uma3blog

気が向いたことを稀になんかいろいろ書きます。

実践IT監査ガイドブック改訂版を読んだ(2章まで)

これまでIT監査とは無縁だったが、面白そうだったので読んでみた。2章までだけど。

1章 IT監査

IT監査とは

本書において広義の「IT監査」とは,「ITを対象とした監査」および「ITを利用した監査」の2つを含むものとして定義する。

本書ではIT監査=システム監査として扱う。

システム監査の目的は、経済産業省の「システム監査基準」(2018)に以下の通り記されている。

  1. 情報システムのガバナンス、マネジメント、コントロールの適切性等の保証・助言
  2. 情報システムのリスクに関する評価等を通じた経営目標達成への貢献

IT監査については、色々な基準により示されている。

2章 ITリスクとリスクマネジメント

リスクとは

ISO 31000によれば,「effect uncertainty on objectives(目的に対する不確かさの影響)」と定義されている(日本語訳は,JIS Q 31000:2019に基づく)。

これも色々なところで定義されている。

  • JIS Q 31000:2019(ISO31000:2018)
  • NIST SP800-30
  • COBIT 5 for Risk
ビジネスリスク

大きく分けて外部リスクと内部リスクがある。

  • 外部リスク

業界内の競争、市場の需要の変動、政治情勢、法規の改正、資本調達や金融市場の変動などによるリスク

  • 内部リスク

組織内で生じるリスク
業務リスク、ITリスク、財務リスク、コンプライアンスリスク、戦略・意思決定リスクがある。

ITリスク

企業において様々なリスクが存在するが、これをマネジメントする方法として、リスクの「特定」「分析」「評価」の3つプロセスが行われるリスクアセスメント、それに対するリスク対応がある。
リスクの特定において、事業の妨げとなりうるリスクを全て洗い出す。
リスクの分析において、リスク=発生確率×影響度とし、その大きさをマトリックス等で示す。
リスクの評価において、リスクの大きさを識別する。
そして、これらのリスクをどうするか(回避、移転、受容、低減)の対応を行う。