IT業界の仕事といえば、Webデザイナーやシステムエンジニア、プロジェクトマネージャーなど「何かを作り出す」職種が頭に浮かびやすいかもしれませんが、IT業界の職業はそれだけではありません。

情報システムを客観的に点検・評価する仕事「システム監査」も、なくてはならない仕事のひとつです。

ここでは、システム監査とは具体的にどういった仕事なのか、どうすれば転職できるのかなどについてご紹介します。

システム監査とは？

システム監査とは、企業などが業務で使用している情報処理システムについて、「障害が起こるリスクはないか」「災害や不正アクセスから十分保護されているか」「企業経営に活用されているか」といった信頼性・安全性・効率性などの点について第三者の視点から客観的に点検・評価します。また、その中で課題の抽出と改善の提案を行います。

たとえば、いくら立派な情報処理システムを持っていても、集めた情報が経営に活かされていなくては意味がありませんし、不正アクセスに対する備えが脆弱では個人情報・機密情報が漏洩するおそれもあります。

システム監査は、企業の情報システム管理状況を客観的な目線で評価することにより、経営上のリスクを明らかにして解決策を助言することで、将来企業が大きな損失を被るのを防ぐ働きがあるのです。

システム監査の範囲と立ち位置

システム監査を行う範囲は、サーバーに構築されている情報システムだけでなく、システムに付随して会社が実施しているあらゆる行為に及びます。

主に、企業がシステム監査を発注するタイミングは以下のとおりです。

＜システム監査を発注する主なタイミング＞

• 企画開発や要件定義など、システムの導入を始めた段階
• システム設計、テスト、本運用など、システム導入の準備を行う段階
• 入力管理、データ管理、出力管理、組織体制、コンプライアンスなど、システム導入を具体的に実行している段階で、定期的にシステムメンテナンスを行う際

システム監査は、監査対象の企業から、独立した立場で行わなければ意味がありません。

時には、監査対象企業が嫌がることも厳しく指摘しなければならないからです。

また、経営者と監査人は、敵対的な気まずい関係になることもありえますが、会社の将来のためにチェックしていることを説明し、理解してもらえるように言葉や態度で示し続ける必要があります。

きびしい監査や助言をきっかけに、その後、監査対象企業の経営状態が改善されていけば、監査技術者としてのやりがいや自信につながるでしょう。

IT監査との違い

システム監査と混同しやすいものに「IT監査」があります。

IT監査は法律で義務付けられた財務報告の適性さについて確認する会計監査の一環であり、システム監査とは別物となります。

また、システム監査は法定の監査ではありませんから、監査の時期や範囲、監査人の選定は、企業ごとに自由に決めることができる点もIT監査とは異なります。

なぜシステム監査は必要なのか？

前述したように、IT監査と違って企業はシステム監査を受けることを法律で義務付けられているわけではありません。

しかし、システム監査を受け入れることは企業にとっても多くのメリットがあり、それを理解している会社は積極的に監査を受けています。

企業がシステム監査を受けるメリットは、おおよそ次のようなものとなります。

＜企業がシステム監査を受けるメリット＞

• 無駄が多いシステムや、費用対効果の低いシステムを洗い出して、コストカットができる（浮いた予算を別の事業などに再投資できる）
• メンテナンスを充実させ、システム障害によるサービス停止をなるべく回避し、機会損失を防止する
• 災害や不正アクセスなどで、やむをえない障害が発生したとしても、すみやかに復旧させるための助言を受けられる
• 個人情報の漏洩やハッキングなどを防ぐ高度なセキュリティの構築について助言を受け、社会的信頼を維持できる
• プロジェクト計画の見直しを行い、進行の遅延があれば改善する

システム監査に必要な3つの視点

システム監査に求められるのは、その企業の情報システムが「信頼性」「安全性」「効率性」に裏付けられているかどうかを見極められることです。

それぞれ、以下のような視点でチェックを行っていきます。

＜信頼性＞

• 情報システムが必要十分な品質で支えられているか
• 情報システムの障害が生じる可能性をできるだけ引き下げるよう、予防策が講じられているか
• 情報システムに万が一障害が生じても、会社や顧客への悪影響をできるだけ低いレベルに抑え、すみやかに復旧できる体制になっているか
• 情報のバックアップ体制は、二重三重にしかれているか

＜安全性＞

• 地震や火災などの災害が起きた場合に、システムが保護されるのか
• ハッカーによる外部からの不正アクセスに対抗できるセキュリティ体制は整っているか
• 従業員による情報の持ち出しや、紛失・盗難などから、システムは保護されるようになっているか

＜効率性＞

• 情報システムが、企業経営において有効活用されているか
• 情報システムの構築や維持にかけた投資に、見合うだけの収益の向上が見られるか

システム監査の対象範囲は自由に決められる

システム監査は、目的に合わせた範囲とテーマを設定して行います。

IT監査と異なり、法律による拘束は無いので、対象範囲を自由に決めることができます。

一般的なテーマ例を下記に列挙します。

• 個人情報保護体制
• 情報システムの可用性
• 情報システムの有効性
• 外部委託による保守体制
• 情報セキュリティー管理体制

システム監査を行う際の流れ

1.監査範囲とテーマを決める

前述の通り、監査目的に合わせて自由に範囲とテーマを設定します。

2.予備調査

予備調査では、必要書類やチェックリストを作成したり、関連部署に書類の提出を指示したりして、本調査前の準備を行います。

予備調査は、本調査の1～2ヵ月前に実施される事が一般的です。

3.本調査

本調査は予備調査で作成した書類を基に、管理記録やシステム機能の確認、システム監査範囲の責任者との面談などを行い、監査証拠として保管します。

4.監査報告書の作成

システム監査の実施後、監査結果の報告書を作成します。

監査の範囲やテーマ、問題点などの評価をまとめて、経営者や関連部門の責任者に公表します。

5.意見交換会

報告書の内容に対して、各部門の責任者からの意見や認識の齟齬が無いかの面談をシステム監査範囲の責任者と行います。

部門責任者からの意見や指摘事項などを取り入れ、報告書を修正し完成させていきます。

6.監査報告会

システム監査報告書が完成したら、その内容を経営者と役員に報告します。

7.フォローアップ

システム監査時に見受けられた問題点が改善されているかどうかを確認します。

状況次第では、その問題点を改善するためのアドバイスも行います。

システム監査人になるには？

システム監査を行う人のことをシステム監査人といいますが、法律上、システム監査人の条件については特に規定はないので、理論上は誰でもシステム監査人を名乗ることは可能です。

ただし、実際のところフリーで活動するシステム監査人はほぼおらず、多くは監査を手掛ける企業や監査機関に勤務しています。

システム監査人は、企業の立場になり、その経営にとってシステムが正しく機能しているのかをコンサルティングしていく仕事ですから、その仕事内容を魅力的だと感じる人が転身を目指しています。

実際に、制作部門の仕事は向いていないと感じたIT技術者が、システム監査人に転身し、成功を収めた例は少なくありません。それだけ、IT系の職務経験が幅広く活かせる魅力的な仕事といえます。

転身のパターンは、主に事業会社に勤務して、リスク管理担当やセキュリティ担当の部署に入る。あるいは、コンサルティングファームや監査法人に勤務して、事業会社からの依頼を受けて、その稼働させている情報システムについて外部から監査する立場に就く人などがいます。

いずれのケースもまずは転職エージェントに相談の上、自身に合った転職先を探されることをおすすめします。

システム監査技術者に興味のある方はこちらもご覧ください。

システム監査人として保有していると有利な資格

ここでは、システム監査人としての能力を評価する際に、有利になる資格をご紹介します。

実務経験が必要なものもありますが、実務経験がなくても取得できるものもあります。

この資格の有無は、転職にも有利になります。

システム監査技術者

「システム監査技術者」は、独立行政法人情報処理推進機構が主催し、経済産業省が管轄する国家資格です。

ITに関する高度な専門知識を持ち、情報システムを総合的に評価して、監査結果を報告する能力が問われます。業界内では最も知名度の高い資格です。

試験は選択式と記述式、論述式で構成され、難度は比較的高く、会社勤めをしながら数年かけて合格を目指す人が多くなっています。

公認情報システム監査人（CISA）

国際機関でもある情報システムコントロール協会（ISACA）が主催する「公認情報システム監査人（CISA）」。

資格を保有するには、選択式の筆記試験に合格することと、5年の実務経験が必要です。

なお、CISAでは、資格を更新するための継続教育の受講が義務付けられています。

情報システム監査専門内部監査士

「情報システム監査専門内部監査士」は、一般社団法人日本内部監査協会が主催する民間資格です。

試験ではなく、年数回行われる講習と論文によって認定が行われます。

受講資格は、大学や専門学校等で「会計学」「商学」「経営学」「経済学」「情報工学」のうち、いずれかを学んだ方か、これと同等の資格・能力を持つ方、もしくは、すでに内部監査業務に携わっている方が得られます。

システム監査は、社会貢献性が非常に高い仕事です！

企業が持っている既存の情報システム、あるいは新たに導入する情報システムの内容を評価する事で、リスクを見つけ出す事ができます。

事前にリスクを把握できていると、セキュリティ面だけでなく自然災害などにも備える猶予期間を持つことができます。

事故が起こってからでは手遅れになる事もあるので、リスク対策をしっかりしておく事が事業継続に繋がるので、社会貢献性が高い職種と言えるでしょう。

マイナビエージェントには、IT業界への転職サポート実績が数多くあります。

応募前の「審査書類の添削」や「面接対策」など、転職に関する様々なお悩みについてキャリアアドバイザーが手厚くフォローさせていただきます。

システム監査人だけではなく、みなさまの将来の選択肢を広げるお手伝いをさせて頂けたらと思いますので、まずはお気軽にお問い合わせください。