「システム監査基準」及び「システム管理基準」の改訂(2023年4月)
皆さん、こんにちは。
(株)マネジメント総研の小山です。
経済産業省が策定・公表している「システム監査基準」及び「システム管理基準」が、2023年4月26日に改訂されました。
「システム監査基準」には、システム監査人の行為規範や監査手続の規則として、監査人の独立性・客観性等に関する基準や監査計画・監査報告などの監査全般に関する基準が規定されています。
「システム管理基準」には、システム監査人の判断の尺度として、ITシステムの利活用のあるべき姿を示すIT戦略の方針や体制等のガバナンスに関する基準と開発・運用等のマネジメントに関する基準が規定されています。
今回、参照する国際基準の改訂や技術の進展に伴う状況の変化等を踏まえ、5年ぶりに改訂されました。いずれの基準も、構成が見直され、中身が更新・整理されました。
「システム監査基準」の構成概要は、以下のとおりです。
1.システム監査の意義と目的
2.監査人の倫理
(倫理に関して監査人が守るべき原則)
(1) 誠実性
(2) 客観性
(3) 監査人としての能力及び正当な注意
(4) 秘密の保持
3.システム監査の基準
(システム監査の属性に係る基準)
(1) システム監査に係る権限と責任等の明確化
(2) 専門的能力の保持と向上
(3) システム監査に対するニーズの把握と品質の確保
(4) 監査の独立性と客観性の保持
(5) 監査の能力及び正当な注意と秘密の保持
(システム監査の実施に係る基準)
(6) 監査計画の策定
(7) 監査計画の種類
(8) 監査証拠の入手と評価
(9) 監査調書の作成と保管
(10) 監査の結論の形成
(システム監査の報告に係る基準)
(11) 監査報告書の作成と報告
(12) 改善提案(及び改善計画)のフォローアップ
4.用語集
「システム管理基準」の構成概要は、以下のとおりです。
1.ITガバナンス編
(1) ITガバナンスの実践
(2) ITガバナンス実践に必要な要件
2.ITマネジメント編
(組織全体に係るプロセス)
(1) 推進・管理体制
(プロジェクト管理に係るプロセス)
(2) プロジェクト管理
(システムライフサイクルプロセス遂行に係るプロセス)
(3) 企画プロセス
(4) 開発プロセス
(5) 運用プロセス
(6) 保守プロセス
(7) 廃棄プロセス
(IT部門以外の部門のマネジメントとの関連が深いプロセス)
(8) 外部サービス管理
(9) 事業継続管理
(10) 人的資源管理
3.用語集
なお、今回の改訂に伴い管理等について、以下のとおり変更されました。
1.経済産業省
・原則(What)、趣旨、解釈指針、達成目標、管理活動の例等
>>「システム監査基準」、「システム管理基準」
2.日本システム監査人協会
・実施方法(How)、実施・書式の例、管理活動の着眼点(必要な観点や留意事項等)
>>「システム監査基準ガイドライン」、「システム管理基準ガイドライン」
原則部分は「システム監査基準」「システム管理基準」が、実践部分は「ガイドライン」が参考になりますので、必要に応じてそれぞれをご確認ください。なお、「ガイドライン」の方は2023年8月に公表される予定です。
▼システム監査制度(経済産業省)
https://www.meti.go.jp/policy/netsecurity/sys-kansa/