システム監査とは
システム監査とは、システムエンジニアの重要な業務の一つです。
近年、IT化が進むと同時に情報漏えいなどのリスクも増えています。そこで「予想されるリスクを想定しておき、影響が大きい事項については必要な対策を実装しておく」という考え方が生まれました。社内でセキュリティポリシーなどの基本方針を策定し、ルールに従って組織的にリスク対策および情報漏えい対策を行っていく必要があります。
リスク対策や情報漏えい対策を行うのはリスク管理担当者であり、情報セキュリティ担当者です。そして、全社のリスク管理の仕組みやセキュリティポリシーが実行されているか、その内容がリスク低減に効果があるか、ITの視点で内部統制の有効性をチェックするのが「システム監査」の仕事です。システム監査がいることで、ルールや運用を含めてシステム全体としてチェック、フィードバックをかけることで効果の確認を行えます。
企業の内部・外部に対して、「信頼性」などを監査することになります。
システム監査へのキャリアパス
システム監査としての重要なスキルは、リスク管理やセキュリティの視点で見た時に社内のポリシーが適切かどうかを判断できることです。また、実際に効果がでる状態で運用されているかをチェックできるスキルも必要です。チェックするためには、どのような状態になるとリスクが発生するかを考える必要があります。リスクが発生するパターンを予想できないと、監査してもリスクが潜んでいるかどうかを判断できません。
そのために、まずは、ネットワークシステムおよびセキュリティの技術についてスキルをみがく必要があります。IT業界は日々進化しているので、常に最新技術にアンテナを張り、技術をみがく必要があります。
さらにさまざまなネットワークシステムに対応できる必要があります。メインフレームを使っている場合もあれば、オープン系の場合もあります。さらにWindowsサーバーやUNIXサーバーなどサーバーの種類も複数あります。監査対象としても運用時だけでなく、開発時の監査もあります。
これらのすべての専門分野においてスペシャリストである必要はありませんが、IT分野の幅広い技術に通じていることが必要です。
システムエンジニアから企業の内部監査人、リスク管理・セキュリティ担当へのキャリアパス
ユーザー企業でリスク管理やセキュリティ担当になる、もしくは内部監査人になることです。大きな企業でないと社内でこのような部門をもっているところは少ないですが、自分で提案して初代の担当者になるなどの方法が考えられます。初代担当者となるとかなりハードルも高く、教育も整備されていません。しかし、逆にいうと、自分の思った通りに経験をつむチャンスでもあります。システム監査として必要なスキルを身に着けるための教育ルールを策定する。新しいことを始めるために必要なスキルも同時に身に着けるチャンスになります。
IT系コンサル・セキュリティコンサル会社への転職
ITコンサルティングやセキュリティコンサルティングサービスを行っているIT系企業でスキルをみがくことです。IT業界の流れをつかむことができます。古い技術から最先端の技術まで幅広いIT技術を経験するチャンスになります。
また、そこで得た最新技術情報やリスク対策方法などIT業界でのキャリアをそのまま生かすことができます。
システムエンジニアの監査法人・コンサルティングファームへの転職
IT業界の枠を超え、戦略系コンサルティングファームや監査法人でスキルをみがく方法があります。様々な企業のフレームワークを学ぶことができ、幅広いスキルを身に着けることができます。
特に監査法人において、システムエンジニアの採用は近年増加傾向にあります。
企業運営において、効率化等を求めITシステムの活用が進む一方、情報漏洩等の問題も増加しており、情報管理にまつわる問題は増回傾向にあり、常にリスクがつきまとっている状況です。そのような中、監査法人もシステムの側面から監査を行うことが求められており、監査法人ではシステムエンジニアを始めとするシステムのプロフェッショナル人材のニーズが高まっています。税務や会計処理も今やシステム化しており、企業が公開する財務諸表も当然システムで処理されたものを基にして作られるのですから、システム監査の仕事はとても重要です。システム監査の仕事を通じて、ITのみならず、経営・内部統制・会計など幅広い知識を習得することが可能です。監査法人で企業を監査することを学べば、システム監査を始めとして様々な業務へ応用することができます。一般的なシステムエンジニアとは異なる視点で物事をみることができるようになるチャンスでもあります。