監査とITの間の言葉のギャップ
今、SOX法とか内部統制関連の仕事などもやったりしてます。自分は、一応、システム監査技術者でもありますし(公認情報システム監査人(CISA)の資格も持ってましたが、会費を払い忘れて資格を剥奪されてしまいました(T_T))。
監査関係の仕事をやっていて思うのは言葉の意味がわかりにくいということです。たとえば、最近よく聞く内部統制という言葉ですが、
「 基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス」
なんて定義されたりしています。「不正やミスを防ぐための社内のチェック機能」と言えば済む話なんですが、わざわざ言葉を難しくしているような気がします。
他にも、監査の世界での「リスク」という言葉の意味は、IT系の人が通常考えるイメージよりもはるかに広かったりします。効率性達成の阻害要因はすべてリスクと呼ぶようです。たとえば、「購買において相見積もりをしていないことがある」というのはリスクです。必要以上に高い買い物をすることで投資の効率性が損なわれる可能性があるからです。リスク→潜在的問題点と翻訳して考えた方がよさそうです。この辺、最初に確認しいておかないといつまでたっても意思疎通が図れないといったことになりかねません。
一方で、ITの外部者に「『ビジネス・インテリジェンス』なんて言わずに『ユーザーによるデータ分析』と、『SOA』と言わず『ソフトウェア部品化手法』と言えよ。IT系の人は簡単な概念をわざと難しい言葉使いにしてるんじゃないの?」と言われてしまうと返す言葉がないとも言えますが。
これからJ-SOX法対応がらみで、IT部門の人が監査法人の人と協業するケースが多くなると思いますが、プロジェクト成功のキーは、IT系の人と監査系の用語の相互理解をすることだと思っております。