IT内部統制ケースブック

読書

あずさ監査法人IT監査部編著。担当するシステムの監査対応があまりにもアレなので、IT監査ってどういうものなのか知りたくて手に取った。この本自体は具体的な監査指摘事例がたくさん載っており、面白いしためになる。
だけど結局のところわかったのは、やっぱり監査はつまらないことを指摘するってこと。確かに監査人はリスクを指摘するのが仕事だからそういうものかもしれない。問題は監査される側がリスクを正しく評価せず、形式的に現場の負荷を上げるだけの対策をしてしまうこと、かな。
でも、こんなにいろいろ言われるなら始めからRBACとかSELinuxとか、ポリシーに基づく実装をしていたほうが皆ハッピーな気がする。今後の設計時に考えたいものだ。

IT内部統制ケースブック ―最新50の不備対応事例で学ぶ

IT内部統制ケースブック ―最新50の不備対応事例で学ぶ