シス監目指す

最近会計の勉強していて公認会計士は監査がメイン業務なんだということを知って、その延長線上にあるシステム監査にちょっと興味を持ち始めている

ITキャリアの延長線上にあるし、会計の勉強しながら同時にシステム監査の勉強もしていったら結構楽しいんではないのかなと思った今日この頃

さて、システム監査ですが、ITキャリアをきわめて専門家になっていく際の一つの進路として最初から存在は認識していたもののいかんせんその役割や重要性がよくわかっていなかった

多分新卒で会社に入った時点でキャリアを考える時にシステム監査に興味を持つ人間って皆無なのではないのかと思ったりする

そもそも新卒時点で監査の知識がある人間はどれだけいるだろうか
社会人をしばらくやってても監査されたことのない人もたくさんいる気がする
自分も数年働いていて一回だけ監査の簡単なチェックを受けたことがあるくらいだ
かなり年次が上になっていかないと監査を受ける経験も少ないので、そもそものイメージもつかないだろう

というようなところもあるので、シス監はITキャリアの中でめちゃくちゃ人気のない専門分野の一つだという印象が強い

しかし、シス監は重要である

なぜなら、会計士のメイン業務の中の会計監査の一部にIT監査が必ず付随してくるからだ

今時、紙と電卓だけで業務を行っている企業など見たことがあるだろうか？
少なくとも監査を受けるような規模まで成長した企業にそのようなアナログな会社があったらビビり散らかすだろう
どうやって成長出来たんだ？

少なくとも今どき紙と電卓で会計処理をやってるイメージなどは想像できないだろう
普通は市販の会計ソフトが入ってるはずである
どれだけローテクでも、やExcel、スプレッドシートくらいは絶対使っているはずである

では仮にエクセルを使って会計処理をしている会社をあなたが監査することになったとしましょう
そうなった時に当然エクエルでやっている処理ってホントに正しい数値だせてるんですかね？大丈夫ですかね？という疑問が湧くだろう

エクセルの中身を見て、処理が正しく動作していたら大丈夫！と言えるであろう

イメージがついただろうか？
割とやってることは単純である

しかし、実際の監査業務において、このようなエクセルを一個一個チェックするような細かすぎるチェックはほぼされないと言っていいだろう
本質的には、その会社のすべての業務を網羅的に一緒に見ながらチェックするのが理論的には正しい監査なのであろうが、監査を行うのは人間であるので、実際には時間も人手にも限界がある

だから、かなり大きなところからチェックする
間違っているとインパクトの大きい部分からチェックするのである

そして、ここでチェックするところがかなり概念的な部分が多いので、システム監査はイメージがつきづらいのである

例えば、IT監査で絶対にどこでもチェックされるのが、IT全般統制である

もう、名前からして分かりにくい

一体、何を差して全般と言っているのか、何を統制しているのか、言葉からなかなかイメージがしづらい

分かりにくすぎるし、自分も大して知識がないので、簡単に言おう

ざっくりいえば、IT全般統制とは、「おたくのところのITシステム、きちんと正しく使ってますか～？」ということの確認である

まずは、ITシステムが正しく動くものか確認しないといけませんね
正しく動いてるか、正しく動くものなのかのチェックします
簡単に言えば、システムが壊れてないかを確認しないといけません

次に正しいシステムを使っていたって、使っている人間が事故を起こす可能性もありますね
人間もチェックします
どうやってチェックするのかというと、これは監査法人の色の出る部分なのかなと思います
と言っても、通常そこまで根ほり葉ほり聞かれはしないでしょう
自分が一度監査を受けた時は本当に簡単な質問でした
「パスワードは使いまわしてませんよね？」⇒「使い回しておりません」
くらいの受け答えで終わった気がします
監査人の質問に適切にこたえられると、この会社のシステムを使っている人間は大丈夫というお墨付きをもらえます

後はセキュリティリスクの評価やら外部委託先が大丈夫なのかの確認なんかもするようです

セキュリティリスクは、簡単に言えば、誰か悪意を持った人間が悪さをしてシステムをぶっ壊す可能性がありそうかをチェックしているものです

外部委託先が大丈夫かに関しては、会社って自社だけで業務が完結することはめったにないので通常めんどくさい業務はお金を出して外部に委託します
その際外の人が仕事を完璧にやってくれたら最高ですが、ダメダメな場合だってあるはずです
酒飲んでUSBをなくすとかですね
そういうのは起きないかな？大丈夫なのかな？というのをチェックしているものです

このあたりがIT監査でチェックされる主だったところであろう

自分で書いていて改めて思ったが、結構というか膨大すぎるチェック項目があることがわかるだろう

しかもこれはシステム監査のチェックできるほんの大枠の部分であり、もっと細かい粒度まで見に行けば、一個一個のエクセルを見に行くレベルにまで細分化することもできる

さらにしかも、IT監査は会計監査の一部であると言った

会計監査は法律で定められている独占業務であるし、株式会社の上場企業のように不特定多数から多額の出資を募って経営を行うというビジネスのやり方がなくならない限り、会計監査はなくなることはないだろう

つまり、IT監査は会計監査に紐づくのでこの先もなかなかなくならない仕事であると言えよう

そしてIT監査が出来る人は少ないし、飛び込もうと思う人も少ない
ITは他にもっとキラキラと輝く面白そうなキャリアが沢山転がっているからだ

しかしIT監査の需要は年々増しているだろう

また会計に紐づかないシステム監査もじわじわと増えている

ITで稼いでる企業の場合、システムが止まることは企業の存続にかかわるし、セキュリティ事故が起きたら当局からこっぴどい制裁を喰らう羽目になるかもしれない
そのような万が一が起きないように自分たちの使っているシステムをチェックしてもらうのが会計監査と紐づかないシステム監査である

LINEなどは良い例だろう
LINEの場合、自分たちのメッセージが別の誰かにも送られてて見られてしまう！となったらどうだろうか？
利用者は激減するだろう
昨今は個人情報の保護の観点からもセキュリティを高めようという社会的な流れもあるので、システム監査が入るのである

この流れはますます強くなると予想される
システム監査はまず間違いなく着々と需要が伸びるであろう

それを確信した最近の事件がある

グリコの障害である

障害についての詳しい内容はセキュリティ事故に日本一詳しいとされるブログでも見てくださいまし

江崎グリコの基幹システム移行トラブルについてまとめてみた - piyolog

さて、システムが止まったら業務も止まってトンでもない損失が出るといういい例をグリコは挙げてくれた
5/8の業績予想ではシステム障害の影響で、売り上げにして150億円、純利益にして40億円の損失が出ることが予想されている

トンでもない金額であろう

システムというのは今や事故が起きたらトンでもない損失が出るものになっているのである

会計に関しても不正があったらトンでもない損失が出るのは東芝の例を見ても明らかだと思うが、それと同じ規模、もしくはそれ以上の損失がグリコでは出ているのである
ITを主力事業としていない会社なのに、である

会計監査はビジネスをやっていたら何となく絶対にやらねばいけないものなのだという共通認識がビジネスマンにはあると思うが、なぜやる必要があるのかの元をたどれば単純に事故ったら多額の損失が出るからであろう
特に監査を受ける側の経営者視点で考えればリスク管理という意味合いが強いだろう

その観点があるのであれば、どうして今や不正会計に匹敵するかそれ以上に損失が出るITの監査を軽視できるのだろうか
おそらくIT軽視の結果、この規模の損失が出るとはまだまだ世間一般的には思われていなかったのだろう
特にITを傍流と捉えているような企業は特に

しかし、グリコの事故をきっかけにIT軽視はヤバいという風潮も広がっていくと思う
別にグリコにも限らないが、気付いて行動している経営者は、こぞってITガバナンスを強化している

その時に白羽の矢が立つのがシステム監査である
システム監査、普通にこれから爆伸びしていくのかなと思った

ちなみに当のグリコはというとまだまだのんびりしている模様

グリコがSAP技術者募集中！グリコ製品を早く供給してほしいエンジニアは急げ！

吹っ飛ばしてる40億の純利益で2000万円のエンジニア10人を20年間雇えると思うんだが、そういう発想にはならないのかなと思ったりした

余談だが、まあそもそも事故起きたのは、グリコがSIerを使うようなノリでコンサルに仕事丸投げしてたのが根本的な原因なんじゃないのかなぁと勝手に邪推している

SIerなら無茶振りでもなんかいい感じのシステムを作ってくれて、事故っても無償で消火してくれたからね
コンサルはそんなに甘くないという話だったというオチな気がする

まあ今回の40億はしょうらいシス監で稼ぐにあたって、良い金額の指標になった気がする
シス監の勉強すっぞ～おらおらおらおら