.
IT 監査人は、自分の仕事が組織にどのように価値をもたらすかについてビジネス コミュニティを教育することがよくあります。 内部監査部門には通常、組織内での役割について明確な観点を持って導入される IT 監査コンポーネントがあります。 しかし、IT監査人としての私たちの経験では、最大限の利益を実現するには、より広範なビジネスコミュニティがIT監査機能を理解する必要があります。 これに関連して、IT 監査によってもたらされる具体的な利点と付加価値の簡単な概要を公開します。
具体的には、IT 監査は、クライアント/サーバー システムとネットワーク、オペレーティング システム、セキュリティ システム、ソフトウェア アプリケーション、Web サービス、データベース、通信インフラストラクチャ、変更管理手順、災害復旧計画など、幅広い IT 処理および通信インフラストラクチャを対象とします。 。
標準的な監査の手順は、リスクの特定から始まり、次に統制の設計を評価し、最後に統制の有効性をテストします。 熟練した監査人は、監査の各段階で価値を付加できます。
企業は通常、テクノロジー管理を保証し、連邦または業界固有の要件への法規制の遵守を保証するために IT 監査機能を維持しています。 テクノロジーへの投資が増加するにつれて、IT 監査により、リスクが管理され、巨額の損失が発生する可能性が低いことが保証されます。 組織は、機能停止、セキュリティ上の脅威、または脆弱性の高いリスクが存在すると判断する場合もあります。 また、サーベンス オクスリー法などの規制遵守の要件や、業界に固有の要件が存在する場合もあります。
以下では、IT 監査人が組織に価値を加えることができる 5 つの主要な分野について説明します。 もちろん、技術監査の質と深さは付加価値を高めるための前提条件です。 計画された監査の範囲も、付加価値にとって重要です。 どのようなビジネス プロセスとリスクを監査するかに関する明確な権限がなければ、成功や付加価値を確保することは困難です。
IT 監査が価値をもたらすトップ 5 の方法は次のとおりです。
1. リスクを軽減します。 IT 監査の計画と実行は、組織内の IT リスクの特定と評価で構成されます。
IT 監査では通常、情報技術インフラストラクチャとプロセスの機密性、完全性、可用性に関するリスクがカバーされます。 追加のリスクには、IT の有効性、効率性、信頼性が含まれます。
リスクが評価されると、管理を通じてリスクを軽減または軽減するか、保険を通じてリスクを移転するか、単にリスクを運用環境の一部として受け入れるかなど、取るべき方針について明確なビジョンが得られます。
ここで重要な概念は、IT リスクはビジネス リスクであるということです。 重要な IT 運用に対する脅威や脆弱性は、組織全体に直接影響を与える可能性があります。 つまり、組織はリスクがどこにあるのかを把握し、それに対して何らかの措置を講じる必要があります。
監査人が使用する IT リスクのベスト プラクティスは、ISACA COBIT および RiskIT フレームワーク、および ISO/IEC 27002 標準「情報セキュリティ管理の実践規範」です。
2. 管理を強化します (およびセキュリティを向上させます)。 上記のようにリスクを評価した後、コントロールを特定して評価できます。 設計が不十分または非効果的な制御は、再設計および/または強化することができます。
ここでは、IT 管理の COBIT フレームワークが特に役立ちます。 これは、リスク軽減に役立つ 32 の制御プロセスをカバーする 4 つの高レベル ドメインで構成されています。 COBIT フレームワークは、管理目標、主要業績評価指標、主要目標指標、重要な成功要因など、情報セキュリティのあらゆる側面をカバーしています。
監査人は COBIT を使用して組織内の統制を評価し、IT 環境と組織全体に真の価値を加える推奨事項を作成できます。
もう 1 つの管理フレームワークは、トレッドウェイ委員会スポンサー組織委員会 (COSO) の内部統制モデルです。 IT 監査人はこのフレームワークを使用して、(1) 業務の有効性と効率、(2) 財務報告の信頼性、および (3) 適用される法律および規制の遵守についての保証を得ることができます。 このフレームワークには、制御に直接関係する 5 つの要素のうち 2 つ (制御環境と制御活動) が含まれています。
3. 規制を遵守します。 連邦および州レベルの広範な規制には、情報セキュリティに関する特定の要件が含まれています。 IT 監査人は、特定の要件が満たされ、リスクが評価され、制御が実装されていることを確認するという重要な役割を果たします。
サーベンス・オクスリー法(企業および刑事詐欺責任法)には、すべての上場企業に対し、上で説明したトレッドウェイ委員会のスポンサー組織委員会(COSO)の枠組みで定義されている内部統制が適切であることを保証するための要件が含まれています。 そのような要件が満たされていることを保証するのは IT 監査人です。
Health Insurance Portability and Accountability Act (HIPAA) には、管理、技術、物理という 3 つの分野の IT 要件があります。 これらの要件へのコンプライアンスを確保する上で重要な役割を果たすのは IT 監査人です。
さまざまな業界には、Visa や Mastercard などのクレジット カード業界における Payment Card Industry (PCI) データ セキュリティ標準などの追加要件があります。
これらのコンプライアンスおよび規制分野のすべてにおいて、IT 監査人が中心的な役割を果たします。 組織は、すべての要件が満たされていることを保証する必要があります。
4. ビジネス管理とテクノロジー管理間のコミュニケーションを促進します。 監査は、組織のビジネスとテクノロジー管理の間にコミュニケーションのチャネルを開くというプラスの効果をもたらす可能性があります。 監査人は、実際に何が起こっているかをインタビューし、観察し、テストします。 監査の最終成果物は、書面による報告書や口頭プレゼンテーションで得られる貴重な情報です。 上級管理職は、組織がどのように機能しているかについて直接フィードバックを得ることができます。
組織内のテクノロジー専門家は、上級管理者の期待と目標も知る必要があります。 監査人は、テクノロジー管理者との会議への参加や、ポリシー、標準、ガイドラインの現在の実施状況のレビューを通じて、トップダウンでこのコミュニケーションを支援します。
IT 監査は経営陣によるテクノロジーの監督における重要な要素であることを理解することが重要です。 組織のテクノロジーは、ビジネス戦略、機能、運営をサポートするために存在します。 ビジネスとそれをサポートするテクノロジーの連携が重要です。 IT 監査はこの連携を維持します。
5. IT ガバナンスを改善します。 IT ガバナンス協会 (ITGI) は次の定義を公開しています。
「IT ガバナンスは経営陣と取締役会の責任であり、企業の IT が組織の戦略と目標を維持し、拡張することを保証するリーダーシップ、組織構造、プロセスで構成されます。」
定義で言及されているリーダーシップ、組織構造、プロセスはすべて、IT 監査人が主要なプレーヤーであることを示しています。 IT 監査と全体的な IT 管理の中心となるのは、組織のテクノロジー環境に関する価値、リスク、および制御を深く理解することです。 より具体的には、IT 監査人は、アプリケーション、情報、インフラストラクチャ、人材といったテクノロジーの主要コンポーネントのそれぞれにおける価値、リスク、管理をレビューします。
IT ガバナンスに関する別の観点は、IT ガバナンス研究所のドキュメントでも説明されている 4 つの主要な目標のフレームワークで構成されています。
*IT はビジネスと連携しています *IT はビジネスを可能にし、利益を最大化します *IT リソースは責任を持って使用されます *IT リスクは適切に管理されます
IT 監査人は、これらの各目標が達成されていることを保証します。 それぞれの目標は組織にとって重要であるため、IT 監査機能においても重要です。
要約すると、IT 監査は、リスクの軽減、セキュリティの向上、規制の遵守、テクノロジーとビジネス管理間のコミュニケーションの促進によって価値を付加します。 最後に、IT 監査により、IT ガバナンス全体が改善および強化されます。
参考文献:
イサカ。 情報および関連技術の管理目標 (COBIT)。
ISO/IEC 27002 情報セキュリティ管理の実践規範。
トレッドウェイ委員会 (COSO) フレームワークのスポンサー組織委員会。
.
