特別企画：システム監査人材

資格から考える
「システム監査人材」の育成と活用

有限会社ビジネス情報コンサルティング
小野 修一
2004/7/15

システム監査に関連する資格は複数ある。システム監査を実施する人員確保という面から、それぞれの資格の特徴を考察してみよう。（→記事要約<Page2>へ）

取り上げるシステム監査関連資格

▼ システム監査技術者 ▼ 公認情報システム監査人（CISA） ▼ 情報システム監査専門 内部監査士 ▼ 公認システム監査人

　2004年1月から5回にわたり、「システム監査入門」という連載を行ってきました。その中で、組織体経営における情報システムの重要性の高まりに応じて、システム監査の導入・実施の必要性が増しているというお話しをしました。システム監査は任意監査であり、導入・実施は組織体の長の意思決定によりますが、組織体が今後置かれるであろう環境を考えたとき、避けては通れません。

　任意監査ということは、極端な話、誰が実施しても構いません。しかし、そうはいっても、システム監査の実施には高い専門能力が求められ、実際には誰でもできるというものではありません。

　では、システム監査人を組織体の中でどのように育成したらよいのでしょうか？ また、外部の専門家にシステム監査を依頼するとき、どのような基準で依頼する人を選定したらよいのでしょうか？ システム監査に関するいくつかの資格がありますが、それぞれの資格の概要・特徴と併せて、システム監査を効果的に実施するための人材育成・活用の在り方について整理します。

-	システム監査関連資格のいろいろ

■システム監査技術者

　システム監査に関連した資格の代表といえるのが、「システム監査技術者」です。

　経済産業省が主導し実施している国家試験に「情報処理技術者試験」があります。実際の試験運営は、独立行政法人 情報処理推進機構（IPA）情報処理技術者試験センターが行っています。「システム監査技術者試験」は、その試験体系の一部を構成しています。

図1 情報処理技術者試験の体系　出典：情報処理技術者試験センター

　情報処理技術者試験は、さまざまな役割・レベルの情報化人材を育成・評価する試験制度であり、図1の体系からも分かるように、システム監査技術者は開発・運用側と利用側の双方から独立した立場（システム監査人の客観性の保証）に位置付けられています。

　システム監査人を育成するプロセスとして、ITの経験者に監査スキルを身に付けさせる、監査の経験者にITのスキルを身に付けさせるという2つがありますが、前者の方が短期間で一定レベルのシステム監査人を育成できます。現在活動しているシステム監査人の多くは、前者のプロセスを踏んだ人たちです。情報処理技術者試験における情報化人材のキャリアパスが示されており、前述したシステム監査技術者の育成プロセスに対応しています。

図2　情報化人材像と試験が想定するキャリアパス　出典：情報処理技術者試験センター

　「システム監査技術者試験」の詳細については、試験センターのWebサイトをご参照ください。試験は年1回4月に行われ、選択式の午前問題、記述式の午後�T問題、論述式の午後�U問題を1日で試験します。合格率は6〜7％とかなりの難関であり、合格者の平均実務経験は10年以上、平均年齢は30歳代後半となっています。先のキャリアパスが示されていることもあり、受験者・合格者の大半はIT部門で経験を積んできた人たちになっています。

■公認情報システム監査人（CISA）

　CISA（Certified Information Systems Auditor）は、米国に本部のある国際団体であるISACA（Information Systems Audit and Control Association）が認定している民間資格です。ISACAは世界中に支部を持っており、日本では東京、大阪、名古屋に支部があります。

　先の「システム監査技術者試験」がIT分野で活動してきた人がシステム監査人になることを想定した資格であるのに対し、CISAはどちらかというと、監査法人などで監査の仕事をしてきた人に、一定のIT知識を身に付けさせ、システム監査ができる人材を育成し認定することに目的を置いた制度といえます。

　CISA資格を取得するためのプロセスは、次のような形になっています。

CISA試験の合格

規定された実務経験があることの証明を添えた認定申請

ISACAによる認定

　CISA試験の詳細についてはISACA東京支部のWebサイトをご参照ください。CISA試験は全世界共通の試験で、年1回6月に実施されます。日本で受験する場合には、日本語に翻訳された問題で受験することができます。4時間で選択式の問題200問に解答するという試験であり、試験分野は次のようになっています。

分野 内容 IS監査プロセス 組織のITおよび業務システムが適切にコントロール、モニター、評価されていることを確認するため、一般に受け入れられたIS監査標準やガイドラインに従ってIS監査を行うプロセスを評価する。 ISの管理、計画および組織 ISの管理、計画、組織に関わる戦略、ポリシー、スタンダード、手続、および関連する実践内容を評価する。 技術インフラとオペレーションの実践 組織の技術上、運営上のインフラが適切に組織の業務目的をサポートすることを確認するため、その導入および継続的管理の効果と効率を評価する。 情報資産の保護 情報資産が許可なしに使用、開示、変更されたり、損傷、損失を受けないように保護するための組織上の業務用件を満たすことを確認するため、論理的、環境上の、およびITインフラ関連のセキュリティを評価する。 災害復旧と業務継続 災害時の業務オペレーションと情報処理の継続に関する文書化され、伝達され、テストされた計画を策定し維持するためのプロセスを評価する。 業務アプリケーション・システム開発、購入（取得）、実施、保守 組織の業務目的を満たすことを確認するため、業務アプリケーション・システム開発、購入、導入、保守の方法論とプロセスについて評価する。 業務プロセス評価およびリスク管理 リスクが組織の業務目的に従って管理されることを確認するため、業務システムとプロセスについて評価する。

表1　CISA試験の試験分野　出典：ISACA東京支部

　選択式のみの試験ということもあり、合格率は60％近く、「システム監査技術者試験」に比べたら、はるかに合格しやすい試験といえます。

　CISA試験合格後の認定申請についても、ISACA東京支部のホームページで詳細を確認してください。また、CISAには認定を受けた後の継続教育が義務付けられており、毎年、一定時間の継続教育を受けたことをISACAに報告し承認を受けないと、資格を維持することができません。

■情報システム監査専門 内部監査士

　これは、組織体の内部監査部門で監査の仕事に従事している人たちの集まりである日本内部監査協会が認定している資格です。

　日本内部監査協会は、組織体における内部監査の啓もう・普及、内部監査手法の研究・普及などを目的に活動を行っています。そして、内部監査の啓もう・普及活動の一環として、定められた講習を受け、定められた認定基準（論文審査）をクリアした人に「内部監査士」の資格を付与しています。内部監査士は内部業務監査を行う知識・経験を持っていると認められる人に与えられる資格ですが、内部監査の一環としてのシステム監査に分野を絞って、同様の講習・認定を行い認定している資格が「情報システム監査専門 内部監査士」です。

　試験ではなく講習と論文によって認定を受けられる資格であり、取得することは難しくありません。個人で取得するというケースは少なく、組織体が内部システム監査人育成のための教育の一環として活用しているケースがほとんどです。システム監査人育成プロセスでいうと、監査の専門家にITの知識を持たせることでシステム監査人を育成するプロセスに対応しています。詳細については、日本内部監査協会のWebサイトをご参照ください。

日程 カリキュラムの内容 1日目 情報システムの戦略と監査アプローチ 情報システム監査の基準と実務対応 2日目 情報セキュリティの管理と監査方法 3日目 EUC（エンドユーザ・コンピューティング）監査の方法 ネットワーク・システムの監査方法 4日目 情報システム監査へのアプローチ -監査計画・監査技法・監査チェックリスト・外部委託等 5日目 コンピュータ犯罪の現状と監査の対応 現代内部監査と情報システム監査 6日目 7日目 情報システム監査のライフサイクルへの監査方法 -情報システムの企画・開発・運用段階への監査方法 8日目 個人情報保護の監査方法

表2　「情報システム監査専門 内部監査士」認定講習カリキュラムの例（2004年度）　出典：日本内部監査協会

-	経験と実践能力を認定する資格

■公認システム監査人

　先に国家試験としての「システム監査技術者試験」について述べましたが、「システム監査技術者試験」に合格した人がすぐにシステム監査を実践できるかというと、大部分の人はできません。

　というのは、「システム監査技術者試験」の項でも触れましたが、この試験区分は情報化人材の最上位レベルに位置付けられており、情報システムの仕事をしてきた人の最終キャリアパスとして考えられているからです。合格者の多くが、情報システムの経験は豊富ですがシステム監査は実施したことのない人たちです。また、「システム監査技術者試験」は一度合格してしまえば、その後の継続教育などのフォローがなく、合格者がシステム監査を実施できる能力・知識を維持しているかどうかは判断できません。

　このことがシステム監査の普及の阻害要因になっているという認識が、システム監査を所管している経済産業省（当時、現経済産業省）の中にあり、産業構造審議会情報産業部会情報化人材対策小委員会で検討が行われ、平成11年6月の中間報告で次のような答申が出されました。

平成11年6月中間報告 　システム監査人がユーザ（この場合、システム監査をうけようとするものを指す）の信頼を得るためには、単なる知識等に習熟するのみならず、実践的監査経験を積むことが重要である。この観点から、従来より実施している情報処理技術者試験（システム監査技術者試験）に合格した上で、一定の有効な実務経験を積んだことを確認することにより、システム監査人として認定する制度の創設を検討する。

表3　通商産業省産業構造審議会情報産業部会情報化人材対策小委員会　出典：日本システム監査人協会

　この答申を受けて、日本システム監査人協会が制度化し、現在運営を行っているのが「公認システム監査人制度」です。制度の詳しい内容は日本システム監査人協会のWebサイトをご参照いただきたいのですが、「システム監査技術者試験」合格者の中で、システム監査の実践能力・経験があると認められる人に認定を与える制度です。システム監査の実践能力・経験は、実務経歴書・小論文・面接によって評価されます。また、一度認定を受けた後も、実践能力の維持および新しい知識の修得のために、継続教育を義務付けています。

　なお、この認定は「システム監査技術者試験」合格者だけでなく、認定要件は厳しくなりますが、CISAやITコーディネータなどの資格者も対象としています。

1/2

index 資格から考える「システム監査人材」の育成と活用

Page 1 システム監査関連資格のいろいろ 経験と実践能力を認定する資格 　 Page 2 それぞれの資格のメリットとデメリット それぞれの資格をどう活用するか

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）