(※本稿はアフィリエイト広告を利用しています)
今回は、公認情報システム監査人(CISA)という資格を持って、ITシステムの監査を本業としてきている私の実体験に基づいて、代表的なIT監査職を紹介をしたいと思います。
私自身が、IT監査の分野で、主要な複数の領域を実際に経験しているという意味で、実体験に基づく生の情報を公開できると思っています。
この記事を書く私の経歴は以下の通りで、情シス出身の現役のIT監査人です。
- 新卒で入った上場企業の情報システム部門で社内SEとして保守・運用に従事
- 監査法人(大手・中小)にて会計監査の一環としてのIT統制監査の外部監査に従事
- 会計系コンサルティングファームにてIT統制、ITリスクガバナンスの内部監査・経営者評価の支援アドバイザリーに従事
- 公認情報システム監査人(CISA)と公認会計士を保持
まとめると、
・内部監査(コンサル)
・一般事業会社
・大手査法人
・中小監査法人
・アドバイザリー
ということで、IT監査の分野で、主要な全ての職場と領域を経験しています。
また、合わせて、私がこれまで仕事を通じて知り合った方々の経歴やキャリアの遍歴例も含めご紹介するので、かなりの生の事例をカバーできると確信しています。
ちなみに、なぜ、このような記事を書くのか。
それは、私自身が、夢も希望もない鬱屈した情報システム部員だったころから、今IT監査人をやるようになって、本当に世界が広がったし、柔軟な働き方を得られたからです。
とはいえ、監査人という職業は「専門家」職です。ある程度の修行期間が必要だし、いくらかの適性も必要な職種であることは確かでです。
ただ、修業期間といっても4,5年程度で、それで大体の基礎はつくので、そこから先は、更に外部監査を深掘りしてもいいし、コンサルしてもいいし、人それぞれ進みたいように進めばよいと思います。
システムエンジニアや情報システム部門から別の職種に変えたい人に向けて、少しでも正確で、多様な情報をお届けできればと思います。
そのために参考になればい幸いです。
IT監査人のキャリア形成
IT監査が未経験である場合には、まずは、監査法人での経験をオススメしています。
理由は、ITリスクの評価と監査手続きを、実務を通して体系的に経験する必要があるからです。そして、それを経験できる最も効果的な場所が、監査の専門集団である監査法人だからです。
私は、監査法人系のコンサル会社で、ITガバナンスのコンサル部門にいたことがありますが、監査法人の外部監査を経験しないで、コンサルからIT監査を始めた同僚を見ています。
コンサルというのは、無限の会社の状況に応じたリスクの評価と対応の方法について、広い提案スキルが求められますが、
これには、外部監査で求められる体系的な理解が不可欠であり、それがないと遠回りになると感じています。
ただし、既に大きな上場企業へお勤めの場合で、内部監査部門がある場合には、社内異動をして監査を経験するのはありだと考えます。
そのような会社には、IT監査の経験者がすでにメンバーにいる可能性があったり、学べる機会があるためです。
ただし、上述の記事にも記載した通り、IT監査の基礎を得られるのは、最先端の監査ノウハウを蓄積している監査法人です。
IT監査から得られる経験・スキル
❏ 身に付くスキルの例
(※IT監査やITガバナンスの領域の中での経験分野により少しずつ異なります。)
・様々な業界の業務プロセスとリスク評価
・ITガバナンス全般
・システムリスク、サイバーセキュリティ
・データ分析、データ監査
・最新のIT技術への広い理解
❏ 必ずしも身に付かないスキル
(※通常のIT監査を経験するだけでは身に付かない、という意味です。)
・システム導入プロジェクトのプロマネ
・コーディングを行うエンジニアとしてのスキル
・最新のIT技術を自ら構築する能力
IT監査を経験することによるキャリアの選択肢
ここでは代表的な例をすべて挙げてみました。私が経験していないものも含めておりますが、知人の事例も含めて、紹介しています。
❏ IT監査を熟知した専門家として、上場企業の監査役に就任する
<背景>
上場企業は、財務諸表と同様に内部統制報告書というものを開示しなければならず、それに対して、外部監査を受ける義務がある。内部統制の中でもIT領域のガバナンスに重きがある場合には、IT監査の経験が豊富な人が監査役や外部監査役に就任することも多い。
❏ IPOを目指すベンチャーのCIO、CTO
<背景>
IPO(上場支援)を経験することにより、IT監査およびITガバナンス全般の理解をしており、
上場を目指す企業が、内部統制の整備が必須である上場企業を目指すにあたり、IT統制を熟知している監査経験者を求めるケースは多い。
❏ 監査の水準の高い金融機関や上場企業の内部監査部門
<背景>
規制業種の金融機関(銀行、保険、証券等)、暗号資産交換業者、社会的な重要インフラを担う上場企業などでは、その社会的影響力の大きさから高度な内部統制を要求されており、内部監査部門はIT監査経験者を求めている。
❏ IT監査人として独立する
(監査法人の外部協力者としての受託契約、会社内部からのコンサル)
<背景>
中小の監査法人は、IT監査人の確保に悩んでいます。経験豊富なIT監査人は、そうした中小監査法人からの業務委託の需要があります。
また、同様に経験豊富なIT監査人が、比較的規模の小さい上場企業のIT統制のコンサルを行ったり、経営者評価支援を行ったりすることがあります。
(大企業に対しては、監査法人のコンサル部隊が入り込んでいるため、受託契約は難しいと考えます。)
キャリア実例紹介(IT監査人の知人を例に)
大手監査法人とはBig4を指します。
(Big4とは、世界の4大会計ファームであるDeloitte、EY、KPMG、PwCを指します。)
私の経験だけでは限界もあるので、大手監査法人のIT監査部門で働いていた時の知り合いの経歴もご紹介します。
かなり多種多様で、可能性が大きい職種であることが見て取れるかと思います。
| A氏 | 開発エンジニア➡大手監査法人のIT監部門➡IPO準備会社の内部監査室長へ転職 |
| B氏 | 上場企業の情報システム部➡大手監査法人のIT監査部門➡金融機関の内部監査部門へ転職 |
| C氏 | SIer➡会計士取得➡大手監査法人のIT監査部門➡税理士法人(IT化プロジェクト担当) |
| D氏 | 大手監査法人の会計監査アシスタント➡IT監査部門へジョブチェンジ |
| E氏 | 公務員➡監査法人のアドバイザリー➡監査法人のIT監部門にジョブチェンジ |
| F氏 | 金融機関のシステム部門➡監査法人のIT監査部門➡コンサル会社のシステムリスクコンサルタントへ転職 |
| G氏 | 開発エンジニア➡監査法人のIT監査部門➡上場企業の内部監査部➡監査法人のIT監査部門への出戻り転職 (同じ法人に戻った ※) |
| H氏 | 上場企業のシステム部門➡大手監査法人のIT監査部門➡別の大手監査法人のIT監査部門(同業転職) |
| I氏 | 大手監査法人のIT監査部門➡独立(業務委託、社外取締役) |
※大手監査法人や監査業界では、出戻り就職というのがよくある話です。もちろん、中である程度の年数(4、5年程度)経験を積んでおり評価されていることが大前提ではありますが、基本的に普通にきちんと仕事をしていたのに、出戻りで採用されない、ということは、よほどの人材余りの氷河期でない限り、ほとんどないと思われます。
IT監査人後のキャリアの留意点
ここで、一つ補足しておきます。
私の周囲での話しにはなりますが、以下のパターンの方がいませんでした。
つまり、私の周りにおいては、システムエンジニアだった方が、IT監査人を経て、再びエンジニア(開発、保守等)に戻るという例が一人もいなかったのです。
IT監査人の知人と話していても話題にもなりましたが、統計を見たわけではありませんが、このようなパターンは実際にもあまり多くはないと想像しています。
この理由としては、知人と話した中でも挙がりましたが、あくまで想像の域ですが、
・エンジニア経験者でも、IT監査人としての経験が長くなり、再び開発の現場に戻ることに対して、技術的にも社内立ち位置的に、敷居が高くなってしまう。
・ある特定の企業の社内SEの経験は、実は、他社のシステム部門との親和性がそこまで高くないので、監査経験を経るとなおさら敷居が高くなる。
が考えられます。
ただ、キャリアに正解はありませんし、それぞれのスキル、経験、個性にあったキャリア選ぶべきです。
せっかくなので、生の1つの情報として共有しましたが、こうした1つのデータにあまり囚われることなく、キャリアを考えて頂ければと思います。
職種ごとの紹介
監査法人
一昔前は、監査法人の残業は多く、疲弊する時期や環境もあった多かったのは事実です。
しかし近年、特に大手監査法人の環境は改善されており、繁忙期はあるものの、極端に残業が多くて病んでしまうといったことは、ほとんど聞かなくなりました。(あくまで私個人の周りの状況です。)
(ただし、残業代は、正当なものはきちんと請求できる環境ではあります。)
私はこの改善の変化の過渡期に、大手監査法人で勤務しておりましたので、最近は働きやすくなってきてると思います。
❏ 向いてる人
・特徴として、比較的多くの人が、複数社の担当をすることになるため、仕事を同時並行で進めるマルチタスク能力が求められます。
シングルタスクでないと仕事ができない方は、向いていない可能性があります。
・会社に対して、監査で必要な要求をロジカルに伝達し、コミュニケーション取れる人
・専門家として、自力で必要なスキルや知識を学習しキャッチアップしていく姿勢
(監査法人は、OJTを期待したり、他力本願だと成長しない組織です。)
監査法人のIT監査を、以下で詳細に解説していますので、ご参照ください。
内部監査部門
実は、IT監査経験のある人材を、上場企業の内部監査部門は非常に求めています。
特に規制業種の金融機関(銀行、保険、証券等)、暗号資産交換業者、社会的な重要インフラを担う上場企業などでは、その社会的影響力の大きさから高度な内部統制を要求されており、IT監査人の需要が高い傾向にあります。
しかも、そうした需要が高い企業では、比較的高めの年収が出やすい傾向にあります。
そのため、監査法人の経験があると比較的、転職しやすい状況です。
❏業務内容
IT監査の内部監査については、大きく二つの視点での監査が求められます。
②ITガバナンスの観点からのITセキュリティの評価(「システム監査」)
この二つは監査手続きとしては重なっているところも多いですが、アプローチの仕方が少し違うので、分けています。
監査法人で培われる経験は、①の方ですが、②の方も対応は可能です。
この辺りは、以下の記事でももう少し具体的に紹介しています。
❏内部監査という職種のメリット・デメリット
会社によって内部監査部門の、会社内部におけるプレゼンスがかなり異なるので、やりがいや収入に大きな影響を受けます。
金融機関やかなり大きな上場企業、社会のインフラを担う影響力の大きな企業では、内部統制の要請が高く、IT統制も多いため、内部監査部門のプレゼンスが高く、仕事のやりがいが高い傾向にあります。
ここで、やりがいの高さは、内部統制の複雑さと業務量、責任の大きさと相関することは留意が必要です。
単純な内部統制、簡単な仕事を求めるということであれば、小規模の上場企業の方がいいでしょう。
その場合には、IT統制の監査だけだと、仕事量が少ないので、他のIT監査以外の職務も担うことが一般的です。
ただし、簡単で業務量が少ないからといって、必ずしも幸せなワークライフを送れるとはかぎりませんので、その点は十分に会社の事前研究をするようにするべきです。
❏ 求められる能力
- 特徴として、比較的多くの人が、複数社の担当をすることになるため、仕事を同時並行で進めるマルチタスク能力が求められます。シングルタスクでないと仕事ができない方は、向いていない可能性があります。
- 会社に対して、監査で必要な要求をロジカルに伝達し、コミュニケーション取れる人
- 専門家として、自力で必要なスキルや知識を学習しキャッチアップしていく姿勢(監査法人は、OJTを期待したり、他力本願だと成長しない組織です。)
内部監査の業務の詳細については以下をご参照ください。
監査法人アドバイザリー、コンサルティングファーム
ここではITリスクガバナンス領域のコンサルタントという職種を紹介します。
コンサルなので、外部監査は行いません。以下のような分野の業務に携わることになります。
私は以下を全て経験しております。
❏業務内容
・金融機関に対する金融庁監督指針に基づくシステムリスク評価支援
・M&AにおけるITDD(ITデューデリジェンス)
・IPO準備企業に対するIT統制の導入支援
・システム導入支援とIT統制導入の抱き合わせプロジェクト
・ISMSの取得支援
・SOC1レポート取得のためのアドバイザリー
また、監査法人の外部監査と似た分野の仕事を担当したとしても、監査法人以上に、コンサルでは以下のような業務の比重が高くなります。
・クライアントとの綿密なコミュニケーション
・プロジェクトのマネジメントとリーダーシップ
・専門家としての見解の積極的な提案と指導的な役割
・プロジェクト収益管理
・短期・中期の複数案件の同時進行
このような業務を担当するにあたって求められる能力を挙げておきます。
❏ 求められる能力
・営業力
・クライアントへの積極的なサービス提供精神
・クライアントへの報告プレゼンテーション能力
・複数案件を同時に進められる効率的なマルチタスク能力
アドバイザリーとしてIT監査を行う場合の詳細については、以下をご参照ください。
IPOを目指すベンチャーのCIO、CTO
監査にとどまらず、システムリスクや個人情報保護といった情報セキュリティの全般を担い、会社のITガバナンスの構築を行う。
経営陣であるため、広く会社のリスクガバナンス領域でのリーダーシップが求められる。
❏ 求められる能力
①会社のマネジメントとして、幅広い視野で意思決定をする能力が求められます。
この点、IT監査人の中には、監査で求められる監査基準への準拠に拘泥するあまり、杓子定規にしか仕事をできなくなっていく方がも多いように思います。
しかし、経営の立場になると、常に会社のリスクを考え、柔軟にどのようなガバナンスが必要かを考えてリーダーシップをとっていくことが求められます。
そこが監査人よりも更に重要となってくる能力です。
②マネジメントの立場になるので、より円滑なコミュニケーション能力が必要です。
独立してIT監査を行う
中小の監査法人は、IT監査人の確保に悩んでいます。経験豊富なIT監査人は、そうした中小監査法人からの業務委託の需要があります。
また、同様に経験豊富なIT監査人が、比較的規模の小さい上場企業のIT統制のコンサルを行ったり、経営者評価支援を行ったりすることがあります。
(大企業に対しては、監査法人のコンサル部隊が入り込んでいるため、受託契約は難しいと考えます。)
❏ 求められる能力
まず根本的に、独立したら、全て自分で仕事の管理をするので、サラリーマンとは異なる能力が求められます。IT監査人として求められる上記の能力の他に以下のような点を挙げておきます。
②人脈
③専門知識のキャッチアップ
1つずつ説明します。
①営業力
サラリーマンと違い、自分で仕事を獲得する能力、あるいは収入を作る力が求められます。
クライアントを獲得して契約すること、単価を交渉すること、クライアントへのサービス内容を決定すること。
これら全てアレンジしていく能力が、独立における最大の要求事項です。
②人脈
これは、クライアントであったり、元同僚であったりと、様々ですが、①と関連して、人脈があった方が圧倒的に収入を得る上で有利です。
人脈があれば、あらたに新規でクライアントを獲得する必要がなく、クライアントの紹介を受けたり、既存のクライアントからも紹介を受けたりすることができます。
独立すると、働かなければ無収入なので、人脈がある方が圧倒的に、収入を得やすいです。
それには、信頼が必要です。
自分のやっている仕事で信頼を得ること。これが、非常に重要な要素です。
③専門知識のキャッチアップ
独立すると、組織であれば得ていたであろう情報の取得が断たれます。
したがって、積極的に、自らトレンドを理解し、情報や、技術を自ら取りに行く必要があります。
特にIT監査では、日々IT技術は進歩しているので、大切な要素です。
独立のケースについては、以下の記事に具体的に紹介してるので、ご参照ください。
転職方法
IT監査人としての転職のパターンごとに、手段をまとめました。
詳しくは以下の記事にまとめていますが、ここでは概略を紹介します。
転職パターン
自身の転職経験や、転職のパターンによって、いくつかの戦略が考えられます。
私の経験を踏まえて、パターンごとに紹介します。ただ、これは人それぞれですので、ご参考程度にどうぞ。
❏ 事業会社➡監査法人
エージェントを使った方がいいと考えます。
監査法人は事業会社とかなり違う組織体系や組織文化を持つため、エージェントから情報をもらった方がいいです。
❏ 監査法人➡監査法人
エージェントを使ってもいいし、ビズリーチや直接応募でもよいです。
監査法人の事情は、もはや自分自身や知人の情報も十分あるため、直接応募やビズリーチでの企業からの直接スカウトで応募してもよいでしょう。
❏ 監査法人➡事業会社
エージェントを使った方がいいと考えます。
基本的に事業会社への転職は、人脈での転職でない限りは、エージェントを使った方がいいと思います。
背景
私は、監査法人から会計事務所の転職で以下のエージェントでお世話になりましたが、
その後会計事務所からコンサルや監査法人に再度転職する際には、ビズリーチと直接応募に切り替えました。
その方が、より自分軸の転職活動ができるためです。
エージェントは様々な情報を持っており、収入交渉や相談などをして頂ける半面、
やはり、営利企業ですので、どうしても転職への後押しが強いと思う局面もあり、
自分のペースを乱される部分がありました。
人それぞれですし、自己判断にはなりますが、上記もご参考ください。
まとめ
以上、公認情報システム監査人(CISA)を持っていることで、このようなキャリアの広がりが期待できます。
IT監査をより深く知りたければ、知人やつてをなどを使って、ご自身で生の声を通して情報収集してみてください。
最後に私のオススメのルートである大手監査法人(Big4)への転職については、以下をご参照ください。
今回は私自身と、私の周囲の情報をまとめましたが、一つの参考としてお役にたてれば幸いです。
