エンジニアの新たな舞台、ITリスク管理・システム監査：ITエンジニアの新しいキャリアパスを追う（1）（1/3 ページ）

[渡辺知樹，ランディングポイントジャパン]

日本版SOX法の内部統制、企業のIT化の影響で、いま、ITエンジニアに新たな活躍の場が広がっている。リスクコンサルタントやシステム監査人、情報セキュリティ担当といった職種だ。これらの職種に就くには、内部統制や監査の知識だけでなく、ITエンジニアの経験が大いに役立つ。本連載では、こうした職種が求められるようになった時代背景や、仕事内容、代表的なキャリアパス、すぐに取り組める勉強法と関連資格について、2回にわたり紹介する。

企業がリスク管理を強化する背景とは

　何か最近、自分の会社や顧客の会社でルールや手続きが増えてきたと思いませんか。例えば、「業務手順をマニュアル化しろ」といわれたり、やたらとシステム回りの申請や承認処理が増えたり、ログや記録をレビューするように依頼されたり。開発者であれば、コーディングのルールが増えたり、テストの要求レベルが厳しくなったり、あるいは最初からセキュリティを強化した仕様を求められたり。

　このような風潮の背景として、米国SOX法や日本の金融商品取引法、日本版SOX法に見られる内部統制の強化、コンプライアンス（法令や公的な基準を確実に守ること）の厳格化があります。なぜそのような方向へ社会が動いているのでしょうか。

　少し前の話ですが、自社の財務情報を不正に水増しし、あたかも業績が絶好調のように見せかけ、投資家をだまして不当に株価をつり上げた事件が米国と日本で発生しました。不正が発覚した会社は倒産や上場廃止になり、最終的にそれらの会社の株を保有していた多くの投資家が損をしました。中には老後資金の大半を失ってしまったというような個人さえいました。資本主義社会の投資活動や経済活動は、企業の開示する財務報告への信頼の元に成り立っていますから、このような不正が可能になるということは社会の根幹にかかわる問題です。健全な社会の発展のためには、不正が起こる可能性をできる限り低くしなければなりません。

　また、一見順調にビジネスを展開していると思われる企業でも、内部のミス、過失、不正などによって思わぬ損失を被ることになります。皆さんは、不正が発覚した企業の経営者が、記者会見で頭を下げるシーンを何回も見たことがあるのではないでしょうか。不正を許す緩い企業文化があった、強欲でモラルの低い経営者がいて暴走を止められなかったと切り捨てるのは簡単です。ここでもう一歩踏み込むならば、どうすれば暴走を止められたのか、また、経営や個々の業務をチェックする仕組みをつくることはできなかったのかを問うことが重要だと思います。このような仕組みを作り、コーポレートガバナンスを効果的に行うことができていれば、経営上の問題を回避したり、低減でき、社会的な混乱や損失を防ぐことができたかもしれません。

「システム監査」「情報セキュリティ担当」が求められる理由

　こうしたことから、「予測されるリスクを想定して影響の大きいものについては、あらかじめ必要な対応策を実装しておく」という考え方が出てきます。また、セキュリティポリシーのような基本方針を作ったうえで、ルールに沿って組織的にリスク対策や情報保護に取り組む必要が出てきます。

　こうした対応をするのがリスク管理や情報セキュリティの仕事であり、企業活動の仕組み全体が有効に機能しているかをチェックするのが監査の仕事なのです。昨今、このような技能を持った人材へのニーズが急速に高まってきていますが、まだまだニーズの高まりに対して専門家の数が足りないのが実情です。特に企業の業務の多くがITに依存していることから、このような仕事をITの分野で行う専門家が必要になってくるわけです。

　発生しそうなリスクを識別し、その評価や分析を行い、計画を立てて全社のリスク対応策をリードするのが「リスク管理」、その中で情報リスクを管理し、情報セキュリティポリシーを運用するのが「情報セキュリティ」の仕事です。

　そして、全社のリスク管理の仕組み、すなわち内部統制システムがきちんと実行されているか、またその内容が本当にリスクの低減に役立っているか、ITにおける内部統制の有効性をチェックするのが「システム監査」の仕事です。

　ITで想定されるリスクには次のようなものがあります。業務システム開発時に正しくユーザーの要求が仕様書に反映されているか、仕様書どおりに設計・実装されているか、十分なテストがなされ、品質が確保できているかといった点が懸念されます。運用においては、正規のシステム管理者やユーザー以外、関係のない第三者にアクセスされないID管理をしているか、問題や障害が正しく報告され、適切に解決される仕組みがあるか、関係者や責任者が認識しないシステムの設定変更や改変を防ぐ仕組みがあるかなどが内部統制上、要求されます。

　分かりやすい例でいうと、ユーザーがシステム管理者に電話をして依頼するとすぐにIDが発行される、というID管理では、内部統制という意味では問題です。関係ない人でもIDを不正に取得できてしまうからです。利用部門の社員だけが申請し、また利用部門の責任者が申請内容をチェックして「この人にIDを与えてもいい」と承認して初めて、システム管理者がIDを作成するという仕組みが必要です。

　そして、せっかく作ったITの仕組みがきちんと実行され、リスクの低減に役立っているのかをチェックするのがシステム監査人の仕事です。上記のIDの例であれば、ID管理についてどのようなルールやプロセスがあるのかを確認したうえ、過去のID申請・作成の履歴や記録を調べ、業務上理由のある人にだけにIDが発行されているか、発行されていない例が混じっていたとすると、何か不備や欠陥があるのかを調べて、どこを改善する必要があるのかを勧告したり、結果を経営陣に報告したりします。

　特に現在、上場企業では金融商品取引法、いわゆる日本版SOX法で要求される内部統制の仕組みを構築して運用する必要があります。最初は多額の予算を割いて外部のコンサルティング企業に依頼することはある程度仕方がありません。しかし、いったん仕組みが構築できたら、高額な経営コンサルタントや監査人は最小限に抑え、内部リソースを確保して仕組みを運用していくことになるでしょう。

　また、銀行、証券、保険といった金融機関においては、監督官庁である金融庁が膨大なマニュアルやガイドラインを用意しており、適切なリスク管理、内部統制の仕組みを整備するように強く求めています。そのため特に金融機関では、リスク管理や情報セキュリティの職種に対するニーズが高いといえます。

　企業活動においてIT導入が不可欠である現在、あらゆる企業でこのようなプロフェッショナルが求められています。企業内部のITリスク管理担当、情報セキュリティ担当、ITセキュリティ担当、コンプライアンス担当、システム監査（IT監査人）といった職種です。監査法人や経営コンサルティングファーム、セキュリティサービス企業など、サービス提供者として顧客を支援する立場の企業でも、同様の職種が求められています。特に、ITの下地があって、そのうえ内部統制、業務、会計、企業経営の知識などの複数の経験や知識を持った人は少ないので、大いに活躍の機会があります。

　さらにいえば、経営を直接サポートすること、高い専門知識が要求されること、何より圧倒的な売り手市場でニーズの高まりに対して人材が少ないことによって、一般のエンジニアに比べて給与や社会的な評価で高待遇が期待されることを挙げておきます。