システム監査もシステムのコンサルティングも、企業のシステムを不十分なところを指摘し、改善提案をします。
両者は似ていて、私も業務として両方をやることがあります。その違いは何なのでしょうか。


実は、公認システム監査人の面接を受けたときに、面接官からの質問。
1つは答えられましたが、もう一つは答えられませんでした。

一つは、監査の「独立性」です。第三者として客観的な意見を述べるのが監査です。コンサルティングは、内部のメンバーの一員として参加します。
また、コンサルティングの場合は、対象企業はお客様ですから、お客様の意向に沿った成果物を提供しがちです。本当に改善する目的でコンサルティングを依頼する場合もあれば、社内に都合が悪いことは、伏せてほしいと頼まれることもあるのです。コンサルティング会社は、その意向に従うことが多いのではないでしょうか。

もう一つは、「基準があるか」です。監査は、システム管理基準やセキュリティ管理基準、社内の内部規定などに即しているかを監査します。コンサルティングは、都度目的が変わります。