CISA合格者 野村さん

CISA/CIAダブルライセンス取得者

マニュアル統制・ IT統制の双方を俯瞰的に評価できる人材が必要です

野村さん 保険会社勤務

現在のビジネスプロセスの構築においてITの利用がないことは考えられず、 ITシステムに関するリスクを評価できなければ内部統制/内部監査業務を実施することはできないのが現実です。
大規模なERPなどITの利用を前提とする内部統制システムにおいては、もはやビジネスプロセスのリスクとITシステムのリスクは不可分、 あるいはある程度までは同義と考えて良いかと思います。

その様な観点から、ITシステムを評価するCISAをCIAに加えて取得することのメリットは非常に大きいと思います。特に通常の監査業務や統制に対するテストにおいては従来型のマニュアル統制のテストだけでは不十分であることが多く、 ITシステムを利用した自動化統制のテストを避けることはできません。

一方で、多くの企業では未だにシステムとビジネスプロセスを別の監査担当者がレビューすることが多いのではないでしょうか。このような場合には、マニュアル統制あるいはIT統制のいずれかに対する個別のレビューは十分かもしれませんが、ビジネスプロセス全体に対するリスクは、やはりマニュアル統制・ IT統制の双方を俯瞰的に評価できる人材がいなければ、十分な検証が行えないのではないかと考えています。

CIAは伝統的な内部監査を総合的にカバーするものですし、 CISAはITシステムの運用と開発の統制をカバーするものですから、マニュアル統制・ IT統制双方にかかるリスクを統合的にカバーするには、いずれかのスキルでは不十分かと思います。

J-SOX以降、国内の企業においても内部統制の重要性は認識され、 内部監査部門は量的には充実してきているものと思いますが、文書化や評価の実施など外形的な要件から、実質的なリスクをカバーして行く上で、 あるいは個人の差別化の要因としてこの二つの資格の取得はメリットになるものと思います。 (これはシステム監査担当者あるいは通常の内部監査担当者のいずれにも当てはまるものかと思います。)

個人的にも、私の現在の業務である内部統制システムの構築と その評価のいずれにおいても統合的な知識や経験は大きなメリットになっていると思います。現在私のチームでは、SOXをベースに内部統制の評価を行っていますが、 ITコントロールの評価はどのような部門においても不可避ですので、テスト担当者のITに関する内部統制の知識の習得を推進していきたいと考えています。

CISA  CISA(無料)