システム監査ってなんなのさ
分かってもらえない
どうもマツイデラックスです。大学院卒業後、Big4系コンサル会社勤務な私ですが、仕事の話をするのはいつも骨が折れます。
なぜかというと、基本的に仕事の話をするとき
他人「お仕事は何をされてるんですか?」
DX「システム監査(実は正確でない)です」
ここで、監査・会計に少しでも理解がある人の場合は
他人「監査法人にお勤めですか?」
DX「いえ、実は所属はグループのコンサル会社なんです。最近組織体制の変革がありまして、監査法人から部署ごと移動しました。業務は監査法人の会計士チームと一緒に進めています」
相手が検討がつかない場合だと
他人「官公庁にお勤めですか?」
他人「会計士の方ですか?」
となり、
説明を始めると分かったような分からないような顔をされてしまう。
この前は元SEの会社経営者の方に会ったので
「大手IT企業のSEやってた人なら分かるかも!?」
と思い熱を込めて話すも
「セキュリティ要件を評価する第三者機関」
と微妙な理解を得るに留まる。
悔しいのでnoteで発散。
IT監査とは
※ここから下は大枠を掴むことが目的なので100%完璧でなくても大目に見てください
ではデラックスは何をやっているのか。
会計監査の一部として、IT全般統制の評価(これがIT監査)を主にやっています。
会計監査はあの、会計士の人がやる財務諸表プロセスの検証ね。で、現代では算盤と鉛筆だけで完結する経理ってほぼなくてみんな弥生会計とかSAPとか会計システムを使ってると思うんです。その会計システム and/or 財務報告に関係する処理で使われるシステムを監査するのがIT監査です。
監査:監督し査閲すること
なので、じゃあシステムの何をみてるかって話になって。
(ここで押さえたいのはシステム監査=企業の自主点検、IT監査=会計監査の一部たる法定監査)
IT監査には大きく分けて2種類あって、一つがシステムの全般的な運用を見るIT全般統制(IT General Control, ITGC)、二つ目がシステムの機能時代を見るITアプリケーション統制(IT Application Control, ITAC)
ITGCの観点はいわば3本柱で、変更管理(Manage Change, MC)・アクセス管理(Manage Access, MA)・運用管理(Manage IT Operations, MO)を評価する。呼び方は恐らく各社により異なる。
順に説明すると
MC=システム(アプリケーション)のプログラムの変更が適切にされているか、不適切なロジックが本番環境に反映されない仕組みがあるか
MA=アプリケーションへのアクセス権限が適切に設定されているか、パスワードの強度は適切か、本番環境へのアクセスは必要な場合のみに限定されているか
MO=自動実行されるジョブの登録・運用・エラー処理、インシデント管理が適切にされているか
です、ざっと。
で、この3点について問題がないというためにアプリケーションの設計書もらったりユーザリストの一覧もらったりシステム開発に関する発注書とかもらうんです…
おわりに
今、このシステム監査業務の2年目を迎えて、エンジニアへの転身を試みているわけですが、その根底には「自分でやりたい」という気持ちがあります。監査でも、アドバイザリーでもコンサルティングでも、「プロフェッショナルファーム」に属する限り誰かのために動く人でしかいられない、そんな気持ちを抱えるようになりました。
誰か=経営者、事業主
評価や検査をする側ではなく何かを作り出す側に回りたい。そんな気持ちで今、転職活動をしています。