を引用すると次のようなことが書いてあります。

        
  • 4 品質マネジメントシステム 4.1 一般要求事項
  •   
  • 組織は、品質マネジメントシステムを確立し、文書化し、実施し、かつ、維持すること。その品質 マネジメントシステムの有効性を継続的に改善すること。
  •   
  • a)品質マネジメントシステム(Quality Management System)に必要な手続きを明確にすること。b)手順の順序と相互関係を明確にすること。
  •   
  • c)これら手順の運用、監視を支援するためのリソースや情報の利用を確実にすること、d)これらのプロセス を監視、測定、分析すること、e)継続的改善の仕組みを確保すること。

 QMSでは他にも重要なことを多くのべていますから、QMSの規格を一度、目を通すことをお勧めします。

 また、問題文の最後に「また、システム監査の品質確保の状況について、経営者や第三者 に明確に説明できるようにしておくことも大切である」とあるので、体系的な品質保証体制を 構築しておくことが必要でしょう。

 回答になっていますでしょうか。

(c)有限会社アイ・リンク・コンサルタント



投稿者 kato : 2006年1月29日 17:06