SIerにおけるシステム監査技術者資格の有用性・メリット

高度情報処理技術者試験のひとつであるシステム監査技術者試験は、例年15%程度の合格率で、難易度の高い資格として知られています。しかし、IPAの試験体系によると、他の区分のようにベンダ側/ユーザ側の分類ではなく、システム監査技術者試験だけが「独立」と分類されており、システム監査はシステム開発を行う側、システムを使うユーザ側のどちらの業務にも関係がないと思われる方もおります。

では、実際にはシステム監査技術者資格はどのような業務や企業で役に立つのでしょうか。今回の記事では、Slerにおけるシステム監査技術者資格の実情や仕事内容についてお伝えします。

【目次】

1. Slerにおけるシステム監査技術者資格の実情
2. システム監査技術者資格を取得するメリット
3. システム監査技術者資格を取得すべき人
4. （参考）システム監査技術者の仕事内容
5. （参考）システム監査技術者(システム監査人)に求められる能力
6. （参考）システム監査技術者資格とは

Slerにおけるシステム監査技術者資格の実情

既に運用中の情報システムに対して監査を行うのがシステム監査人の仕事であるため、Slerにおいてシステム監査技術者資格が役に立つ場面は、残念ながら少ないと言わざるを得ません。

Slerの主な仕事はクライアント企業のシステム開発を請け負うことであり、システム監査を行うことではないからです。システム監査を含めた監査を行うのは、主に監査法人の仕事です。

Slerでシステム監査の知識・スキルが役に立つとすれば、構築しようとしているシステムが、監査に耐えうるような作りになっているかどうかについて、事前に検証できることぐらいでしょうか。

しかし例外として、Slerでもシステム監査を行う場面は多少あります。

最近では事業会社だけでなくSlerにおいても、ISO27001などの情報セキュリティ認証を取得する企業が増えてきています。ISO27001は自社の情報システムの運営に関する認証制度ですが、認証を受けていることで、情報セキュリティマネジメントシステム(ISMS)に関する知見があることをアピールできます。Slerとしては、そのアピールポイントを元にシステム開発プロジェクトの受注に結びつけられるというメリットがありますのです。

ISO27001認証は取得後に1年に1回もしくは半年に1回程度の定期審査を行う必要がありますし、認証の継続のためには3年に1度更新審査を受ける必要があります。そのため、ISO審査にて指摘を受けないよう、Slerであっても監査部門を構え自社の情報システムに対する定期的な監査を行なっている場合があります。そのような企業においては、システム監査技術者資格の知識は役に立つかもしれません。

ただ、Slerの場合は先に述べたようにシステム開発を行うのがメインの業務ですので、大きな企業出ない限りは、システム監査人のポストはそう多くはないはずです。ISO27001認証を受けるには企業規模は関係ないものの、現実問題としてある程度の規模がないと認証を維持・運用していくのは難しいのが実情です。

そのため、もしあなたがSlerに所属するエンジニアであるならば、システム監査技術者資格単体で業務に役立てることを考えるよりも、プロジェクトマネージャ資格やシステムアーキテクト資格など、システム開発に関する資格と組み合わせることを考えた方が良さそうです。

システム監査技術者資格に合格するには幅広い知識が必要になるため、試験の難易度は相対的に高いものとなっています。しかし、Slerでは一部の例外を除いては、せっかくの資格を生かせる場面は少ないと言えるのではないでしょうか。

システム監査技術者資格を取得するメリット

では、Slerにおいては、システム監査技術者資格を取得するメリットはまったくないのでしょうか。

資格を生かせる場面が少なくとも、ITエンジニアにとって取得して損になるということは決してありません。なぜなら、難易度の高さはよく知られている資格ですので、取得しているエンジニアは一目置かれるというメリットがあるからです。

ITエンジニアは、どうしても技術寄りの知識・スキルに傾倒しがちで、経営や会計にはまったく興味を持たない人が多いのが実情です。だからこそ、保有していると他のエンジニアとの差別化ができる資格でもあります。

システム監査技術者資格を単体で取得することを考えることよりも、他の資格と組み合わせることを検討しましょう。Slerにおいてはプロジェクトマネージャ資格やシステムアーキテクト資格と組み合わせると効果的であることは先に述べましたが、公認会計士や中小企業診断士などのIT分野以外の資格と組み合わせると鉄壁です。難易度はその分高くなりますが、会計や経営に加えて、システムに精通しているとなると、監査法人やコンサルティングファームでは非常に優遇されます。

また、システム監査技術者試験の合格者は特定非営利活動法人日本システム監査人協会（SAAJ）に登録申請のうえ、2年以上のシステム監査の実務経験を積むことで公認システム監査人(CSA)に認定されます。実務経験が必要なことから、監査人としての業務ができる立場の人に限った話にはなりますが、認定機関の資格を得ることでさらに活躍の場を広げることができるでしょう。

システム監査技術者資格を取得すべき人

システム監査技術者資格は本来どのような人が取得すべきで、どのようなキャリアに役に立つ資格なのでしょうか。Slerでのキャリアパスを考えるケースと、Slerで働いている人が転職を考えるケースで取得後のキャリアパスは変わってきます。

まず、Slerでのキャリアパスについては、

ケース１.自社の内部監査部門で監査人としてのキャリアを築く。
ケース２.PMやSEとしてのキャリアは変えず、システム監査技術者の資格で今までのシステム開発に関する知識やスキルを補完する。

というケースがあるでしょうか。

ケース１は、自社で監査の業務経験を積んでも、いずれ監査法人などに転職を考えるというようになっていくかと思われます。Slerにおける内部監査だけでは、年中監査業務を行なっていることは想定しにくく、結局空いている時はシステム開発開発プロジェクトのメンバとなるためです。

ケース２は、クライアント企業に監査を受ける立場としては、どのようなシステムを構築すべきか・注意すべきかを助言できるため、一定の効果は見込めます。法律や会計、経営の知識を持っているITエンジニアは多くないため、エンジニアとしての希少性を高めるという意味では、キャリアにプラスとなりそうです。

また、

ケース３.監査法人やコンサルティングファームに転職する。
ケース４.内部監査部を配置している事業会社・ユーザ系企業に転職する。

といった選択肢にも繋がります。

ケース３においては、システム監査技術者の資格を持っているだけでは、転職の際のアピールポイントとしては弱いかもしれません。例えば、システム監査技術者の資格を取得後、Slerの監査部門で監査人として業務経験を積みながら、公認システム監査人(CSA)や公認会計士など他の資格も取得して転職、というケース１からケース３へのキャリアパスが理想的です。

また、ケース４のように内部監査部を配置している事業会社・ユーザ系企業に転職するのも資格を生かせるキャリアパスです。特に監督庁の監査を受けるような業種では、内部監査も定期的に実施しているため、システム監査技術者資格で得た知識を役に立てられる場面は多いでしょう。

（参考）システム監査技術者の仕事内容

ご存じの方も多いと思いますが、あらためてシステム監査技術者（システム監査人）はどのような業務を行うのでしょうか。

端的に表すのであれば、「組織において情報システムに対するリスクコントロールができていることを検証し、保証すること」となります。

例えば、情報システムの構築および運営には、下記のようなリスクが存在します。

・システム構築の遅延、予算超過
・IT戦略としての誤り、コスト回収不足
・システム運用障害、障害による顧客サービス低下・停止
・システムへの不正アクセス、マルウェア被害、情報漏えい
・委託先における問題

上記のリスクに関して、システム監査人が下記のような検証を行います。

・情報システム構築方法の検証…プロジェクトマネジメントの実施状況や、予算確保の仕方、予算の執行状況が適切かどうかを検証します。
・情報システムの有効性(投資対効果、目的適合性)の確認…構築されたシステムが当初の目的(経営戦略など)に沿って利用されているか、システム投資費用に見合った業務効率化ができているかなどを検証します。
・情報システムの可用性の検証…障害発生時にも業務継続が可能なように耐障害性や縮退運転が考慮されたシステム構成となっているか、災害発生などの有事の際にも、業務継続が可能なシステム構成となっているかを検証します。
・情報セキュリティや個人情報保護の管理体制の検証…情報システムが設置されている設備は限られた人のみの入室できるような管理がされているかなどの設備管理面から、情報システムへのログインユーザの管理状況、ユーザごとの権限付与の管理状況などを検証します。

他にも、情報システムに対して定期的にセキュリティ診断が行われているかを検証します。セキュリティ診断を行うのは監査人の仕事ではなく、定期的にセキュリティ診断が行われ、指摘を受けた内容を後日きちんと改善しているか、対応が行われているかを確認するのが監査人の業務です。

・外部委託先の保守体制…情報システムの構築や運用に外部委託先を利用している場合、委託先の選定プロセスに問題はないか、委託先の管理状況(NDA締結状況や契約内容の確認、再委託先の有無や管理状況)の検証を行います。

それらの検証作業によって、問題ない部分は問題ない旨を保証、問題がある部分は指摘および改善案の提示を行い、監査報告書をまとめるというところまでがシステム監査人の仕事です。

（参考）システム監査技術者(システム監査人)に求められる能力

システム監査技術者(システム監査人)の業務を行う人にはどんな能力が求められるのでしょうか。

一般的には、下記のような能力が求められると言われています。

①状況判断能力…システム監査を行う際には、まず監査の対象となるシステムやテーマを検討します。経営環境や経営陣の意向、システムのリスク保有状況、社会環境等を勘案する必要がありますが、それらの要素を総合的に状況判断する能力が求められます。

②リスク分析能力…システム監査では、リスク分析の結果を監査テーマの選定にフィードバックしたり、監査対象にどのようなリスクが存在するのか分析する能力が求められます。

③コミュニケーション能力…システム監査人は、経営層や他の監査役、被監査部門(監査を受ける側の部門)など、様々なステークホルダーと監査報告書や口頭にてコミュニケーションをとる必要があります。そのため、相手との的確なコミュニケーションを取る能力が求められます。

④業務関連法令に関する知識…システム監査人には、J-SOX法や個人情報保護法、著作権法など、業務や監査に関連する法令知識が求められます。

つまり、システム監査技術者には、プロジェクトマネージャに求められるスキルにプラスして業務関連法令に関する知識が求められるイメージでしょうか。

プロジェクトマネージャ資格を取得済みの人やプロジェクトマネージャ業務を行なっている人にとっては、法令関連の知識を追加するだけでシステム監査人としてのスキルセットに近づけることになりますし、システム監査技術者試験との相性も良いと言えるでしょう。システム監査技術者資格を単体で取得するのではなく、他の資格と組み合わせた方がより高い効果が見込めるというのも、この辺りに理由があります。

（参考）システム監査技術者資格とは

システム監査技術者試験は、IPAの情報処理技術者試験において、プロジェクトマネージャ試験、ITストラテジスト試験などと同じレベル4に位置付けられている資格です。

どの業種・企業でも情報システムの利用が当たり前となる中、システム障害やセキュリティ事故の発生は社会に大きなインパクトを与えます。そのため、平時より情報システムが適切に運用されているか、もしくはシステム構築が適切なプロセスを経て開発されているかを監査する役割が必要になってきます。情報処理技術者試験のシステム監査技術者は、業務としてシステム監査を行う知識・スキルがあることを証明するための資格です。

「監査技術者」という物々しい名前がついてはいるものの、他の情報処理技術者資格同様、士業の資格や免許ではないため、独占して監査業務を行えるという資格ではありません。しかし、監査業務を行う人は会計や財務には詳しくとも、システムのことはよく分からないという場合も多く、システム監査に関する知識を持つことが証明できる本資格には一定のニーズがあります。

=================

関連記事：

コンサルファームから監査法人アドバイザリーへの転職時によくある質問と回答例
https://www.axc.ne.jp/media/change-jobs-knowhow/firmtoadvisoryqa

「ITコンサルから監査法人アドバイザリー」というキャリアパスとその際の注意点
https://www.axc.ne.jp/media/change-jobs-knowhow/itandauditor

=================

今回の記事では、Slerにおけるシステム監査技術者資格の実情や仕事内容についてお伝えしました。

難易度の高いシステム監査技術者の資格であっても、資格取得で得た知識を活かせる業務と活かせない業務が存在します。監査にポイントが絞られている資格試験のため、取得しても活躍できるフィールドが限られているのは仕方のないことなのかもしれません。

しかし、ポイントが絞られているからこそ、監査人としてのキャリアを目指したいという明確な意思を持っている人には、目標にしやすい資格であるとも言えます。自分の今後のキャリアを見据えた時に、「監査人」というキーワードが存在する場合は、取得を検討して良いのではないでしょうか。

キャリアでお悩みの方はぜひアクシスコンサルティングにご相談ください。