専門記事紹介： IT Risk Analysis - The Missing "A"

うぅむ。いよいよますます書き込む内容が堅苦しくなっていく・・・。でも、せっかく読んだ記事について感想を書いて（アウトプットして）おかないと、完璧に忘れてしまいそうで怖いので、書いておくことにする。

さて、自分はCISAという資格をとっているため、必然的にISACAという組織のメンバーになっている。

この団体には3万円以上の年会費を支払う義務が生じるのだが、正直、決して安くない年会費だ。ただし、そんな中にあってIT監査に関わる専門家達が毎月、投稿してくれる記事は非常に価値が高いものだと思う。様々な会員になったことがあるが、こういった記事は、世界のITシステム監査に関する最新動向を知っておくことができるので便利だ。実際、自身が過去に（監査ではないが）コンサルをする上で、インプットとして役立った記事はいくつもある。

そんな記事の中で今月は『IT Risk Analysis - The Missing "A"』という記事が面白そうだったので、読んで見た。

この記事の趣旨は、以下の通り。

・近年、組織が市場において勝つためには”Agility（俊敏性；機動性）”を抑えることが必要不可欠
・ITは組織の戦略にますます密接なつながりを持つようになってきている
・しかしながら、今日のITリスクアセスメントは、3つのAばかり見る傾向がある
　（3As: Availability(可用性), Access(アクセス性), Accuracy(正確性))
・Agilityに関わるリスクってやつはすぐに顕在化しにくい性質を持つ
・これからのITリスクアセスメントの視点は4Aで行うべきである
　（4As: Availability(可用性), Access(アクセス性), Accuracy(正確性), Agility(機動性))

キーワードは、『Agility』だ（訳せば俊敏性になるが、個人的に、あまり好きじゃないのであえて機動性という言葉を使わせてもらう）。上記4Aについて、言い替えて説明をすると、要するにシステム監査人がITリスクを考える際に、

「災害時対策はできているか？」
「アクセスコントロールはきちっとしているか？」
「計算処理は、期待通り正確に行われているか？」

といった視点でのリスクアセスメントは今日、当たり前のように行うが、

「導入しているITシステムは、古い言語を使ったプログラムで作られてないか？」
「色々なベンダーのソフトを混在させて、保守を難しくしていないか？」

といった会社の機動力の足をひっぱりかねない視点での問いかけは、あまり行っていないのではないか？　したがって、これからはこういったことも考慮すべきだ、ということだ。

「言いたいことは分かった。でも、どうやって実現するんだ？」

という問いかけに対し、記事中では、”たとえば”という前置きとともに、監査時のチェック項目になりそうなポイントをいくつか挙げている。ただ、常識的なポイントが多く「おぉー！これはなるほど！」と思うほどではなかった（ただし、これはあくまでも個人的な感想）。

チェックポイント例）「ベンダーソフトウエアは、不必要にカスタマイズされていないか？」

まとめると、「これからの監査は3Aではなく4Aであるべき」という提言には納得したものの、How?の部分にたいする解説については（記事中で、”あくまでも参考にしかならないけれど・・・”という言い訳があるものの）ちょっとがっかり。

システム監査人は、自分なりにアレンジしていく必要があるのだと思う。まぁ、抑えるべき視点さえきちっとわかっていれば、そんなに難しいことではないと思うのだが。