人知らずして

監査の仕事を始めて、大きく気づかされるのは、承認プロセスの大切さ、だろうか。

作業の実施者と作業遂行の意志決定者(つまり承認者)とを分離して、内部牽制機能を高め、不正や誤謬の発生を防止・発見するために必要となる。

SE出身で業務をどうしてもシステム的な観点でしか見れない自分にとっては、正直たまに「そこまでしなくても良い気もするけどなぁ」と思うこともある。だが、「しかし、ここで承認手続きが正常に行われていない場合、のリスクは何だろう？」と考えてみると確かに必要だと気づかされる。

具他的に、ユーザーID作成というプロセスを例に挙げよう。
適切なIDが作成されるよう、ID作成・変更・削除を行う場合、作成IDの使用者にとっての責任者(ユーザー部部長)と、システムの責任者(システム部部長)の承認が必要となると思われる。
ここで統制が必要となるのはもちろん、セキュリティからの観点である。無用なIDが作成され、不正利用される可能性がある。

なぜこの2人の承認が必要なのか。どちらか一方でも十分職務分掌はなされるように思われる。
しかし、ユーザーID作成というプロセスには「申請行為」と「ID作成行為」という2つのプロセスによって構成されている。
つまり、業務上の観点からそのIDが必要かどうかはユーザー部部長しかわからない。
さらに、そのIDの作業依頼が適正かどうか作業が適切に実施されたかは、システム部部長しかわからない。
よって、不正な申請、不正な作業を監視するためにはどうしても両者の承認が必要となる。

こうやって理屈で考えると「そうだよねー」と思うのだが、少なくとも自分がSEやってたときにはそんなの気づきもしなかった。そもそも私がSEの頃扱っていたのがテスト用システムなので、セキュリティの重要性がそれほど高くなかったからなのだが。

今度シス監試験受ける人も一通りシステム管理基準の「～が～を承認すること」という項目を洗い出しておけばよいかと思う。結構見落としていたところがあるはずです。

蛇足
ちなみに承認をめぐってよく起こる不備は
・承認者が誰なのかが不明確
・承認なのか検証なのかが不明確
・何を承認しているかが不明確
・やむを得ず承認の代行を行う場合のプロセスが不明確
というもの。

(以上の記述はすべて個人的見解なのであしからず)

八重洲ブックセンターで衝動買いした本たち。まだAmazonで買った読んでいない本が平積みになってるというのに…。

IT社会の法と倫理
システムの信頼性についても言及されていたので。
システムと法についての議論は個人情報、プライバシー、著作権、盗聴等のコンピューター犯罪など多岐に渡っている。社会的には今はシステムの信頼性についての議論はホットじゃないのかもな、と本を一通り見いてて思った。

システム監査の理論と実践 第2集
衝動買い。amazonで買えるJIPDEC出版の本は少ないので。

CIO-IT経営戦略の最高情報統括責任者
システムの信頼性・健全性を高めるための社会的仕組みなら、何もシステム監査だけにこだわる必要はない。システムの大恐慌が起きなければシステム監査の法定化は起こりえない。
つまりシステムを使う企業が今後大きな障害や不祥事を起こさなければ良い。では、問題を起こさないようにするためにはどうしたらよいか。そのためにはトップダウンでITをコントロールするCIOの存在、そしてその教育が必要なんでないか、と。社会的観点から見ると、教育の面の整備(供給)、企業でのポスト(需要)、あとCIO労働市場の3つが必要となる。
そしてこの本を書いているのは供給側、早稲田大学大学院CIO・ITコースの方だ。既にCIOを育てるための学校ができているというのは少し驚いた。海外での教育・企業の需要についてもデータとともに言及されているので興味深い。

今日読んだ本こちらの本で出てきたCSKホールディングスの有賀貞一代表取締役の言葉が興味深かった。
IT産業崩壊の危機―模索する再生への道のり

ITサービス業界が自らITシステムや組み込みソフトの品質、信頼性、安全性を保証する仕組みを作るべきだ。もしそれでも猶ITサービス業界が自主規制を徹底できない場合は、建築3法のような「システム構築3法」といった公的な規制が必要になるだろう、という。

おそらく元ネタとなっているだろう同一著者記事がこちらに載っている。
http://itpro.nikkeibp.co.jp/article/Watcher/20070404/267345/

ちなみに、建築三法とは、「建築士法」「建設業法」「建築基準法」の３つの法律である。
建築３法って、なんのこと？

品質やコンプライアンス維持のためになんらかの仕組みがさらに必要だという点では私の意見と同じだ。ただ、システム監査法令化によって構築側を見る人間を作ろうというという自分とは違い、システム構築三法によってシステム構築企業を直接規制しようという発想である。

直接的な規制は少し時代遅れなんじゃないかと思う。企業が品質基準を保持のために政府によって監視されるというのは非効率的だ。その監視機能も市場に任せるべきだ。つまり、その品質基準保持の機能を、また別の民間組織が監視するのである。もちろん監視する側も自由競争に晒される。その形のほうが理想。もちろんその別の組織による監視というのは、私が以前から必要性を説いている、システム監査に他ならない。

他興味深かったのは、品質向上のためにとりあえずまずは自主規制を敷こう、それでもダメなら法的規制をと主張する点がベンダー企業の方らしい。法的規制がかかれば金がかかるし、利益を圧迫する。もしその規制が国内だけで取られれば国際的競争力をそいでしまう。これは新たな発見だ。国際的な足並みにそろえていかなければいけない。

なお、ご存知のとおり、建築業界内でも姉歯事件を機により品質・コンプライアンス強化を求めて規制が強まっている。
建築３法改正案、閣議決定へ
建築の業界では不祥事を機にさらに規制が強まっているというのだ。ただでさえ規制の全くないシステム産業が今後も規制がかけられず自主規制だけでコンプライアンスを保てるのかは甚だ疑問だ。

他にも興味深かったのは、システムベンダーの責任論である。
いわく、家電などには製造物責任法があるし、食品の世界でも不二家のように社会的な制裁を受けている企業もある。しかし、システムではトラブルが発生しても何ら罰せられず、いつまでも未熟のままになってしまう。 とのこと。

思えば、今までの数々発生したシステム障害を振り返ってみれば、非難の先は常にベンダーではなく、クライアントの方に向かっているように思える。みずほ、東証等。まぁ、確かにシステムは企業にとって道具でしかないので、その道具を使うベンダー側に責任がまず問われるのが道理だ。しかし、同じ道具でしかない会計の世界でカネボウやライブドアの問題に付随して会計士が罰せられ、市場から降りることになったことを思うと、今後、システムが業務の中で主体となる社会となっていけば、責任はきっとベンダーにも訪れるだろうと類推してしまう。

あんまり日本国内ではシステム監査についての情報がないので最近は海外のwebを散策中。(つっても向こうもシステム監査という切り口での情報はそれほど見つからない。ITガバナンスとか、リスクマネジメント、そのための基準などがメイン。)
で、面白そうな海外のスタンダードを2つ。

GTAG
http://www.theiia.org/guidance/technology/gtag/
CIAなどの資格試験を行っているIIA(内部監査協会)が出している、ITマネジメントやコントロール、セキュリティなどに関する基準。リスクマネジメントを前面に出して書いてるところが印象的だった。そしてこのスタンダード、これからも先鋭増幅予定の模様。
概要についてはこちらに日本内部監査協会の翻訳がある。
http://www.iiajapan.com/data/ITAUDIT_TOP.htm

次。

FFIEC IT Handbook
http://www.ffiec.gov/ffiecinfobase/html_pages/it_01.html
FFIECとは、連邦金融機関検査協議会という、政府による金融検査の基準などを作成する組織らしい。日本で言うところのFISCみたいなもの？ただ、見つけただけで、まだ読んでない。

日本では経済産業省やFISC、金融庁、海外ではISACAやIIA、そしてFFIECとさまざまなところでスタンダードを出しているのが面白い。

日本内部監査協会内ではIIAの基準とFISCの基準を比較する研究会があるらしい。
http://www.iiajapan.com/system/forum/No24.htm
既に、定員が締め切られている上、CIA資格所有者しか参加できないらしい。残念。

研究目的は、双方の内容の対応表をまとめつつ理解を深めましょう、って内容らしい。が、比較していくと、文化の違い、スタンスの違い、問題意識の違いなども感じられてなかなか楽しいんでなかろうか。

ついでだから

ISACAのstandard
http://www.isaca.org/standards

金融検査マニュアル
http://www.fsa.go.jp/manual/manualj/yokin.html

金融機関等コンピュータシステムの安全対策基準・解説書（第7版追補）
http://www.fisc.or.jp/publication/disp_target_detail.php?pid=185

「SE_ITさんは資格マニアなんですね」
と、入社後面談した先輩に言われた。いや、あくまでも自分が必要と思ったものを取ってるだけだから、マニアなわけではないんだけどなぁ。
だって、COBITの冒頭にある執筆者の方一覧に人名とcertificationと書いてあるけど、結構CISAとCISMとCIAと持ってたりだとか、その他にもいろいろ書いてあるし。
けど、今のところシステム監査の仕事する上では資格なんて必要ないんだけどネ。

たまに考えるのは、システム監査が会計士や弁護士、医者などのように免許制の独占資格になることはあるか？という疑問。
会計士が免許資格になったのは、私の記憶が正しければ、粉飾決算が相次いだ大恐慌のときに、会計士の水準が問題になったため、だったような。
同様なきっかけ、たとえば大規模なシステム障害などが起これば、システム監査人も免許資格になる可能性はあるかもしれない。会計と同様システムもかなりの高度スキルだし。(システム監査で障害を完全に防げるわけがない、という議論はまた別問題。内部統制で粉飾を完全に防げないのと同じだ)

もし免許制になるとして、どのような経緯でそうなるのだろうか。国際的にメンバーを持つCISAが選ばれるのか、日本ではシステム監査技術者が選ばれるのか、もしくは全く別の免許ができるのか。そしてそのライセンスを持つことは将来的にオイシイ話なのか。

どちらかというと、CISAは最低限スキルを保証するための資格だが、システム監査技術者は人を排除するための極めて日本的な資格。今までの日本の主たる免許のように「品質を保つため」という口実の元に既得権益を守るための道具になる可能性はある。だが、そんな既得権益を得るような社会制度構築をするほどの政治力がシステム監査に携わる人々にはない。
時代の流れを見るに少しずつ反規制、自由競争万歳な時代だから、CISAくらいの程度のものが要求されてしかるべきだと思うけど。

なので、長い目で見たとして、決してシステム監査に携わる＝オイシイ蜜がある、とはならない、残念。というのが今の私の持論。

ただ、プロとしてシステム監査に携わるのであれば、トレーニング期間を経た上、ある水準以上のシステム監査についての知識とスキルをつけた上で従事するべきだとは思う。これはプロの世界であればどこでも同じ、か。

あと、なんか、ISACAでまた新しい資格ができたみたい。
CGEIT(Certified in the Governance of Enterprise IT)だそうな。
http://www.isaca.gr.jp/cgeit/index.html

ちょっと前までは、よく、現代を幕末に例えたり、比較した記事や本を見かけたが、最近はとんと見かけない。
なぜか。流行が終わっただけなのか、変化続きでとんと文明開化にたどり着かないからなのか、もしくは既に文明開化に至ったのか。
だが、こういう仮説はどうか。

以前までは、海外から最新の情報を輸入していた状況だったのが、今では最新の情報を海外と同時に得る時代になったから。

つまり、幕末同様の黒船が海外から押し寄せてくる、というような状況ではもうないのだ。
今は、宇宙なり、異空間、もしくはイノベーションを持った何者かが世界全体に押し寄せてくる感じ、否それも微妙に違う。
異文化・イノベーションは外から突如として押し寄せてくるのではない。個人が直接それに関する情報を得に行こうと思えば行ける。インターネットが普及し、Amazonなどで洋書が容易に入手できるようになったがために、本人が得ようと思えばいける世になったのだ。

ただ。得たいのであれば英語が必要となる。

というのが、今の世界の状況。

自分の状況に翻って考えるに。
ようやっとControlなる雑誌があり、けっこう監査とかの話題が書いてあるのは知ったものの、んまぁ既に苦労はしている。
他、システム監査についての情報をより効率的に収集する手立てがみつからず、右往左往している。世界ではどのような状況になっているのか、まったくつかみかねている。

フィーチャリスト宣言だかで、梅田望夫先生が
「風通しの良い場所にいるのが一番良い。そこが、一番情報が入りやすいから」
とおっしゃっていたが。

果たしてどこに行けばよいのやら。

ちょっとある人から聞かれたので。
システム監査の仕事へ就こうか悩んでいる方から、
自分が携わっている内部統制監査の仕事と、「純粋なシステム監査」との違いはあったか？との質問があった。

ご本人にはメールで返信済みだが、ネタに。

質問の意図はよーくわかる。
自分も監査法人にシステム監査人として転職する前こんな不安があった。
「果たして、今の内部統制監査の一環でのシステム監査って、自分の思い描いているシステム監査と同じなんだろうか？
実は、単なるパシリだったりして…」

「純粋なシステム監査」、「自分の思い描いているシステム監査」。言葉は違えど、「内部統制監査の一環でのシステム監査とは違う、ISACAやjipdecなどが描いている「システムのためのシステム監査」のことだと思う。

外から見ていると内部統制監査でどこまでシステム寄りのことをするのかはわかりずらい。
で、入ってみてどうだったか。
回答としては今のところ、自分の思い描いていた仕事だった。

まず、自分が思い描いていたシステム監査とは。
今思い出してみると漠然としていたなぁ。だって絵に描いた餅で自分は携わってなかったんだもの。
それでもシステム監査技術者の午後Ⅱ論文対策していたときはこんな感じなのかなぁと漠然と考えながら書いてた。

システム監査技術者の午後Ⅱ論文では、自分がそれまで携わったプロジェクト(開発、運用、監査いずれでもかまわない)を監査する想定で論じる。セキュリティなり、開発なり、運用なり、戦略なりのテーマにそってプロジェクトの現状を分析する。その後、リスクアセスメントをして危険性の高いリスクを、挙げて、いかに監査をするべきか検討し、監査手続きを決める。その後、具体的な監査技法を用いて、監査・検証を行う(論文によっては報告も)。

以上のような流れを論文で疑似体験する(ものによってはテーマにこだわらず、監査手続きそのものについて問う問題もあるが)。

なので、私の頭にあったのは、システム監査とは
・第三者が、
・何らかのシステムにかかわるテーマに沿って
・現状分析・リスクアセスメント・監査・報告を行うもの
というようなイメージだった。

一方、現実の仕事はどうか。
今自分が携わっているのは内部統報告制度における内部統制監査の「ITへの対応」にかかる「システム監査」(正確に言えばこういう風になるのかの？)。その中でも特に全般統制のほうに携わっている。全般統制というのは、システムの業務処理の妥当性の基礎となるシステムの部分、主にシステムの基準・手続き・組織などを指す。具体的にはセキュリティ、開発、運用、戦略、外部委託などのテーマで、それこそ午後Ⅱで想定していたシステムが関わるテーマである。
そして、仕事の流れも、インタビューを通じて現状分析とリスクアセスメントをし、検証するという流れのようだ(私が携わったのは検証からのフェーズなので何とも言えないが)。

唯一、システムの最終的な目標が「財務諸表報告が正しいものか？」という一点に絞られている、というところだろうか？そこも今のところ大きくなさそうに思う。

あと、他にも転職する前は、会計士さんとの分業具合や仕事の関係、今後のキャリアパスの可能性が気になったけど、それはまた別の話。

昨日U.S.エデュケーションのCISAセミナーに行って参りました。
http://www.usedu.com/CISA/form_seminar.htm
U.S.エデュケーションで開催している、CISA講座の宣伝セミナーです。正直、CISAのガイドブック&問題集がタダでもらえる、というのにつられて行ってきたけれども、結構参考になりましたヨ。

まず、CIOという雑誌の調査で、2003年56あるIT資格のうち、最も給与の伸び率が高かったのはCISA有資格者だった、という話。
同じ記事は見つかりませんでしたが、似たような記事はありました。
【米フート・パートナーズ調査】セキュリティ資格保有者の給与水準が上昇――非保有者よりも15％高 (2007/07/09)

(以下引用)
同リポートによると、正式な資格を持つセキュリティ技術者の平均給与は、同様の職務に就いている資格を持たない技術者よりも10～15％高いという。6カ月前の時点では、有資格者とそうでない人の給与の差はこれほど大きくなかった。

　一方、情報セキュリティ以外のIT専門資格を持つ技術者の給与は、この1年間でおよそ2％下がったという。

　また、数ある認定資格の中で最も高い給与が期待できるのは、CISSP（国際的に認められた情報セキュリティ・プロフェッショナル認証資格）、CISA（公認情報システム監査人資格）、CISM（公認情報セキュリティ・マネジャー資格）の3資格だった。

(以上引用終わり)

他、参考になったのは、CISA認定要件である実務経験についての審査はそんなに厳しくない、というお話。しかも、必要とされる実務は、監査だけでなくとも、セキュリティやコントロールについてでも良いそうな。うーむ。考え方次第では、自分も実務経験がある、ともいえそう。

で、肝心のCISA講座、ちょっと引かれたなぁ、テキストに。CISA講座自体については、どうかわからんですけど、とりあえずテキストがほしくなりました。かなりわかりやすい。
CISAのレビューマニュアルが分厚い上にわかりづらいので。あのテキストだけ売ってくれたら大歓迎なのになぁ。ちなみに講座を受けると17万円です。ちょっと、どころか相当、高い。

しばらくは自力でがんばります。

アメリカからようやっとCISAのテキストが届いた。

アメリカから、つっても中身は全部日本語だけど。
で、見たらとにかく分厚い。500ページくらいだったか。
そして、製本されているわけでなく、輪っかでバインディングされているだけの冊子。

で、少し悩んだが、分厚すぎて持ち運びができなさそうなので、輪っかをはずして全部ばらした。
飾りじゃないのよ、テキストは。はっはー。

てか、ちょっと高級な両面印刷コピー機があればすぐにでも複製できてしまいそうなのだが。こんなことで良いのかしら。

今月来月は忙しいらしいので、仕事はできそうにないが、まぁ、時間を見つけてがんばりやす。

最近のお昼はシステム監査の勉強のために、英語の勉強も兼ねて、ISACAのページを眺めてる。
ISACAの会員になると、Controlという、セキュリティやITガバナンス、システム監査に関しての英語ジャーナルが自由に閲覧できる。
http://www.isaca.org/journal
「システム監査について勉強したい？だったらControl読めばいいんじゃない？」と先輩に言われたので。早速読んでみている。

システム監査に限らず、セキュリティや、ITガバナンス、内部統制など、記事は自分の関心分野なのでなかなか楽しい。まだ勉強不足だなぁ、と気づかされるが(英語も監査も)。
(ISACAの入会費は馬鹿にならないので、あまり人にはオススメしない…非会員でもお金払えば冊子で郵送してもらえるのかなぁ？高そうだけど)

そういえば、昨日ようやく、ISACAに注文したCISA過去問集&参考書(みたいなの)が届いた、らしい。らしいが、受け取れなかった。しかも再配達お願いしようとしたら電話対応時間終わってるし！

ちょうど今日で転職して1ヶ月。ちょっと落ち着いてきたので、自分がやりたくてやりたくて仕方がなかったシステム監査に携わるまでの経緯を簡単に。

●システム監査について興味を持つまで
システム監査、という分野を知ったのは、2005年冬から相次いで東証で障害があったころ。
その頃にその翌年春の情報処理資格なにを受けようか、と見ていたときに「システム監査技術者」という分野があることを知る。
いろいろと調べていくうちに、これから社会でのシステムの利用が普及していけばシステム障害の及ぼす影響って大きくなるし、システム障害を防ぐようにするにはシステム監査が必要になっていきそうだなぁ。だなんて。漠然と思ったのがきっかけ。
それからシステム監査に携わりたい、と思うようになった。

●システム監査技術者の合格から模索期間
それから猛勉強して翌年の春の2006年春に合格。
それから上司に「自分はシステム監査の仕事に携わりたい」とアピールしつづけていたのにもかかわらず、「うちにはそんな部署はない」と一蹴。
システム監査技術者が中心で構成されているシステム監査人協会の勉強会や交流会に参加してでいろいろ話を伺ってみたけど「こんな地方にいてもシステム監査の仕事できないよ」と。
東京に出ないと無理かぁ、と思いつつ、システム監査に携わるためにはPM経験もあったほうがいいだろうからもう少し今の会社でSEでやっていこう、と思い、しばらくは転職活動せずにいた。

●「やめてやる！」と思った瞬間。
その年2006年の年末の評価があまりに芳しくなくかった。昇進したてだったのもあるけど、上司に「んまぁ、ウチってこんな感じだよ。」と開き直られたのがまずきっかけの1回目。
それまでシステム監査はやりたいと思っていたけど、前職の会社はとても居心地がよかったので、ずーっと転職活動することはなかった。
その後、昇2007年夏、給の時期になって今年評価がよくない人間は昇給ない、と言われたのが2回目。その年に偶然たまたま昇進したってだけで評価が悪いせいで、昇給もナシかよ、と。
結局、金の切れ目が縁の切れ目になってしまいました。われながら浅ましい。
いや、システム監査がやりたい、という高い理想ありきだから良いのです。

●エージェントさんとの出会い
そうやって会社への不満が高まっていた頃2007年秋にこのblogのエントリーを見て、あぁ、システム監査専門の人材派遣会社てのががあるんだー、と知る。Googleで探し出してさっそく登録。
電話でエージェントさんと面談。監査法人での内部統制監査の一連でシステム監査ができるという話を伺う。待遇は会計士の方も非会計士の方も変わらないらしい(場所によっては差はあるらしいが)。
監査法人の求人を紹介できるというので、では、さっそく、と応募。

●選定過程
あまり詳しく書いたら怒られるかもしれないのでざっと。
面接と筆記。
筆記は事前にエージェントさんからSPI2と聞かされていた。筆記対策には転職者用SPI2攻略問題集を使用。正直これ一冊で十分。結構問題かぶっていたのでオススメ。

面接は。エージェントさんにも言われたのだけれど「監査」と「コンサル」とを勘違いしてないか、とか、「内部統制監査の一連としてのシステム監査」ってのと本来の意味での「システム監査」とを勘違いしてないか、とか、なぜ「監査」がやりたいのか、とか。
つまり「自分の思っていたのと違いました」と辞めていかないか見られてた気がする。

で、その後、2007年冬に内定。
そんな感じでシステム監査を知ってから足掛け2年でようやくシステム監査に携わることになる。

●最後に
紆余曲折自分で必要だと思った行動をとってきたけど遠回りだったと思う。システム監査技術者とらなくとも十分システム監査人は務まるし、監査法人は会計士の方だけの組織ではない。内部統制監査(J-SOX)でも十分「システム監査」はできる。
もっと早く正確に情報が入っていれば2年もかけずにすんだ。もっと良い情報収集の術はあったかな、とちょっと後悔している。最終的にエージェントさんとの相談で内部の事情を知ることができたから良かったけど。
なので、まずは「正しい情報」を手に入れるのが大切かと。

何か相談できることがあればメイルでもコメントでもください。