ITリスクコンサルティング及びITリスクコンサルタントの役割

ITリスクとは

どの業界においても、デジタルトランスフォーメーションは企業の生き残りをかける上で非常に重要な役割を担っており、ITの役割は現在非常に重要になっています。
一方で、企業は複雑なITシステムを抱えることになり、常にITリスクについて注意を払う必要があります。適切なITリスク管理は企業の社会的責任として重要な上、システム障害やサイバー攻撃を受けてしまうことで、企業のブランド、損害賠償による経営状態自体を大きく損ねてしまう可能性があり、より適切なITシステム管理は経営問題の１つとして重要であると言えます。

また、過度なITリスク管理は他の更なるITリスクを生むことに繋がってしまい、単に管理に予算や人的リソースをかければ良いというわけではありません。ITリスクマネジメントにおいては、システムごとに考えられるITリスクと、それに対する個別の対策を打っていくことが重要になります。リスクへの対策は多種多様に存在するためソリューションの提案も含め、ITリスクの発見から、クライアントごとに個別最適化された対策までITリスクコンサルタントの案件範囲となっています。

ITリスクコンサルタントの業務内容

ITリスクコンサルタントの業務内容は、企業の問題や相談内容によっても異なるので一概にはいうことができませんが、ここでは一例をあげます。

・ITガバナンス支援

ITシステム全体やIT組織といった企業のIT全体におけるガバナンス管理を行います。業務内容は幅広く、組織の変革や事業計画といったIT戦略立案やリスク管理体制の立ち上げまでを行います。

・システム導入リスクマネジメント

現在、RPAやAI、IoTなど様々な最新技術の導入が進んでいます。このような最新技術を導入することは業績を大きくあげる可能性を含んでいる一方で、大きなリスクを含んでいます。そのため、最新技術のシステム導入支援を行う場合にはリスクマネジメント体制の構築も同時に行う場合があります。

・データリスクマネジメント

企業のグローバル化が進んでいく中で、膨大なデータが世界中で交換されています。
そのような中で、データ漏洩や紛失のリスクへの対応やデータ品質の維持を行っています。

・プロジェクトリスクマネジメント

ITシステムの運用、導入のプロジェクトの際に起こりうるリスクの事前調査、評価を行い適切な対策の提案を行います。ITシステムが高度化している現在において、リスクの評価を行うには豊富な製品知識や導入経験があるITコンサルタントだから行える業務です。

・ITサービスリスクマネジメント

ITサービスを提供する上でコンプライアンス違反のリスクがないかの評価を行い、サービス運用ガイドラインの提案を行い、システムの安定や効率化やリスクの縮小を狙います。

・サイバーセキュリティ管理

グローバル化が進んでいく中で、企業が従うべき各国のガイドラインや規制の数も多くなってしまいます。これら全てを踏まえたサイバーセキュリティーの体制を構築し、サイバー攻撃に備えます。

・IT事業マネジメント

上記にあげたガイドラインの多様化の事情や最新の業界事情、社会情勢を考慮した中短期のIT事業計画の立案から事業管理、人材教育、外部委託の際のITリスクの調査、管理を行います。

・ITシステム監査

企業が抱えている様々な要因(内部要因、外部要因)について監査を行い問題点の指摘や改善策の提案、支援を行います。また監査を行うことで企業のITシステムに信用を与えることにもつながります。

 

 

さらに詳しい業務内容について、実際にコンサルティングファームが手掛けたITリスク削減案件を例に紹介いたします。

(PwC社HPより抜粋)

フェーズ1 現状分析

既存ドキュメントの確認や現場へのヒアリング、経営層とのディスカッションを行い、企業の取り巻くリスク及びITに関するリスクと現時点の企業の対応状況を分析しITリスクアセスメントの準備を行う。

フェーズ2　ITリスクアセスメント

フェーズ１で手に入れた情報とファームでの知見を活かし詳細なITリスクアセスメント分析を行い課題の抽出を行う。またリスクが顕在化した際のインパクトや考えられる事業への影響の可視化を行う。

フェーズ3 対応策検討

洗い出されたリスクに対してどのように対応すべきか施策を検討する。施策については、関連して対応すべき施策の紐付けも行う。同時に対応コストについても概算を実施する。

フェーズ4 ロードマップ作成

目指すべきITレベルの明示を行い、限られたリソースを有効活用するために、対応すべきリスクと施策のバランスを考慮し短期、中期のロードマップの作成を行い、
ロードマップとともに施策に伴う毎年のレベルの明示も行っています。

IT技術の発展や企業のデジタルトランスフォーメーション戦略によって企業がITシステムに頼る割合も高くなっています。このことは、企業の業務効率化に役立っている一方で、様々な内部、外部要因によって企業のITシステムは常にリスクを抱えている状況であり、そのリスクが一度、実体化してしまうと大きな損害が生じてしまうだけでなく、企業のブランド、そして経営状況を傷つけてしまう可能性が存在します。

そこでITリスクコンサルタントは、企業活動全般におけるITシステムにおいてリスクの発見と改善を担当しています。上記にも書きましたがITリスク対策は幅広く多くやれば良いというものではなく、企業が抱える問題ごとに個別に対応する必要があります。そのため、高いレベルでのリサーチ能力やロジカル思考とITへの知見の両方を持ち合わせているITリスクコンサルタントが求められています。

今後、社会はこれまで以上にデジタル化が進んでいき、ITシステムはさらに複雑化していくと考えられ、ITリスクコンサルティングの技術を持つ人材は、さらに需要が高まっていくと考えています。

やりがい-ITシステム全体を支える

ITリスクコンサルタントは、企業全体のIT問題について幅広い知識と経験を持ってクライアントの案件に取り組むことになります。ITシステムは今や企業の中枢神経であると言っても過言ではありません。そのため、ITリスクコンサルティングは企業やそのITシステム全体を支えると言っても過言ではなく、やりがいを持って取り組むことができます。

また、クライアント企業の抱えるリスクを事前に発見した場合や、リスク軽減やIT戦略立案などによって業務の効率化を行うことができた場合、実際に自分の貢献が数値になって感じられるため、やりがいを実感できると言えます。

このようにITリスクコンサルティングは守りのコンサルティングという側面だけではなく、リスクを解決することは攻めに転じる可能性を持っているということが出来ます。

 

大変さ-幅広い領域で業務を行う必要がある

ITリスクコンサルティングは、ITリスクを事前に発見するという非常に大切な仕事である一方で、縁の下の力持ち的な役割であることも事実です。実際に何が行われたのか。どうしてその業務や改革が必要なのかについて理解してもらえないことや、ITに関する専門知識を持たない方々にも説明し説得を行う必要があります。

また、ITリスクコンサルティングはIT導入コンサルティングのような他のコンサルティング領域に比べて、必要とされる知識や担当範囲が幅広いという特徴があります。ITリスクコンサルタントとして働く場合、ITデータ領域における幅広い知識の他、各業界に関する知識及び、組織・人事の知識、経理に関する知識を総合的に持っている必要があります。

ITリスクコンサルタントの年収は一概にこの程度ということは出来ません。ただし、深い知識量と高いレベルでのアウトプットを求められる職種であるために年収も高水準であるということが出来ます。

転職の直後に関しては前職に比べて一時的に給与が下がってしまう可能性がありますが、コンサル業界は成果主義的な雰囲気があるため、成果をあげ実績をあげることができれば後から給与がついてくる環境であると言えます。

未経験からITリスクコンサルタントに転職するには

ITリスクコンサルティングは企業からの需要が高まっているためコンサルファームも幅広いデジタル人材を求めておりコンサル未経験であっても採用される可能性があります。基本的に、未経験からITコンサルタントに必要な能力としては、コンサルタントとしての技能とITに関する知識、経験のその両方が必要とされます。

コンサルタントの技能としては、ゼロベースでクライアントの抱える問題の特定、検証を行うためのロジカルシンキングの能力や、プロジェクトメンバーやクライアントと共通のゴールを目指す上でのコミュニケーション能力が挙げられます。ITに関する知識 経験としては、経験に関してはシステム開発やサーバー構築・保守運用などIT業界の一領域であったとしても、知識としては幅広い領域をカバーしている必要があります。

ただし、案件によってはIT 業界で経験を積んでいない第二新卒等であっても採用される場合があります。詳しい案件の要件に関しては、弊社の無料面談にてご説明しています。興味がある方はご気軽にご相談ください。

 

ITリスクコンサルタントの求人要件

ITリスクコンサルタントの求人要件として以下のような経験を指定している場合が存在します。＊一例ですので要件によって異なります。

・システムコンサルタント、セキュリティ・プライバシーコンサルタント、システム開発
・プログラマー、SE、ネットワーク／サーバー構築・運用保守の3年以上の実務経験、会計・監査の実務
・RPA、AI、クラウド、サイバーセキュリティ、ブロックチェーン、等の専門的なITスキルを有する方
・CISA（公認情報システム監査人）、システム監査技術者、CISM（公認情報セキュリティマネージャー）、情報処理安全確保支援士等の資格があれば尚可

また金融系のITリスクコンサルタントとしては以下のものがあります

・金融系企業（銀行、信託、証券、生損保、クレジットカード、リース等）にて経営企画、リスク管理、システム企画・開発・運用またはシステム監査の経験を2年以上有している方。
・SIベンダーにて、金融情報系システム（リスク管理システム・管理会計システム経験尚可）の上流工程経験2年以上。
・金融業界における基準の知識（金融庁監督指針、金融検査マニュアル、FISC　等）
・金融機関におけるリスク管理、コンプライアンス対応、または内部監査業務

IT監査コンサルタントとしては以下のものがあります。

・システムベンダーでのシステム開発・運用・保守などの実務経験
・事業会社でのシステム開発・運用・保守などの実務経験
・基幹業務システムの設計、構築、運用経験3年程度（要件定義等の上流工程経験必須）
・システム運用管理・保守業務(オペレーション／監視業務のみは対象外）
・18/19卒でIT関連業務、は内部統制関連業務の経験を持つ方　※二卒ポジション

今回はITリスクコンサルタントについて紹介しました。記事で触れたとおり、ITリスクコンタルトのニーズは非常に高まっており、コンサルティングファームにて第一線で経験を積むことは今後のキャリアにおいても市場価値を高め、更なる転職等にも有利に働くでしょう。
弊社では、転職支援として無料の面談を行い、案件の紹介や面接対策を行っています。自分にあった案件を知りたい方やコンサルティング業界への転職に興味がある方などご気軽にご相談ください。

転職をご検討されていらっしゃる方は、無料で弊社コンサルタントが最新求人情報の説明や面接通過のためのアドバイスを実施しております。お気軽にご連絡ください。

最新の求人情報は弊社メールマガジンよりご案内をしております。
非公開求人等の新着の情報についてはメールマガジンにてご確認ください。