Big4のリスクコンサルやシステム監査に対して興味がある方向けに、リスクコンサル・システム監査が将来も引き続き順調に成長する理由をご説明します
ずんだもんと一緒に、リスクコンサルが実際にどのように行われるのか会話形式でご説明します
登場人物:
ずんだもん:Big4でリスクコンサル兼システム監査人であるマネージャー
皆川:ずんだもんの同僚でセキュリティコンサルに従事
リスクアドバイザリーの実施
クライアントずんだもんさん、今、クラウドファンディングサービスを展開しているのですが、ユーザーにサービスの安全性を訴えたいので、サービスの安全性を評価してもらえませんか?
ずんだもんまかせろなのだ!ユーザー向けの場合は、SOC2,3と呼ばれるガイドラインに準拠した監査をしたほうが良いのだ。あと、当局対応も確認するのだ
クライアントそうなんですね、とりあえずそれでお願いします
ずんだもんただ、御社はまだまだベンチャー気質が強いので、いきなり監査をしても評価に耐えられない可能性があるのだ!
とりあえず、御社のセキュリティレベルを確認してみるか?
クライアントなるほど、じゃあまずはそれをお願いします
ずんだもんありがとうございますなのだ!じゃあ、アドバイザリー業務として、各ルール遵守状況のシステム評価を500万円で実施するのだ
・・・評価後
リスクコンサルの実態
クライアント評価結果はかなり悪いな…まだ監査を受けるには早いな・・。監査を受ける前にガバナンスを強化しなくちゃだ・・ずんだもんさん、具体的なセキュリティ対策項目についてアドバイスを貰えないかな?
ずんだもんもちろんOKなのだ。この前ギャップを分析したから、これの改善案を提案するリスクコンサルをやるのだ。追加で300万円なのだ!
クライアントまた金取るの!?
・・・コンサル実施後
セキュリティコンサル(下流領域)の実施
クライアントずんだもんさんから頂いた改善案を実行するのはなかなか大変そうだな。
ずんだもんさん、改善案の具体的な実行アドバイスをお願いしてもいいですか?
ずんだもん社内規定の整備に、CSIRTの立ち上げ、ネットワーク構成管理、ペネトレ・Web診断にいろいろあるのだ。これは、ずんだもんじゃなくてセキュリティコンサルの皆川にお願いするのだ!
クライアントおっ、やっと出番が来た!
ずんだもんあっ!!でも実行のところは独立性の観点からサービスを提供できないんだったのだ!
クライアントそっか、自分で作業したものを自分で評価するのはおかしいもんね、これが Big4の独立性というやつか。どうしよう?
クライアント独立性じゃしかたないですね、、ここは別のコンサルかペンダー使ったほうがいいですね。他のBig4 でもいいですし、 富士通、ベイカレ、アクセンチュアでも大丈夫ですよ
クライアントしかたない、前に一度お願いしたことがあるベイカレさんにお願いするか
セキュリティ対策実行後・・
システム監査の実施
クライアントよし、セキュリティ対策の整備も終わったから、これで監査を受けてサービスの安全性を証明できるぞ!
このまま安全性の評価もベイカレさんにお願いしようかなー、お値段もリーズナブルだし
ずんだもんちょっと待ってくれなのだ!安全性の評価を対外的に公表するための監査は監査法人系列の会社しかできないのだ。もちろんアクセンチュアにもできないのだ!
クライアントえ?そうなの?でも、ベイカレさんはできるって言ってたよ?
ずんだもんそれはコンサル業務としてのシステム評価であって監査じゃないのだ。
そこでシステムの安全性が評価されても誰も信用してくれないのだ!
クライアントそうだったのか、しかたない、じゃあまたずんだもんさんにお願いするよ
ずんだもんはい、お任せくれなのだ。さっそく監査に入るのだ。2000万円でOKなのだ!
クライアント2000万円!?!?
ずんだもんうむ、アドバイザリーと違って、手続きがガチガチに決まっているから、どうしてもお金がかかるのだ
クライアントもっと安くならないの?
ずんだもん安全性を証明するには最低でもこれぐらいのお値段なのだ
クライアントしかたない、
・・・評価後
クライアントふうー、やっと監査が終わったぞ。これで新サービスの安全性が評価された。 利用者にサービスの安全性をアピールできるぞ
ずんだもんお疲れ様なのだ。監査は毎年実施する必要があるから、サービスが稼働している間は、毎年1500万円お願いなのだ
クライアントふぁ!!??
・・・数年後
セキュリティコンサル(戦略領域)の実施
クライアント監査を受けはじめて数年、システムの安全性は問題なく、顧客からの信頼も厚い。
でも、、セキュリティの運用が非効率なんだよね。監査費用も毎年1500万かかって負担大 きいしさ。もっと効率的な運用ってできないかな
ずんだもんうんうん
クライアントあと、最近サイバー攻撃っていうのもあるじゃない?外部役員からうちは大丈夫なのか?って言われててさ、この辺の評価も必要そうでさ
ずんだもんまかせろなのだ、そうなってくると、リスクコンサルじゃなくてセキュリティコンサルの皆川を紹介するのだ
皆川お声がけいただいてありがとうございます。(o^―^o)ニコ
今回は、セキュリティの導入などの実行じゃないので、独立性も問題ないのでまかせてください!
効率的な運用をするためのシステム更改とサイバーセキュリティの構築ですね。
サイバー対応になると、今回のシステム周りだけじゃなくて御社全体のシステム構成を再検討する必要があります。
まずは御社のアーキテクチャ全体について確認させてもらって、そのあとに、今後の運用戦略を考えていきましょうか。つきましては、まずは調査費用と全体戦略の検討のために3000万円ですね
クライアント3000万円!?!?!?!?さすがに高すぎないですか??
皆川御社全体のシステムアーキテクチャに影響するので、慎重な調査、そして最適なガバナンスを検討するのでこれくらいはかかりますよ
PwCコンサルクライアントさん、こんにちは!
クライアントPwCさん?今回は皆川さんにお願いするので間に合ってますよ???
PwCコンサルサイバー対策といったらPwCですよ!皆川さんの要求している金額いくらですか?高くないですか?うちならもっと安くできます
クライアントうん、皆川の提案高いんだよね
PwCコンサル最近、CISO Cyber Conciergeっていう新しいサービスを開発しましてね。かなり力入れているんですよ。皆川さんのところだと、手作業でで頼りないでしょ?
クライアントえっ!?そんなサービスが?確かに、サイバー対策も自動でやってくれるのはいいね!
アクセンチュアクライアントさん、こんにちは!
クライアントアクセンチュアさん?今回は皆川さんかPwCにお願いするので間に合ってますよ?
アクセンチュアうちは、Cyber Fusion Centerを自前で構築してるんですよ。外資系企業としてグローバル水準のサービスを提供できますよ。サイバーはボーダレスなので、日系企業じゃ不安じゃないですか?
クライアント確かに、皆川さんのところはグローバルナレッジ活用できるって言っている割に、海外の情報とか全然もらえないんですよね
アクセンチュアメンバーもグローバルで最適なメンバーをチームアップしますよ
クライアントやっぱアクセンチュアさんにお願いしようかな?
アクセンチュアありがとうございます。では5000万円でお願いします
クライアント5000万円!?皆川さんのところより2000万円も高いですよ?
アクセンチュア2000万以上のバリューを出しますよ!こんなことも、あんなこともまとめてサービスしますよ
クライアント確かに、、、それだけのバリューがあるなら、、、次期中計として予算を頑張ってみます。アクセンチュアさんお願いします!
アクセンチュアありがとうございます(^▽^)/
皆川くっ、、、アクセンチュアめ
ずんだもん皆川のお仕事はアクセンチュアも競合なのか?
皆川くっ、、、アクセンチュアめうん、アクセンチュアだけじゃなくて、ベイカレも競合だよ。。最近競合が増えててねくっ、、、アクセンチュアめ
ずんだもんBig4はサイバー弱いのか?
皆川弱いってわけではないけど、アクセンチュアはグローバルナレッジ、ベイカレはお値段とかそれぞれ強みを持ってるけど、Big4って中途半端なんだよね。
システム更改・サイバー対策導入後
追加のリスクアドバイザリー、監査の実施
ずんだもんクライアントさん、このサービスってってAI 使ってるのだ?
クライアントそうなんだよ、AIを使っているのがうちの強みだからね。しかも、決済手段として仮想通過を利用しているんだ
ずんだもん今後日本でもAI に関する規制ができるみたいなのだ
クライアント本当に!?
ずんだもん今のシステム評価に、ブラスしてAI 規制の評価も追加するのだ?
クライアントうーーん、規制対応なら仕方ない、お願いしようかな? でもお高いんでしょう!?
ずんだもん御社のサービスの全般的な評価はできてるから、まずは300万ぐらい勉強させてくれなのだ
クライアントしかたない出費だな、、ただ、サービスは順調で、今度欧州進出するから安全性は確り担保しなきゃだからしかたないね
ずんだもん欧州!!?? 欧州は個人情報の規制が日本より厳しいから、規制対応しないと罰金 を受ける可能性があるのだ。
規制対応としてクライアントさんの欧州向けの内部規程の整備が必要なのだ
クライアント本当に!? もう監査も受けてガバナンスはバッチリじゃないの?
ずんだもんこれまでは日本・アメリカで求められるレベルのガバナンスを整備してきたけど、欧州の個人情報対応についてはより強力なガバナンスが必要なのだ。
ずんだもんなら700万円でいけるけど、法律事務所に頼んだら数倍のお値段はするのだ?
クライアントくっ、しかたない
ずんだもんあ、そういえば欧州でデジタルオペレーションレジリエンス法ってのが 2025 年頭に適用されるのだ。
これは御社サービスは適用対象になるのだ。こちらも追加しないとまずいのだ。
こちらは結構厳しいやつだから1000万ぐらいで勉強させてもらいますなのだ(o^―^o)ニコ
クライアントぐっ・・・
ずんだもんあれれーこのサービスの利用者に金融機関も見込んでいるのか?
クライアントま、まさか??
ずんだもんPSD2/3対応も必要なのだ。
がっつりやる必要はないから、今のSOC2,3に織り込んで追加で300万お願いなのだ!
今のお金は導入費用のみなのだ。
毎年の監査費用は込々で3000万円お願いするのだ!
クライアントぐぁああああああ!
ずんだもんあ、欧州向けにサーバー分けるのか?そうなるとスコープが広がって・
クライアントもう、やめてくれ、、、、、
システム監査、リスク、セキュリティコンサルの将来性まとめ
皆川リスクコンサル・システム監査の将来が安泰な理由は、まとめると次の3つだよ
- 監査法人の独占業務みたいなもので競合がめちゃめちゃ少ない
- 監査に関連するアドバイザリー業務もある
- 新しいレギュレーションが次々に施行されるため監査領域は増える
ずんだもん安泰そうなのだ!次々に新しいレギュレーション対応が必要なのか?
皆川うん、これに関しては終わりがないね。レギュレーションの種類も前より細分化されてきていて、クラウド、サイバー、金融、個人情報、オペレジ、AI等とそれぞれについて対応が必要なんだ
ずんだもんあと、アドバイザリーだったり、なんかあるたびにお金がどんどん発生していたのだ!
皆川うん、システムのセキュリティの安全性を評価するって言っても一回で終わることはほとんどなくて、追加のセキュリティ対策等追加対応がどんどん必要になってきて終わりがないね
ずんだもんしかも、評価は毎年必要なのか?
皆川レギュレーション次第だけど、基本的には年次で実施する必要があるよ。一度評価しちゃえば、そのあとは半永久的に監査費用が発生するからかなりおいしいよ
ずんだもんそうだったのか!これは凄いことなのだ!
お金は数百万円から高いものだと5000万円ぐらいって言ってたのだ!これは実際の金額なのか?
皆川うん、そうだね、実際にこれぐらいが相場だね。Lineもだいたいこんなもんだと思う。
ただ、今回は一つのシステムだけを対象としていたから、複数のシステムの評価になるともっと金額は上がってくるよ
ずんだもんAWSはいくらぐらいで評価をしているのだ?
皆川おそらく1年で最低10億はいっていると思うよ。もしかしたら100億とかの世界かもしれない。これはスコープ次第だから想像の域を出ないけどね
ずんだもんあと、競合はBig4以外いないのか?
皆川Big4以外にもいるけど、業務の性質上Big4のみになることが多いよ。
しかも、Big4は会計監査クライアントに対してのリスクコンサルは独立性から実施しにくい。クライアントの会計監査はBig4のいずれかがやっていることが多いから、残りの3社でリスクコンサルを争うことになるよ
ずんだもんそれは少ないのだ!皆川がやってるセキュリティコンサルは違うのか?
皆川セキュリティコンサルの需要自体はシステム監査同様に伸び続けているけど、こっちは独占業務じゃないから競合が多いんだよね
ずんだもんBig4のセキュリティコンサルの強みはあるのか?
皆川監査法人系列だけあってレギュレーション対応についてはBig4が一番だと思うよ
ずんだもん弱みはあるのか?
皆川独立性の問題から戦略から実行までを一気通貫としたサービス提供が難しいし、グローバルネットワークもアクセンチュアやIBMなんかと比べても弱いかな
ずんだもんBig4もグローバルネットワークがあるのだ?
皆川一応にあるけど、グループ会社ぐらいの弱い結びつきだからね。
解説:Big4、アクセンチュアのその他情報について
・Big4やアクセンチュアの給料や組織についての紹介
・その他転職体験談
・Youtube:みながわRチャンネル
コンサル転職、コンサルに必要なスキル等について情報を発信しています
