リスクのとらえ方とシステム監査(システム監査講演会に行ってきました)
Hiloyanです。先日大井町で、FISAによるシステム監査講演会に行ってきました。
今回のテーマは「企業内ICTのクラウド活用とシステム監査」ということで、クラウドの話が中心になるのかと思いきや「経営に役立つシステム監査とは」という内容に近い印象を持ち、とても考えさせられる内容だったように思います。
システム監査の目的は「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。 」とあります。
この内容かは、リスクに対してのコントロールを行うことによってITガバナンスを実現することがシステム監査の目的であるかのように見えます。もっといえば、「リスクに対して適切な対策をすればITガバナンスは実現できる」という考え方に基づいていると思います。
そして、今まではこのリスクのとらえ方が「将来発生するかもしれない被害」という意味合いに近かったのかなと思います。そのため、その被害がどの程度起きるのかを予想することに始まり、その原因に対して適切な対策を打って発生確率を減らしたり、被害の程度を小さくすることが中心になっていたように思います。
一方、今回のシステム監査講演会の中では、もっと積極的な形でとらえようとしているように感じました。たとえばリスクのとらえ方についても被害ではなく「顧客ニーズを取り損ねること、顧客が増やせないこと」もリスクとしてとらえよう。もっと顧客視点、対外視点からリスクをとらえていこうという点において、新鮮さを感じました。
また個別の対策を施すだけでなく、もっと総合的な対策を考えなければならないという話にもとても共感しました。
そういった内容から感じたのはこれからはシステム監査はビジネスを「守りから攻め」へと変えて行くものであり、そういった中、システム監査人の役割はより大きなものが期待されていくのかなという感じを受けました。フィールドが大きくなるというのでしょうか、そういったものを感じます。
いずれにせよ、これからを期待させるような内容と思いました。
