Infosec Europe 2013 の３日目のキーノートセッションでは「監査人は敵か味方か」という刺激的な題名の議論が繰り広げられました。

私の本業は実は内部統制やシステム監査なので、このセッションでは大変興味深い意見を聞くことができました。
パネルの一人であり、Jericho Forumの理事であるPaul Simmonds氏は長年内部監査や、外部の監査人として活躍して来た経験を踏まえ「セキュリティに対する最大の脅威は実は監査人です」と、イギリスらしい身も蓋もない意見を発表し、会場に集まったセキュリティ監査人やシステム監査人が手を叩くという光景が繰り広げられました。
会場には監査法人に勤務する参加者などもいるにも関わらず、本質を突いた意見を述べる所が、イギリスらしいイベントです。

Simmonds氏曰く「システム部に外部監査人がやってくる。外部監査人というのは、そもそも監査法人やコンサルファームに所属しており、監査業務の一番の動機は、顧客からいかに沢山のフィーを徴収するかということだ。そのために、監査で指摘する項目は、次のプロジェクトを得やすい物になるし、あまり厳しい指摘はしない。厳しすぎると顧客をおこらせてしまう。それに、利益を増やすにはできるだけ人件費が安い監査人を監査に派遣することが大事だ。だから大学を出たばかりの若くてあまり知識がないスタッフにチェックリストを持たせて『これをチェックしてくればいい』とやる。だから本当の問題点や脅威を洗い出すことができない」

これは非常に痛い指摘です。外部監査人は指摘をするのが仕事ですが、次のプロジェクトがなくなったら会社が潰れてしまいます。

一方、 GE Capital EuropeのJitender Arora氏は、Simmonds氏の意見に反対します。「外部監査人はクライアントと同じ目的を持っている。プロであれば、クライアントのことを考えて、脅威や問題点を率直に指摘する物だ。それには、監査人とクライアントが信頼関係を作ることが大事だ。それには、まず監査人が、利害関係者の表を作り、どのような指摘やアクションが、その人に対してどんな影響が利点があるのか、辛抱強く説明しなければならない」

つまり、顧客と監査人といっても、信頼関係を構築することが大事だ、というわけです。信頼関係を構築するには、クライアント側も監査人のプロとしての知識や技能を信頼し、説明には親身に耳を傾ける必要がありそうです。監査というのは、決して楽しい作業ではないので、難しい活動ですが、監査人の言うことは、業務を良くするための機会だ、として耳を傾ける必要がありそうです。

両氏は、企業は内部監査人をもっと重要視すべきだ、という点では合意します。内部監査人は通常企業の内部の人間としての立場にあり、外部監査人に何かを指摘される前に、事前に問題点や脅威を指摘してくれる。内部監査人自身が、内部監査というのは、会社のためになるし、外部から何か指摘される前の防御壁になるということをアピールすべきだろう、というわけです。

開発や運用に関わっていると、プロセス改善やシステム監査などは「業務を邪魔する面倒くさい物」ととらえる方が少なくありませんが（帰れ、一昨日来いとか言われて、半分泣きながら帰らざる得ないことがございますね。。。皆さん）外部監査で指摘されない問題点や、自分では気がつかなかった点を改善する前向きな活動なのだ、ということを、監査人自身がもっとアピールして行く必要がありますね。