システム監査技術者 ココが出る! 午後Ⅱ[午後2]論文対策(令和2年度 春期向け)


2020-02-13 公開

いよいよ、試験日まで約 2 か月になりました!学習は順調でしょうか?

多くの方が、年が明けた 1 月から本格的に学習を開始されます。筆者の担当する試験対策講座も、毎年 1 月からスタートします。皆さんも年明けには…何かしら参考書や問題集を購入し、午後Ⅰの過去問題を解いたり、午後Ⅱの論文を書いてみたりしているのではないでしょうか。

仮にそうなら…それから 1 か月、順調に学習が進んでいる方もいれば、小さな壁にぶつかっている方もいるでしょう。

そこで、まずはこのあたりで一旦、これまで実施してきた対策が妥当かどうかを中間チェックしてみましょう。

Check-1“監査手続” の表現は固まっていますか? ~午後Ⅰの過去問を参考にする

まずはシステム監査技術者の論文問題で問われているポイントの確認です。

システム監査技術者の論文問題の過去問題を見ていただくと明らかですが、 “監査手続” を答えさせる問題がデフォルトになります。したがって、 “監査手続” が問われている問題に対して、 “監査手続” を論述できるように仕上げていくことが、最初に行うべき対策になります。

そのあたりはいかがでしょうか?

“監査手続” の表現は、午後Ⅰ試験の過去問題を参考にするのがベストです。午後Ⅰの過去問題の設問で「監査手続を述べよ」と問われている場合の解答例や、問題文中に出てくる記述です。例えばこのような記述です。


平成 27 年度 午後Ⅰ 問 2 より

表 3 監査手続書(抜粋)
項番 監査要点 監查手続
1
監査要点

B 社通販課長は,業務委託先に送付するテストデータがマスク処理されていることを確認しているか。

監査手続

データ依頼書の写しを閲覧し,B 社通販課長の確認印が押されていることを確認する。

2
監査要点
空欄
監査手続

受領書ファイルに保管されたデータ依頼書の写しと, P 社保守業務担当課長の確認印が押された受領書を照合し,テストデータ番号が一致していることを確認する。

3
監査要点

B 社システム部は,業務委託先における情報セキュリティ教育の実施状況を適切に確認しているか。

監査手続

P 社から提出された情報セキュリティ確認書を閲覧し,BI|社通販課長の確認印が押されていることを確認する。

4
監査要点

B 社システム部は,業務委託先を通じて,再委託先の情報セキュリティ管理状況を適切に確認しているか。

監査手続

P 社から提出された情報セキュリティ確認書に,再委託先からの情報セキュリティ確認書が添付されていることを確認する。次に,再委託先から提出された情報セキュリティ確認書に, P 社保守業務担当課長の確認印が押されていることを確認する。

項番 1 を例にすると、監査証拠が「データ依頼書の写し」で、 “監査要点” を監査手続が必要な根拠として使用するイメージで考えていただければ OK です。設問で「 “監査要点” や “監査証拠” を含めて解答せよ」と書いていることもありますが、その指示が無くても、監査要点や監査証拠を含めて監査手続を表現しておけばベストですね。

以上のようなことを意識しながら、まずは午後Ⅰの問題文を活用して、 “監査手続の表現” を確立していきましょう。そうすれば、午後Ⅰ対策も進みますし、午後Ⅱ対策も進みます。

Check-2“リスク” と “コントロール” の表現も確立していますか?

“監査手続” の表現を固めたら、その監査手続を回答する “根拠” になる、 “リスク” と “コントロール” についての表現を固めましょう。

これは、過去問題を読んで、問題ごとに考えることで確立します。

通常、システム監査技術者試験の午後Ⅱの設問イや設問ウで “監査手続” が問われている問題は、ザックリ言うと次のような構成になっています。

    監査手続の問題構成

  1. 実施したいことや目標
  2. それに対するリスクとリスク要因
  3. 2. に対するコントロール(監査人の考え or 実施しているコントロール)
  4. 3. に対する確認(監査手続)

したがって、問題文と設問を読むときに、上記の 1. ~ 4. を(設問ア、イ、ウの)どこに書けと指示されているのか読み取って、指示されている場所を間違わないようにしなければなりません。そうしないと、出題者の考える論旨展開にならないからです。

個々の設問で、 “リスク” や “コントロール” が明確に問われている場合はいいのですが、それが明確に求められていない場合は、

  • 書かなくてもいいのか
  • それとも書いた方がいいのか
  • はたまた書いた方が良いのなら、それはどれくらいの分量がいいのか

など考えなければなりません。原則は、 “明確に” 問われていなくても、リスクとコントロールは、個々の監査手続の合理性を示す根拠になるため、書いた方が良いと考えましょう。

 

また、注意が必要なのは…システム監査人は第三者の立場なので、 “リスク” と “コントロール” には、

  • 監査人が必要だと考えるもの
  • 当時者が認識している “リスク” や、実施している “コントロール”

この 2 種類があることです。設問では、どっちが問われているのか読み取って正確に述べる必要があります。

監査手続に監査証拠を含めて表現するということ自体、その監査証拠は予備調査で確認した当該当時者が実際に使用しているものです。監査人が「きっとこういうドキュメントがあるだろう」ということで憶測の下に語っているわけではありません。そのドキュメントが無ければ、その監査手続自体が破綻するわけですからね。

したがって、監査手続の前には、「 A 社では…というドキュメントを使って管理している。そこで…」というように、

  1. 実際に当事者が実施しているコントロールを書く
  2. それに対する監査手続を書く

こういった書き方が多くなります(仮に、予備調査でコントロールが確認できなければ、コントロールの有無を確認するという監査手続になります)。

 

しかし、問題によっては…「(あなたが)必要だと考えているコントロールについて述べよ」というように問われているケースもあります。これはどう考えても監査人の考えるコントロールです。その場合は、特定の手段に限定してはいけないために(実施しているコントロールは特定の手段に限定されるのに対し)、 “手段” の部分は抽象的な表現になるでしょう。イメージとしては「何かしらの方法で」という感じです。

いずれにせよ、そういう部分が求められているのかどうかを読み取る必要があるわけです。そのあたりの違いを考えながら、適切に会話のキャッチボールができるように考えていきましょう。

Check-3 “監査手続” 以外の問題についても解答をシミュレーションしておく

時間があれば、念のため “監査手続” 以外の問題にも目を通しておきましょう。

あくまでも Check-1Check-2 を優先した上での話ですが、そこにある程度めどが立てば監査手続以外の問題を読んで、頭の中でシミュレーションしておくことをお勧めします。イメージがわかなければ、テキスト(市販の試験対策本)の該当箇所を読んだり、ネットで検索したり、午後Ⅰの問題文にあればそこでイメージを膨らませるといいでしょう。

出題予想(準備しておくことが望ましい過去問題)

それでは最後に、”出題予想” というと大袈裟ですが、出題される可能性が高いテーマをいくつかピックアップしておきます。過去問題を使って、論文を準備するというのが基本的な対策になるので、どうせなら出題確率が高い方がいいですよね。

もちろん、あくまでも筆者の勝手な想像なので、そのテーマが全然違っていることもあります。その点だけはご理解ください。

looks_one過去の傾向から、少なくとも 1 問は “監査手続” が問われる問題が出題されると考えられます。
その場合、ローテーション的には “運用業務” の監査の出題確率が高いことが予想されます。中でも “障害” や “災害” への対応に関する問題です。理由は単純なもので、それらをテーマにした問題が平成 26 年以後出題されていないからです。
通常の “障害への備え” なら平成 26 年度 問 2 のような問題で、 “BCP 関連” になると平成 20 年度 問 2 や平成 24 年度 問 3 のような問題です。特に、昨今の自然災害やいつ発生してもおかしくない南海トラフや首都直下型地震への備えを考慮すれば、BCP の有効性監査は喫緊の課題になりますからね。
looks_twoほかに、運用業務だと平成 22 年度 問 3 のような “コスト面” をテーマにした問題も十分考えられるでしょう。
looks_3また、令和 2 年の春試験から、セキュリティと DX(デジタル・トランスフォーメーション)に対応する新技術を重視する旨が発表されています。したがって、AI、IoT、ビッグデータが題材になる可能性は高いと思われます。

しかし、新技術や新しい開発技法に関しては、平成 31 年に IoT をテーマにした問題が、平成 30 年にはアジャイルをテーマにした問題が出題されていることを考慮すれば、これらの複合問題か、 6 年振りに “クラウド” をテーマにした問題が出題されるかなと。 “クラウド” は、運用業務の BCP やコスト削減との複合問題にしやすいため、その切り口でも想定しておいてもいいかもしれません。

    looks_4あとは、セキュリティをテーマにした問題も出題の可能性は高いと思われます。
    ただし、ここ数年、毎年のように “セキュリティ” をテーマに出題されているため、連続での出題はどうかとも思いますが、こちらも、次のような観点でセキュリティを絡めた複合問題にすれば違った見え方になるので可能性が出てくるかも。想定しておいて損は無いと思います。

  • クラウドサービスのセキュリティ
  • IoT システムのセキュリティ
  • 障害 = セキュリティ侵犯とする障害対策
  • セキュリティのコスト適正化
おことわり
あくまでも筆者の勝手な想像なので、参考程度に考えてください。この予想に関してクレームを言ってこられても、どうすることもできませんし、どうするつもりもありませんので、その点だけご理解いただければ幸いです。
label 関連タグ labelシステム監査技術者』の [ 人気 / 最新 ] 記事 label 著者

ご案内

"教育担当者" 向け
Web マガジン
配信中!

人気記事

タグ一覧