システム監査(6)　基準2　監査能力の保持と向上

【システム監査の品質を高め、組織体の状況やIT環境の変化などに対応して、効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない】

システム監査を実施するためには、監査知識だけでは足りず、ITに関する専門的な知識が必要です。例えば情報セキュリティを目的とした監査を行うのであれば、情報セキュリティリスクとしてどのようなものがあり、そのリスクに対するコントロールとしてはどのような対策が有効なのか、そしてそれがきちんと機能するような体制があるのか、理解しなければなりません。対象部署が、「対策は大丈夫です」と言っても、それが本当に大丈夫かどうかは、専門家として評価する必要があります。

しかし、専門的な知識はどんどん風化します。ITの技術は常に進化し、環境も常に変化しているからです。数年前の常識は、今日では通用しません。従い、システム監査人も、専門性を維持するために、常に研鑽を積む必要があるのです。

技術向上のためには、独立行政法人情報処理技術推進機構(IPA)のシステム監査技術者や、国際規格である公認システム監査人(CISA)を取得する他、CAAT（コンピュータ支援監査技法）の技能習得も有効です。また、ベンダが提供する各種セミナーなどに定期的に参加することも、考えられます。特に、情報セキュリティに関する環境は、常に新しいサイバー攻撃手法が編み出されていますので、情報セキュリティ会社が提供する情報やセミナーは、とても参考になります。