可監査性
Translate to English : (Yahoo!)/ (Google)/ (Microsoft)水曜日 4 18, 2007
こんにちは。(いつも、こんにちはばかりですみません。なんか良い出だしの文句ありましたらご教授下さい。)
さてさて、今日は「可監査性」っということでちょっくら書きたいと思います。
以前より RAS(Reliablity,Availability,ServiceAbility)ってことで、情報システムを選択する際には信頼性、可用性、保守性が指標としてあがっていましたが、昨今の世の中の流れとしては、
な感じですので、今後は「可監査性」(Auditablility)も選択する為の指標として注目されるようになってくるのかなっと思います。kimimasa's blog : UTMからヒントを得たネタ「まとめたほうがいいものはまとめよう!!」
- 内部統制がこれほどまでに声高に叫ばれ
- 企業のITガバナンスへの取り組みが活発化して
- 通称JSOX法の適用開始が1年後に迫った
なぜか??
- だって内部統制報告書を書くには情報システムを評価・監査しなきゃいけないから。
- だって情報システムをきちんと評価・監査するのには時間と手間がかかるから。
可監査性とは、「処理の正当性や内部統制を効果的に監査できるように,情報システムが設計・運用されていること。」と言われています。情報処理技術者試験にもよく出題されているようです。
まー、言ってしまえば、「やった処理やアクセスした人ややった人がチェックできるような情報システムなの??」ってことになるかと思いますが、ポイントは「効果的に」ですね。
なぜ効果的に実施する必要があるかというと、やはり時間と手間の問題が大きいと思います。
時間と手間がかかるということはすなわちコスト(お金)がかかるということです。 でも、それだけではすみません。時間と手間がかかる作業では、
- その作業の正確性が低下するおそれがあります。(例えば、10分間計算問題を解くのと、2時間計算問題を解くのでどちらが正解率は高いでしょうか。)
- 同時に作業に時間がかかることで、評価・監査をする際に重要な適時性が損なわれてしまいます。(例えば、2時間のイベントで入場者数を数えるのに、3時間かかっていたら意味ないですよね。)
では、効果的に監査を実施できるように情報システムを設計・運用するにはどうすればよいのでしょうか。
- 監査を実施することを想定しないで構築された既存のシステムやパッケージソフトに監査の機能を作り込むのがよいでしょうか。
- 監査を実施することを想定した上で設計を行い構築する、あるいは監査を実施することを想定して設計されたパッケージソフトを導入するのがよいのでしょうか。
既存のシステムや監査を想定していないソフトに新たに監査機能を付加していくことは、無理や無駄が発生する可能性が高いです。また、新たにプログラムの作成することで、そのプログラムの正確性や有効性などの評価も必要になってきます。
っということで、結論としては、
「監査を実施することを想定して設計されたパッケージソフトを導入することが、情報システムの可監査性を向上されるには非常に有効である。」
となります。
最後に、Sun が持つ「監査を実施することを想定して設計されたパッケージソフト」をご紹介致します。 _kimimasa
Like this post?
|
|
|
|
|
|
|
|
