専門記事紹介： Business Skills for the IT Audit and Assurance Professional

ISACAの記事「Business Skills for the IT Audit and Assurance Professional（IT監査におけるビジネススキル）」を読んだ。

「IT監査をする者には、テクニカルスキルだけでなく、ビジネススキルが必要であり、企業は組織のITの使い方や利用度に合わせて、それを監査させる者のスキルの持たせ方に配慮せねばならない」というのが趣旨だ。

「技術が分かっているだけでは、ビジネスに役立つ監査はできない」

それは全く当たり前のことだと思う。何を今更言っているのか？という気すらしてしまう。

ただし、確かに当たり前のことなのだろうが、

「技術を持っているから即IT監査人になれると思う人が溢れており、実際、そうしている人が多い」
「マネジメント自身もIT監査人を技術者扱いしてしまい、本来は共有すべき経営情報を共有していない」

といった事態が現実には多いのだろうと推察される。自身もそういう現場を数多く見てきた。

なお、せっかくなので記事の概要をまとめると、

まず、IT監査のあるべきアプローチ方法として、

1. 監査対象とする企業の属性を定義する
2. 企業の属性に応じて、その企業の8つの項目について理解する
3. 監査を行う

と述べている。ここで「1. 監査対象とする企業の属性を定義する」については、大きく以下のような種類を挙げている。

・金融業（Financial Services)
・大規模コンシューマー向け産業(Consumer-intensive)
・ヘルスケア(Health care)
・運輸業(Transportation)
・政府(Government)
・資源(Resource Industry)
・製造(Manufacturing)
・農業・漁業(Extractive)
・生活インフラ（Utilities)
・パブリックセクター(Public Sector)
・非営利団体(Nonprofit organizations9

また「2. 属性に応じて、その企業の8つの項目について理解する」における「8つの項目」とは以下のことを指している。

・業界・組織（Organization）
・統治・業務分掌（Governance）
・法規制（Laws and Regulations）
・ビジネスプロセス（Business Processes）
・オペレーション（Operations）
・技術の使い方（Use of Technology）
・ビジネス上の成果として活用される指標（Business Measurement）


先述したとおり、至極ごもっともな話だが、このような項目に対する理解は、IT監査人に限った話ではなく、企業において何らかの改善活動や仕組み作りを行う者にとっては、当然、実施すべきタスクであるように思う。私自身、企業において様々なコンサルティングをしてきたが、どのような目的のプロジェクトであっても、上記8項目は最初に抑えておく、というアプローチが最も重要だと感じている。

ただし、監査人一人に求めるスキルとしてはかなり贅沢な要求だと思う。難易度が高いわりに、IT監査人に対する経営陣の意識は低く、なおかつ、まだまだ報酬も低いのではないだろうか。特に日本においては。