実践IT監査ガイドブック改訂版を読んだ(2章まで)
これまでIT監査とは無縁だったが、面白そうだったので読んでみた。2章までだけど。
1章 IT監査
2章 ITリスクとリスクマネジメント
リスクとは
ISO 31000によれば,「effect uncertainty on objectives(目的に対する不確かさの影響)」と定義されている(日本語訳は,JIS Q 31000:2019に基づく)。
これも色々なところで定義されている。
- JIS Q 31000:2019(ISO31000:2018)
- NIST SP800-30
- COBIT 5 for Risk
ビジネスリスク
大きく分けて外部リスクと内部リスクがある。
- 外部リスク
業界内の競争、市場の需要の変動、政治情勢、法規の改正、資本調達や金融市場の変動などによるリスク
- 内部リスク
組織内で生じるリスク
業務リスク、ITリスク、財務リスク、コンプライアンスリスク、戦略・意思決定リスクがある。