システム監査基準


システム監査とは、第3者の立場に立って、社内情報システムネットワークのセキュリティやインターネット経由の外部からの悪意の攻撃に対する安全性、個人情報に関するデータベースの安全性の確保、セキュリティ監査の実施状況、金融検査マニュアルでのシステムリスク、情報システム投資の有効性、情報戦略やシステム化計画の妥当性、経営戦略実現の観点から見た情報システムの現状評価、IT革命やe-businessへの対応など、情報システムの信頼性・安全性を確認する行為で、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範として、通産省(当時)が情報技術の浸透や技術革新の影響により、企業経営におけるIT投資の目的が、単なる現場の合理化から経営そのものの革新へと大きく変化しつつあることから、国際的な最新動向も踏まえて、昭和60年に策定した監査基準の名称。「システム監査基準」は1998年1月に一度改訂され、さらに組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなり、それぞれの情報システムがネットワーク化されることによって、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。したがって、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となり、システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となり、またシステム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながることから、経済産業省は2004年10月8日に、「システム監査基準」を改訂し、新たな「システム管理基準」と「システム監査基準」を策定した。詳細情報はURL(http://www.meti.go.jp/policy/it_policy/press/0005668/index.html)で知ることができる。

[組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的]
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため