第2章:IT監査人の仕事とキャリアパス
IT監査とシステム監査
IT監査は財務報告の適切性について確認する会計監査の一環であることを第1章で説明しました。似た仕事としてシステム監査がありますが、システム監査は法定の監査ではないため、監査の時期や範囲、監査人の選定を企業ごとに自由に決めることができる点がIT監査とは異なります。
システム監査とIT監査は共通する点も多々ありますが、システム監査は、システムそのものが安全に運用されているか、有効活用されているか、といった観点で有効性を監査するものです。ガイドラインも経済産業省より出されており、会計監査とは別の観点で実施される点がIT監査と異なります。
また、IT監査は監査法人が実施するものと決められていますが、システム監査は監査法人の他、コンサルティングファームやシステムインテグレーターといったITに詳しい事業者が実施することができます。
システム監査の対象としては、個人情報保護、ITサービス、外部委託先、プロジェクト管理、IT統制、事業継続計画(BCP)、セキュリティなど、ITを軸として広範囲に及びます。
IT監査人の仕事
次に、IT監査人の仕事内容について、IT監査の年間サイクルとチーム体制の切り口で紹介したいと思います。IT監査の業務の中でも多くのIT監査人が従事する標準的な業務となります。なお、ここでは3月決算の企業を想定しているため、変則決算の企業は実施時期をずらして考える必要があります。
□IT監査の年間サイクル
・IT監査計画の作成(実施時期:8月~9月)
会計監査を実施する会計監査人と共にIT監査のスコープを検討します。
具体的には、取引の発生から売上計上までの業務プロセスの中で、財務報告に影響を及ぼす自動処理機能や監査に利用する重要なレポート機能を特定します。同時に、企業が所有する情報システムの中でも、財務報告に影響を及ぼす重要なシステムを特定します。
IT監査は内部統制監査の一環で行われますが、仮に結論が『有効(問題がない)』であれば、その後に実施される財務諸表監査における省力化にも繋がるため、会計監査人もIT監査計画の策定に関わるのです。
・IT監査の実施(実施時期:10月~4月)
監査計画に則り、企業とスケジュールを合意した期間においてIT監査を実施します。
以前はクライアント先を訪問し、数日間会議室を借り切って監査を実施していましたが、COVID-19の流行をきっかけにクライアントも在宅ワークに切り替わるケースが増えたため、IT監査も在宅での業務がベースとなり、クライアント先に訪問することはめっきり減りました。
ただ、監査の内容そのものに変わりはありません。具体的には、財務報告に関連する情報システムの管理(運用、開発、セキュリティ等)の有効性について、主に情報システム部門の管理者へのインタビューや資料閲覧等により評価を実施します。また、自動処理機能については、その機能が意図通り設計、動作していることを、仕様書の閲覧やテストデータの投入等により評価を実施します。
この点はシステムエンジニアの経験が生きるところで、会計士の中には、システムのことが分からない人が多くいます。システムエンジニアを経験した人にとっては、設計書を見たり、テストをしたりするくらいのことは誰でも簡単にできると思われるかもしれませんが、システムエンジニアを経験したことがない人にとっては分かりにくい世界です。少しでも設計やテストの経験があれば、それだけでも十分IT監査に役立ちます。
・結論の整理(実施時期:4月~5月)
IT監査を実施した結果、常に有効の結論となるとは限りません。何かしらの逸脱が発見された場合は企業に不備の内容を説明すると共に改善を促し、後日再評価を実施します。
改善すべき不備のうち、現場で解決できるものについてはクライアントが自力で解決をしていくのですが、抱える課題が現場で解決することのできないハイレベルなものである場合は、どのように解決していくべきであるかをマネジメントレターとしてまとめて提出し、経営層に向けて改善を促していきます。
また、タイミングは少しずれますが、監査法人は定期的に会計士協会等の外部機関の審査を受けることがあり、監査したクライアントが審査対象に選ばれるとその対応に追われます。これは監査事務所の品質管理の一環として法律により実施が義務付けられているもので、監査実施者が行った業務をさらに第三者の視点でチェックします。監査を実施する側の監査法人もまたその品質を厳しくチェックされているのです。
これまで1社の流れを詳しく説明してきましたが、IT監査人はそれぞれ一人当たり10社から、多いと20社ほど割り当てられて並行して監査業務を実施します。会計監査人は1社に対してビジネスの理解から数字のチェックまで深く関わるため5社ほどしか関与しないことを考えると、関わり方に大きな違いがあると言えるかもしれません。
また、日本では3月決算の企業が多いため、IT監査が実施される秋口から翌年の春まで慢性的な高稼働が続きます。ただ、後述しますが高稼働といっても36協定がしっかりと守られているため、IT業界でイメージされる高稼働とは異なります。
□チーム体制
IT監査のチームは、企業数の割合の多い小~中規模のクライアントを例にすると、パートナー1人、マネージャ1人、スタッフ1人~5人で構成されます。また、こちらに業務推進をサポートするアシスタントスタッフが加わることもあります。
・パートナー
IT監査のパートナーは、当然ながら配下のメンバーの作成した監査調書に対して全ての責任を負います。パートナーには、監査の品質面のみならず、監査業務の職業倫理の観点、セールスの観点から責任者としてメンバーを統括することが求められます。一方、会計監査パートナーとの違いとしては、有価証券報告書に対してサインを行ったりはしません。
・マネージャ
マネージャは、IT監査のリーダーとしてシニアスタッフやスタッフなどのメンバーを生かしながら任務を遂行する「現場監督」的な役割を担います。具体的には、チーム組成から監査計画の作成、スタッフへの作業割り振り、監査調書の確認、クライアントとの折衝など、チームのコアメンバーとして深く関わります。
職位としては、シニアマネージャとマネージャに分かれていますが、シニアマネージャはマネージャより大規模のクライアントを担当することが多く、特定の分野において一目置かれる存在であることが期待されています。
・スタッフ
スタッフは、資料を閲覧したり、クライアントへのインタビューに基づき監査調書を作成したりすることが業務の中心となります。
スタッフは、シニアスタッフ、スタッフ、ジュニアスタッフに分かれていることが多く、学卒や第二新卒、システムエンジニアでも経験の少ない人はジュニアスタッフで入社するのがほとんどです。シニアスタッフになると中堅であり、スタッフの成長をサポートしたり小規模クライアントであればIT監査の主任を担当したりします。
また、最近では昇格の条件として、システム監査に関わる資格であるCISAやシステム監査技術者の取得を義務付ける監査法人もあります。
IT監査人のキャリアパス
IT監査人のキャリアパスは、下図に示すようにスタッフ、シニアスタッフ、マネージャ、シニアマネージャ、パートナーといった順にステップアップしていき、もちろん人によりますが、順調にいけば3~4年で次の職位へと昇格していきます。
少し補足をしておきますと、監査法人における役職は、一般的な事業会社における部門長や課長のようなポストとは異なります。事業会社では原則、部門長が部門で一人、課長が課で一人しかいないのに対して、監査人での焦点はあくまで監査スキルであり、現在の職位におけるスキル要件を満たせば昇格できるのが事業会社と異なる点かと思います。
また、キャリアとしては、IT監査人としてパートナーやパートナーに準ずる役職まで昇りつめる人もいれば、途中で卒業(退職)する人もいます。
退職された人の転職先をすべて把握しているわけではありませんが、私の周りでは、再びシステムエンジニアとしてIT業界に戻る人が多い印象です。IT監査は作られたシステムの品質を保証する業務のため、作ることと保証することのどちらが自分に合っているかを考えたときに、やはり作る方がいい、と判断をする人もいます。
また、IT監査での経験を生かして事業会社の内部監査部門やリスク管理部門に転職する人もいますし、コンサルティングファームに転職する人も時々います。面白いところでは、IT監査の中で会計監査に触れ、会計監査の魅力に惹かれて公認会計士やUSCPA(米国公認会計士)の資格を取得し、内部で会計監査人に転身する人もいます。ITと会計の両方のスペシャリティを持った人が多くはないため、監査法人の中でも重宝される人材になることができます。
このように、IT監査を経験したのちの転職先は様々ですが、どの業界に移るにしてもIT×監査の経験は次の職場でも生きてくると思われます。