伝統的な内部監査って正直、いわゆるJSOXのような会計監査系をイメージされる。実際、上場したら毎年やらないといけないから間違いでもなくて。

IIAの内部監査の定義では「価値を付加する」というワードがあった気がするけど、JSOXで価値を付加しようとするとCSA(Control Self Assessment: 統制自己評価)を２線の皆さんにやってもらえるよう理解を深めてもらうってのしか頭に思い浮かばなくて、只今実施中。おそらく今年度の経験を経れば来年からかなり自主的な活動としてCSAが根付くのではないかと期待してる。

でも、AIの台頭があり会計監査系はなんやかんやで徐々にではなるやろけど自動化の波の影響を受けそう。そういう潮流的なものと自分の会社の向かう先を考えると、システム監査、特にセキュリティコンサル的なものが今後の内部監査の課題になるんじゃないかなと個人的に考えてる。

システム開発や自分の会社が使うシステムのセキュリティなんかは監査しようと思っても専門的過ぎてなかなか難しい。この辺の知識はちょうどCISAでちょっとだけかじったので、これからCISMやCISSPなんかのセキュリティ系の知識も入れた方が自分自身の生き残りがはかれそう。

内部監査(金融は除く)よりセキュリティコンサルタントの方が余裕で年収も高いから、そっちにも精通することでアシュアランスからコンサルティング(もしくはアドバイザリー)中心に持っていければより価値を付加するという点で自信が持てるかなと思ってます。