|
システム監査の評価構造を構造化した場合、まず第一に、情報システムの目標を明確にすることにある。実体調査によれば、多くの組織体では、情報システムの安定稼働(信頼性、安全性)と有効利用(効率性)が情報システムの目標であることが判明した。この点はわが国の「システム監査基準」の目標と変わるところがない。
第二に、監査実施の時期であるが、情報システムの企画、開発、運用段階で監査を実施することになる。監査対象を調査したところ、企画段階の監査では、システム化方針、適用技術と将来動向、開発方法論と開発方法、投資費用と期待効果等が監査対象となることが判明した。開発段階の監査では、システムの基本及び詳細設計、プログラム開発、ユーザー参画によるシステムテスト、機能変更管理等が監査対象になることが判明した。運用段階の監査では、システムの運用手続、障害管理、システム資源管理、セキュリティ管理等が監査対象になることが判明した。これらの監査対象を評価項目ごとにブレイクダウンし、評定を付し、評価を実施することになる。
したがって、システム監査の評価構造を構造化する場合、企画、運用、開発段階ごとに、情報システムの目標を定め、監査を適切に組み合わせ、システムの評価を実施することが必要であることが判明した。
なお、これらの監査段階では特に企画、開発段階の監査が重視されるのであるが、調査では、企画、運用段階の監査においては、担当者は異なるにせよ、同一部門で実施されることが多く、監査の独立性が十分保たれていない可能性がある。この点については今後の検討課題となる。
|
