2004年10月、経済産業省から改訂された「システム監査基準」が公表されました。併せて、従来「システム監査基準」１つであった内容が、「システム監査基準」と「システム管理基準」に分割・公表されました。詳しくは、下記のURLでご覧いただけます。
http://www.meti.go.jp/policy/netsecurity/new_systemauditG.html

　基準の内容はともかくとして、この機会にシステム監査の意義について、再確認してみたいと思います。
　ご存知のように、今や、情報システムは企業活動において不可欠な存在になっています。情報システムを有効活用できるかどうかで、企業の業績にも大きな影響が出てきます。企業活動と情報化・情報システムを切り離してとらえることはできません。
　しかし、情報システムには、構築・運用に多くの投資が必要、技術革新が急速、障害などで正常に機能しなくなった場合の企業活動への影響が大きいといった問題を抱えています。情報システムの適用範囲が広がるにともなって、管理する情報の種類も増加し、機密性の高い情報が取り扱われます。また、自社だけでなく取引先や関連企業ともネットワーク化され、問題が発生した場合の影響が自社だけに止まらないケースも多くなってきます。

　こうした状況にある情報システムについて、専門能力をもったシステム監査人が、上記のようなさまざまな観点で、問題を顕在化させないための対策が整備されているかどうかを客観的に評価し、不備があれば改善指摘し、改善が図られるまでをフォローする、それがシステム監査です。情報システムの企画段階、開発段階、運用段階において整備しておくべき標準的事項が「システム管理基準」にまとめられています。「システム監査基準」は、管理基準を使ってシステム監査を実施する場合の手順、システム監査人の姿勢などについて規定しています。
　情報システムの健全性を維持することは、企業経営者の責務です。そのために、システム監査を導入し、システム監査人を育成することが必要です。場合によっては、外部のシステム監査専門企業の監査を受けることも検討する必要があります。

■小野修一（おのしゅういち）
　有限会社ビジネス情報コンサルティング　代表取締役
　経営コンサルティング（業務改革など）、情報化コンサルティング（情報戦略、情報化計画、情報化投資評価など）、システム監査が専門
　中小企業診断士（東京支部中央支会常任理事）、公認システム監査人（日本システム監査人協会副会長、システム監査学会理事）、ITコーディネータ、技術士（情報工学部門）、独立行政法人中小企業基盤整備機構IT推進アドバイザーなど