システム監査技術者 午後Ⅱ(午後2)論文 王道の書き方
システム監査技術者試験の午後Ⅱ論文は “未経験者同士の戦い” になります。
他の試験区分では ITストラテジスト 試験もシステムエンジニアが受験するケースが多いのですが、システムの企画や提案経験者は少なくありません。その点、システム監査技術者試験の場合は、受験するシステムエンジニアのうち、システム監査経験者は、なかなか稀有な存在です。
したがって、他の受験生よりも頭一つ抜け出すためには、しっかりとした “システム監査” の知識を覚えなければなりません。つまり、しっかりとした勉強が必要になります。いくら他の論文試験の 4 つ全てに合格していてもです。
その勉強のポイントは、ザックリ言うと次のようになります。
- 「システム監査基準」と「システム管理基準」の確認
- システム監査特有の表現を理解する
- “監査手続” の理解と表現を確立する
- リスクとコントロールの表現も確立させる
- “監査手続” 以外の問題についても解答をシミュレーションしておく
もくじ
looks_oneシステム監査基準」と「システム管理基準」の確認
まずはここからです。この部分は、特に午後Ⅱ対策というわけではなく、システム監査技術者共通の対策(午前対策としても、午後Ⅰ対策としても必要)です。特に、システム監査の一連の流れの把握の部分は、図を見なくても常時イメージできているようにしておきましょう。
looks_twoステム監査特有の表現を理解する
そして、システム監査特有の表現を覚えます。これは、午後Ⅱの問題文を正しく理解するためにも、論文を書くためにも必要な練習です。ご利用中の試験対策本や午後Ⅰの問題などを利用して、これらの表現を理解していきましょう。
looks_3“監査手続” の理解と表現を確立する
システム監査技術者の論文試験の過去問題を見ていただくと明らかですが、 “監査手続” を答えさせる問題がデフォルトです。したがって、システム監査特有の表現の中でも、特に “監査手続” の表現を確立させることが重要です。
これは、午後Ⅰ対策として進めていくといいでしょう。午後Ⅰの過去問題の設問で「監査手続を述べよ」と問われている場合の解答例や、問題文中に出てくる記述を利用します。
項番 | 監査要点 | 監查手続 |
---|---|---|
1 |
B 社通販課長は,業務委託先に送付するテストデータがマスク処理されていることを確認しているか。 |
データ依頼書の写しを閲覧し,B 社通販課長の確認印が押されていることを確認する。 |
2 |
空欄
|
受領書ファイルに保管されたデータ依頼書の写しと, P 社保守業務担当課長の確認印が押された受領書を照合し,テストデータ番号が一致していることを確認する。 |
3 |
B 社システム部は,業務委託先における情報セキュリティ教育の実施状況を適切に確認しているか。 |
P 社から提出された情報セキュリティ確認書を閲覧し,B 社通販課長の確認印が押されていることを確認する。 |
4 |
B 社システム部は,業務委託先を通じて,再委託先の情報セキュリティ管理状況を適切に確認しているか。 |
P 社から提出された情報セキュリティ確認書に,再委託先からの情報セキュリティ確認書が添付されていることを確認する。次に,再委託先から提出された情報セキュリティ確認書に, P 社保守業務担当課長の確認印が押されていることを確認する。 |
項番 1 を例にすると、監査証拠が「データ依頼書の写し」で、 “監査要点” を監査手続が必要な根拠として使用するイメージで考えれば OK です。設問で「 “監査要点” や “監査証拠” を含めて解答せよ」と書いていることもありますが、その指示が無くても、監査要点や監査証拠を含めて監査手続を表現しておけばベストですね。
このように、午後Ⅰ対策として過去問題を使って演習をする中で、 “午後Ⅱ論文の表現” も意識しながら進めるといいでしょう。監査手続の表現を見つけるたびに、ノートに書き写すぐらいの勢いでもいいかもしれません。
looks_4“リスク” と “コントロール” の表現も確立させる
“監査手続” の表現を固めたら、その監査手続を回答する “根拠” になる、 “リスク” と “コントロール” の表現も固めましょう。
これは、過去問題を読んで、問題ごとに考えます。
通常、設問イや設問ウで “監査手続” が問われている問題では、ザックリ言うと次のような構成になっています。
- 実施したいことや目標
- それに対するリスクとリスク要因
- b. に対するコントロール(監査人の考え or 実施しているコントロール)
- c. に対する確認(監査手続)
したがって、問題文と設問を読む時に、上記の a. ~ d. を(設問ア、イ、ウの)どこに書けと指示されているのかを読み取って、指示されている場所を間違わないようにしなければなりません。そうしないと、出題者の考える論旨展開にならないからです。
個々の設問で、 “リスク” や “コントロール” が明確に問われている場合はいいのですが、それが明確に求められていない場合は、書かなくてもいいのか、それとも書いた方がいいのか、はたまた書いた方が良いのなら、それはどれくらいの分量がいいのか?などを考えなければなりません。原則は、 “明確に” 問われていなくても、リスクとコントロールは、個々の監査手続の合理性を示す根拠になるため、書いた方が良いと考えましょう。
また、注意が必要なのは … システム監査人は第三者の立場なので、 “リスク” と “コントロール” には、監査人が必要だと考えるものと、当時者が認識している “リスク” や、実施している “コントロール” の 2 種類があることです。設問では、どっちが問われているのかを読み取って正確に述べる必要があります。
監査手続に監査証拠を含めて表現するということ自体、その監査証拠は予備調査で確認した当該当時者が実際に使用しているものです。監査人が「きっとこういうドキュメントがあるだろう」という憶測の下に語っているわけではありません。そのドキュメントが無ければ、その監査手続自体が破綻しますからね。したがって、監査手続の前には、「 A 社では … というドキュメントを使って管理している。そこで … 」というように、実際に当事者が実施しているコントロールを書いてから、それに対する監査手続を書くことが多くなります(仮に、予備調査でコントロールが確認できなければ、コントロールの有無を確認するという監査手続になります)。
しかし、問題によっては …「(あなたが)必要だと考えているコントロールについて述べよ」のように問われているケースもあります。これはどう考えても監査人の考えるコントロールです。その場合は、特定の手段に限定してはいけないため(実施しているコントロールは特定の手段に限定されるのに対し)、 “手段” の部分は抽象的な表現になるでしょう。イメージとしては「何かしらの方法で」という感じです。
いずれにせよ、そういう部分が求められているかどうかを読み取る必要があります。その違いを考えながら、適切に会話のキャッチボールができるようにしましょう。
また、自分の経験をベースに論文を準備する時は、自分の経験がプロジェクトマネージャやシステムエンジニアなら、それを自分以外の第三者にするとともに、独立した立場等の監査人という立場に置き換えることも忘れないように注意しましょう。
looks_5“監査手続” 以外の問題についても解答をシミュレーションしておく
時間があれば、念のため “監査手続” 以外の問題にも目を通しましょう。
あくまでも looks_one ~ looks_4 を優先した上で、ある程度メドが立てば監査手続以外の問題を読んで、頭の中でシミュレーションしておくことをお勧めします。イメージがわかなければ、テキスト(市販の試験対策本)の該当箇所を読んだり、ネットで検索したり、午後Ⅰの問題文にあればそこでイメージを膨らませるといいでしょう。
label 関連タグ『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも 受け放題!!
- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba