システム監査基準(平成30年)では、監査計画の策定に当たり、監査対象として考慮する項目を、情報システムの“ガバナンス”、“マネジメント”、“コントロール”に関するものに分けて例示している。
情報システムの“マネジメント”に関するものを監査対象とする場合に、考慮する項目としているものはどれか。
ア | IT戦略と経営戦略の整合性がとらわれているか、新技術やイノベーションの経営戦略への組込みが行われているか。 |
イ | IT投資管理や情報セキュリティ対策がPDCAサイクルに基づいて、組織全体として適切に管理されているか。 |
ウ | 規定に従った承認手続きが実施されているか、異常なアクセスを検出した際に適時な対処及び報告が行われているか。 |
エ | 組織の業務プロセスなどにおいて、リスクに応じた統制が組み込まれているか。 |
答え イ
【解説】
ア | IT戦略と経営戦略の整合性がとらわれているか、新技術やイノベーションの経営戦略への組込みが行われているかは、ガバナンスです。 |
イ | IT投資管理や情報セキュリティ対策がPDCAサイクルに基づいて、組織全体として適切に管理されているかは、マネジメントです。 |
ウ | 規定に従った承認手続きが実施されているか、異常なアクセスを検出した際に適時な対処及び報告が行われているかは、コントロールです。 |
エ | 組織の業務プロセスなどにおいて、リスクに応じた統制が組み込まれているかは、コントロールです。 |
【キーワード】
・システム監査基準