システム監査基準 意訳(姉訳?)
I 前文
いま、あなたが生きてるこの時代の情報システムっていうのはさ、、えっと、ここでいうのは「組織における情報システム」っていう意味なんだけど、これはもうただのツールなんかじゃなくて、組織のやりたいこと(たとえば企業であれば、それは経営戦略)を実現するための重要なインフラっていうか、つまり、なくてはならないものになってます。もう情報システムが無かったらビジネスにならないよね。さらにそれだけじゃなくて、その情報システム同士が連携したりしてるわけで、つまり繋がって大きくなってきてるから、組織だけじゃなくて社会全体にとっても重要なものになってきたの。でも、その一方で、情報システムそのものも、いろいろな種類があって、複雑すぎて、もうわけがわからないよ、って状態になりつつあるんだよね。だから、情報システムにかかわる人、たとえば作る人だったり、使う人だったり、管理する人だったりいろいろいるけれど、もうそれは組織の中だけじゃなくて、組織の外にも存在していて、つまり簡単に言うと、利害関係者は自分の組織だけじゃなくって組織外っていうか、社会全体に広がっちゃってる状態ってわけ。なので『誰かの組織の情報システムがこわれた』『システムがハックされた』みたいないったひどいことになると、その組織に対してだけじゃなくて、社会にも大きな影響を与えちゃう。だから、そういうものから情報システムを守るためにきちんとコントロールすることがとっても大事!っていうことに、みんな気が付き始めた、ってわけ。
システム監査って言葉は、なんだかとても難しそうだけど(『監査』って言葉には、なんだか威厳や威圧みたいなものを感じるよね)、でも実はそんなに難しいものじゃなくて、さっき言ったみたいな『情報システムがこわれたりハックされたり』といった可能性、つまり『リスク』ってことなんだけど、そのリスクに対して、「はい、ここんちはきちんとやってますよー」っていうことを認めてあげるための、とても良い方法なの。もしくは、組織が自分のところのシステム監査を実施するってことは、その組織が目指すITのあり方みたいなものの実現にすごく役に立つし、利害関係のある人に対して、「私たちはこうやってきちんとやってますよー」っていう説明責任を果たすことにもつながるんだよね。
最近のコメント