ISACA パブコメ IT Assurance Framework (ITAF)

　こんにちは、丸山満彦です。ISACAから、 IT Assurance Framework (ITAF) のドラフトが公開されています。監査基準と監査ガイドラインのようなものです。日本でも、経済産業省が作成にかかわった、システム監査基準や情報セキュリティ監査基準がありますが、さらに詳細なガイダンスも含まれています。。。

　
【ISACA】
・2007.08.13 IT Assurance Framework (ITAF) - Exposure Draft
・・ITAF Exposure Draft

目次です。。。
＝＝＝＝＝
Section 1000—Information Technology Assurance Framework
1100—ITAF Introduction
1200—Use of the IT Assurance Framework and Standards

Section 2000—IT Assurance Standards
2100—Introduction and Use
2200—General Standards
2400—Performance Standards
2600—Reporting Standards

Section 3000—IT Assurance Guidelines
3100—Audit and Assurance Guidelines—Introduction and Use
3200—Enterprise Topics
　3210 Implication of Enterprisewide Polices, Practices and Standards on the IT Function
　3230 Implication of Enterprisewide Assurance Initiatives on the IT Function
　3250 Implication of Enterprisewide Assurance Initiatives on IT Assurance Plans and Activities
　3270 Additional Enterprisewide Issues and Their Impact on the IT Function
3400—IT Management
　3410 IT Governance (Mission, Goals, Strategy, Corporate Alignment, Reporting)
　3412 Determining the Impact of Enterprise Initiatives on IT Assurance Activities
　3415 Using the Work of Other Experts in Conducting IT Assurance Activities
　3420 IT Project Management
　3425 IT Information Management
　3430 IT Department Plans and Strategy (Budgets, Funding, Metrics)
　3450 IT Processes (Operations, HR, Development, etc.)
　3470 IT Department Addressing and Managing Risk
　3490 IT Support of Regulatory Compliance
3600—IT Audit and Assurance Processes
　3610 IT Assurance Guide: Using COBIT
　3630 Auditing IT General Controls (ITGC)
　3650 Auditing Application Controls
　3653 Auditing Traditional Application Controls
　3655 Auditing Enterprise Resource Planning Systems
　3657 Auditing Alternative Software Development Strategies
　3670 Auditing With Computer Assisted Audit Techniques
　3690 Selecting Items of Assurance Interest
3800—IT Audit and Assurance Management
　3810 IT Audit and Assurance Function
　3820 Planning and Scoping—IT Audit and Assurance Objectives
　3830 Planning and Scoping the IT Audit and Assurance Work
　3840 Managing the IT Assurance Process Execution
　3850 Integrating the Audit or Assurance Process
　3860 Gathering Evidence
　3870 Documenting IT Audit and Assurance Work
　3875 Documenting and Confirming IT Assurance Findings
　3880 Evaluating Results, Developing Recommendations
　3890 Effective IT Audit and Assurance Reporting
Section 4000—IT Assurance Techniques (Details provided in section 3000 in illustrative techniques and to be further developed.)
4100—Introduction and Use
4200—Enterprise Topics
4400—IT Management
4600—IT Audit and Assurance Processes
4800—IT Audit and Assurance Management
Glossary

基準の部分
＝＝＝＝＝
Section 2200—General Standards
• Independence and objectivity
• Reasonable expectation
• Management’s acknowledgement
• Training and proficiency
• Knowledge of the subject matter
• Due professional care
• Suitable criteria.
• Available criteria
• Selection of criteria
Section 2400—Performance Standards
• Planning and supervision
• Obtaining sufficient evidence.
• Assignment performance.
• Representations
Section 2600—Reporting Standards
＝＝＝＝＝

【経済産業省】
・2004.10.08 新「システム監査基準」、「システム管理基準」の公表について
・・システム監査基準システム管理基準

【2007.08.30追記】

＝＝＝＝＝
Ⅱ．システム監査の目的

Ⅲ．一般基準
１．目的、権限と責任
２．独立性、客観性と職業倫理
　2.1 外観上の独立性
　2.2 精神上の独立性
　2.3 職業倫理と誠実性
３．専門能力
４．業務上の義務
　4.1 注意義務
　4.2 守秘義務
５．品質管理

Ⅳ．実施基準
１．監査計画の立案
２．監査の手順
３．監査の実施
　3.1 監査証拠の入手と評価
　3.2 監査調書の作成と保存
４．監査業務の体制
５．他の専門職の利用
６．情報セキュリティ監査

Ⅴ．報告基準
１．監査報告書の提出と開示
２．監査報告の根拠
３．監査報告書の記載事項
４．監査報告についての責任
５．監査報告に基づく改善指導（フォローアップ）
＝＝＝＝＝

論理的に正しくしたかったのですが、過去のつながりもあり・・・

●たとえば、実施基準の
＝＝＝＝＝
２．監査の手順
２．監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。
＝＝＝＝＝
は、これだと、監査基準に従うためには、必ず予備調査、本調査という２つの調査をしなければならないことになるのですが、このような細かいことを監査基準に記載すべきではありません。。。

●たとえば、報告基準の
＝＝＝＝＝
５．監査報告に基づく改善指導（フォローアップ）
システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。
＝＝＝＝＝
　これは、書くべきかどうかは微妙なところである論点ですが、たとえ書くとしても報告基準ではなくて、実施基準です。でも、過去のシステム監査基準がこうなっていたからということで・・・