21世紀のIT監査人として必要な3つのスキル (備忘録的メモ)

 ビジネスとテクノロジーのリーダーは、テクノロジーの状況とそれが将来どのようになるかを、様々な流行語を使って定義する。 IT の状態を説明するためには、「進化する」、「ペースが速い」、「破壊的」、「機敏」、「生成的」などの言葉を使うのをよく聞く。 これらは、21 世紀の IT 監査人もよく使用する用語だ。

 一方、特定の IT 管理者、最高情報責任者 (CIO)、または最高情報セキュリティ責任者 (CISO) に、IT 監査人をどう表現するかを尋ねる場合、「制限的」、「時代遅れ」、「欠陥がある」などの形容詞を使用する場合がある。 「彼らは私たちがやっていることを理解していない」または「彼らはテクノロジーがどのように機能するかを理解していない」などと言われることが多い。 このように感じている経営幹部は、監査は価値を付加していないか、監査人が単にチェックリストを調べているだけだと信じている。 したがって、第 1 の防御線 (経営陣) と第 3 の防御線 (内部監査) の間には断絶があるように見える。

 IT監査人が意識しないかぎり、こうした認識は継続する可能性があり、組織が将来に向けてビジネス目標を推進するために新しいテクノロジーを採用するにつれて、監査による管理推奨事項とテクノロジーの進歩の間に認識されるギャップが拡大する。

 監査対象のテクノロジーチームに価値を付加し、上級リーダーから否定的な目で見られるのを避けるために、現代の IT 監査人が身につけなければならないスキルが 3 つある。

1.何が収益を生み出すのかを理解すること
 簡単に言えば、これは組織がどのようにして利益を上げているかを知ることを意味する。 IT 監査人が IT 監査 (つまり、変更管理、アクセス管理、職務分掌 [SoD]、バックアップ、従来の IT 管理テスト) のみに関心を持つ時代は終わった。 監査人は企業の利益を生み出す要因を理解し、リスク評価に基づいてテクノロジーのリスクがその利益にどのような影響を与えるかを明確にし、その後、そのようなリスクに対処するための革新的なテストを設計する必要がある。 そうしないと、CIO との間に常に溝が生じることになる。 したがって、最初のステップは、収益要因を理解し、収益への影響の可能性のある分野のあらゆるコントロールをテストすることだ。 一般に、監査結果が収益への潜在的な影響に関連付けられる限り、リスクは被監査者によって理解され、受け入れられる。

2.サイバーセキュリティの重要性を認識する
  いくつかの調査では、サイバーリスクが現在から将来に至るまでの最大のビジネス リスクであると特定されている。また、予測では、このリスクの恐れと影響は増加し続けると述べられている。 ほとんどの IT 専門家が、新しいテクノロジー (人工知能 [AI]、量子コンピューティングなど) に固有の部分であることに同意するリスク要因の 1 つは、セキュリティリスクだ。すべてのテクノロジーリーダーは、組織のデータ資産を保護することを望んでいる。 IT 監査人は、サイバーセキュリティ制御をテストして理解できる知識とスキルを持っていることを明確に証明できなければならない。 これらの管理は、ほとんどの IT 監査人がレビューを終了する場所であるガバナンス領域に限定されるものではない。数年前は、監査人がフィッシング テストを実施し、ファイアウォールが設置されているかどうかを判断するだけで十分だったかもしれない。 しかし、今日の監査人は、数例を挙げると、ゼロトラスト、脅威モデリング、マイクロセグメンテーションなどのサイバーアーキテクチャ原則を理解する必要がある。 セキュリティ DevOps、クラウド、脆弱性管理ライフサイクルに関する知識も重要だ。 サイバーセキュリティの基本原則は、チェーンの強さはその最も弱いリンクと同じであるということだ。 したがって、監査人は組織のコンテキスト内のチェーン内のすべてのリンクを理解し、最も弱いリンクが特定されるだけでなく強化されることを保証する監査プログラムを設計することが重要だ。

3.適応性とリスクベースのアプローチを採用する
 ビジネスの機敏性、より迅速な開発、小規模ビジネス アプリケーションの展開をサポートするように設計された Microsoft Power Apps などのプラットフォームの場合、監査人は一般的な IT コントロールのアプリケーション テストに従来のアプローチを適応させる必要がある場合がある。 たとえば、そのようなプラットフォームは、開発者が本番環境にビルドを公開するためのアクセス権を持たないなどの管理に関して、監査人の従来の考え方に疑問を呈する可能性がある。
 このような状況では適応力が重要だ。潜在的なリスクを確実に軽減しながら、監査人がアプローチを変更できる能力を意味する。 一部のコントロールはシステムに組み込まれている。 したがって、被監査者との会話はリスク主導型であり、単に管理アクティビティを設定することについてのみ行うべきではありない。 これは、監査人が組織内の Software-as-a-Service (SaaS) ソリューションを監査し、システム管理者 (admin) がソース コードを変更できないことをどのように確認しているか、またはバックアップ手順がどのように実行されているかを監査対象者に尋ねるという形をとることもできる。

結論
 テクノロジーの将来について確かなことがあるとすれば、それは変化だ。 これらの変化は監査要件によって引き起こされるのではなく、常に進化するビジネス ニーズによって引き起こされる。 IT 監査人は、関連性を維持し、監査を通じて価値を推進し、管理環境を改善するための新しい方法を常に開発できるように、新しいテクノロジーに適応する必要がある。

2023年12月16日 土曜日