経済産業省「システム監査基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf)、「システム管理基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf)(昭和60年1月告示、平成16年10月改訂)は、システム監査の目的を次のように示しています。
組織体の情報システムにまつわるリスクに対するコントロールが、
リスクアセスメントに基づいて適切に整備・運用されているかを、
(リスクアセスメント:リスク評価→「システム管理基準」)
独立かつ専門的な立場のシステム監査人が検証又は評価することによって、
保証を与えあるいは助言を行い、
(保証と助言の2つがあることに注意)
もってITガバナンスの実現に寄与することにある。
- システム監査基準
- 監査人が監査をするための基準です。監査人は被監査部門から独立していること、情報システムと監査に関する能力を持っていることなど、監査人に関する規程や、監査の方法、報告の方法などの基準が定められています。
- システム管理基準
- 監査の判断尺度として用いるべき基準で、経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用するための実践規範になっています。