2018年度春期 システム監査技術者試験 午後Ⅱ 問2
問2には,久しぶりの監査手続き以外の問題が出題された。平成24年問1以来(平成24年はまだ3問出題されていた時で,問2,問3は監査手続きだった)。翌年から昨年までの5年間は監査手続きの問題しか出題されていない。したがって,戸惑った人も多かったのではないだろうか?
ただ,一見すると難しそうに思えるが…システム監査計画における監査対象と,監査目的の設定で,そのプロセスとしてリスクアプローチがあるだけなので,案外書きやすい。PMやSC,STの内部統制などはISO31000に準拠していて同じ手順で,設問イではその手順が問われているからだ。
設問ウは,CSA(コントロールセルフアセスメント)の流用の話で書けるはずなので,そこさえクリアできれば案外できたのでは?
ザックリ言うと…全体的には(設問イも設問ウも)「人員や予算に限りがあるので1年間にできる監査も限られている。そこでリスク評価をして優先順位を付けて重要なものから行っている」というスタンスが伝えられるかどうかにかかっている。
もくじ
過去問題との関係性
設問イは,平成13年問1「リスクを重視したシステム監査の実施について」設問ウは,平成24年問1「コントロールセルフアセスメントとシステム監査について」が参考になる。
設問ごとの解説
設問ア
今回は,特定のシステムを監査対象に絞り込む前の話なので,起業なら企業の全体像をここで書くことが求められている。書くのは次の3つ。
- 組織の説明(企業や自治体等)
- 主な業務
- 保有している情報システム
①②で1-1を400字,③で1-2で400字程度がバランスがいいだろう。それほど大勢に影響はないけれど。ここは,特段問題は無いはず。事前準備していてもしていなくても書けるところ。
但し,③を絞り込まないようにするところだけ注意。多様化しているリスクの前フリになるように書いておけばベスト。
設問イ
2-1.リスク評価の実施手順(タイトルは「監査対象の選定や監査目的の設定」でもいい)
<前フリ,つなぎ>(あった方がいいレベル)
1-2で書いたシステムのリスクが多様化していて,監査要員(具体的な組織と人数)と予算(具体的数字)では全部ができないため,当該年度の監査計画を立案するにあたって,リスク評価を実施するということを書く。問題文の例にあるように,年度監査計画を立案する時の絞り込みが一番題意に合っている。
次に,そのリスク評価の手順について書く。
これは,PM→システム監査の順で受験している人にとっては問題ないだろう。STやSC→システム監査でも同じ。ISO31000の手順をシステム監査対象に特化してアレンジして書けばいいだけ。とはいうものの厳密にISO31000の用語の定義を順守する必要はないので,概ねで構わない。
リスク特定,定性的リスク分析,定量的リスク分析,優先順位の設定…これをシステム監査の表現に合わせて具体的に書く。
2-2.監査対象の選定と監査目的の設定の留意点
リスク評価の結果を受けて年度計画の対象を絞り込むわけだが,それだけでは不十分になる。いろんな制約もあるだろう。そのあたりを考えればいい。
まず考えなければならないのが,監査の時期。監査の時期が重なったり,逆に,空いている時期があって,そこに個別監査計画を入れられないかどうかを検討したり。
また,リスクの評価で発生確率や影響度を見積もる時に,現場の人たちの意見や経営者の意見を参考にするとともに,その結果に関して,経営者の承認を得る必要もある。
設問ウ
監査部門以外の例として,情報システム部門やリスク管理部門が問題文では挙げられている。したがって,これは前述のとおりCSA(コントロールセルフアセスメント)のアウトプットの利用だと考えればわかりやすいだろう。
ここも一般論にならないように注意する。設問アと設問イとの関連性をしっかり考えてから(どこでつなげるか),それぞれ具体的に書くようにすればいい。一般論は次の通り。
利点に関しては次のようなことに関して具体的に書けばいいだろう。
- 当事者にしかわからない特有のリスクを発見しやすい
- 当事者なのでそのまま改善につなげやすい
- 参画意識や自覚が芽生える
問題点に関しては同じく次のようなものがある。
- 客観性と独立性に欠ける
- 現場に負荷がかかる
必要な措置には次のようなものがある。
- リスク評価の各種判断基準が同じかどうかの確認
- 全社的視点になっているかを確認
- コントロールに漏れは無いか
- 客観性が保たれているか
感想
平成30年の2問は,監査手続きの表現を取ると新規の「アジャイル」で挑むことになるし,アジャイルを避けてこの問題を選定すると次の点を書ききらないといけない。
- 監査計画のリスク評価手順
- その時の留意点
- CSA について利点、問題点、必要な措置
いずれも(問1も問2も),ミスが入る可能性がある。アジャイル開発経験者でも読み間違えや一般論で書いてしまう可能性もある。
ただでさえ精度の悪いシステム監査技術者試験の論文で,これらに完全に反応できている論文がどれぐらいあるだろうか?特に今回の問題ではCSAをシステム監査に活用した経験がある人が,そもそもほとんどいないと思う。
したがって,この問題の設問ウは,当事者が評価したものに客観性をどうやって持たせるか?という観点から,当事者評価の利点と問題点,必要な措置を書ききったら,多少それが間違っていても合格論文になると思う。
設問ア,イまでしっかり書ける人は少なくないと思うので,そこまでをきちんと書いて,設問ウをそれなりに(誤魔化しながら)書いていれば合格論文だと考えてもいいと思う。こちらも,かなり合格論文のレベルは低いと見ている。
参考資料
システム監査技術者試験 2018年度 春期 午後Ⅱ問題 問 2
label 関連タグ著者の三好康之さんから許可を得て、2018年度 春期 情報処理技術者試験 の出題問題への感想を一部修正し、転載しています。
転載元: 三好康之オフィシャルブログ 「自分らしい働き方」Powered by Ameba
『定額制』
高度試験対策研修 KOUDO 初公開!
定額制だから、どの区分でも何名でも 受け放題!!





















- 略歴
- 株式会社エムズネット代表。
大阪を主要拠点に活動するIT コンサルタント。 本業のかたわら、大手 SI 企業の SE に対して、資格取得講座や階層教育を担当している。高度区分において脅威の合格率を誇る。 - 保有資格
-
- 情報処理技術者試験全区分制覇(累計 32 区分,内高度系 25 区分)
- ITコーディネータ
- 中小企業診断士
- 技術士(経営工学)
- 販売士 1 級
- JAPAN MENSA 会員
オフィシャルブログ 「自分らしい働き方」Powered by Ameba