情報処理技術者試験☆合格への道

ライフワークとしての資格取得ブログ　presented by Pman

Since 2005/01/10

無料ホームページブログ(blog)

ブログ内検索↓

　プロフィール

カテゴリー

広告エリア１

　

　

資格・スキルアップ Ranking

　

カレンダー

最近の記事

最近のコメント

Pman: (06/22)
taro: (06/21)
Pman: (01/18)
ぶっち:遅くなってしまいましたが (01/15)
Pman:お互い残念でした (12/23)
network_imet:Pmanさん、来年リベンジですよ。 (12/22)
Pman:コメントどうも (12/19)
ぶっち:Pmanさんでも (12/18)
Pman:祝・合格 (12/18)
２８歳ＳＥ:合格しました！ (12/17)
Pman:朗報ありがとうございます (12/17)
ビットマン:いつも楽しく拝見しています。 (12/17)
Pman: (12/04)
ぶっち:継続教育 (12/03)
Pman: (12/02)
network_imet:2008年版「いる資格、いらない資格」 (12/01)
Pman: (11/22)
ぶっち:読みました！ (11/22)
Pman: (11/11)
匿名さん:『初級シスアド試験』延長についての考察 (11/10)

最近のトラックバック

参加トラコミュ

ＳＥＯ／サイト価格

SEO対策・SEOとは
IT 　資格　ブログ
受験　日記　合格　論文

リンク集

逆アクセスランキング

ブログ(blog)ならFC2

アーカイブ

自己紹介など

ニックネーム：Pman
プロフィール：
　情報処理サービス会社に勤務。主に金融業のソフトウェア開発、システム運用・保守を担当。メインフレームからオープン系まで広く浅く経験。資格取得はライフワークとなりつつある。
保有資格
システム監査技術者
プロジェクトマネージャ
アプリケーションエンジニア
テクニカルエンジニア(システム管理)
ネットワークスペシャリスト
情報処理技術者(一種、二種)
電気通信主任技術者(第一種伝送交換)
工事担任者(デジタル第１種)

　質問、要望、感想、応援などは
　下のメールフォームから、直接
　私あてに送ることができます。

リンクフリー

メールの送信

アンケート

広告エリア２

RSSフィード

　　　

　　　

　　　

ＱＲコード

平成19年度春期試験の結果

最高の結果に感謝感激！

成績照会は次の通り。
-----------------------------------------------------
受験番号 AU*** - **** の方は，合格です。
午前試験のスコアは，690 点です。
午後I試験のスコアは，645 点です。
午後II試験の評価ランクは，A です。
-----------------------------------------------------

期待はしていたが、予想はしていなかった。
本音を言うと、また午後１で落とされると思っていた。
たとえ午後１クリアでも、午後２でダメだろう・・
そう思っていた。
しかし、命がけの勉強が実を結んだのだ。そう思うと
込み上げるものがあった。
成績照会の画面が、じんわりと霞んでくる。

近日中に合格体験記をアップしてみよう。

今宵は合格の喜びをかみ締めつつ・・

大切なのは何だろう

　４日後には結果が出ている。今回はいつもとちがい、試験のことを振り返ってあーだこーだと考えたり思い悩んだりすることがほとんど無かった。ここ最近、けっこう仕事が忙しいせいもあったが、それだけではない。自分の中では、結果はあくまでも結果でしかなく、それが大きく何かに影響を及ぼすものでもない気がしている。だが、冷めている、というのでは決してない。もちろん試験に対しては非常に興味をもっていて、せめて最低の目標にしていた「午後１クリア」は叶ってほしいと願っている。
　システム監査を受験し、興味をもっている方であれば、すでに試験センターから発表されている解答例をご覧になっているだろう。私も一応は見ておいた。しかし、また例によって１ヵ月以上もたつとかなり記憶があやふやで、採点がむずかしい。こんな解答を書いた気もするし、はずした感じもするしという具合で、考えれば考えるほど何だか落ち着かない気持ちになってくる。
　話は変わるが、まったく未知の世界であったシステム監査の学習は、新鮮だった。前回はほとんど学習しなかったに等しいが、今回は忙しいなりに時間を捻出し、やることはやった。普段ぜったいお目にかかることのない用語や専門知識は、なんとなく脳によい刺激を与えた感じがする。ひらめき脳の話ではないけれど、からだを鍛えるのと同じように、脳もたくさん使って鍛え上げるほうがよい。そう思えば、試験の結果よりも勉強のプロセスや効果のほうが大切な気もするのだが、いかがだろうか...。

スコア600足切りラインは

　試験の日から、１週間がすぎた。あれこれ振り返ってどうだったか考えてみたりしたが、いくら考えても結果が変わるわけではないので、そのことに気付くとだんだん関心が薄れていく。
　ところで、受験者にとって、足切りラインは一体どのくらいなのか、非常に気になることであろう。つまり、午前や午後１の試験でいう、スコア600点のボーダーラインのことだ。私が今回受けたシステム監査に関していえば、おおよそ次のような数字ではないかと推測する。
【午前】　55問中の正答数が、40以上で安全圏、35～39がボーダーラインか？
【午後１】正答率が、70％以上で安全圏、65～69％付近がボーダーラインか？
　客観的な根拠はまったくないので、監査人としては失格なのだが、たとえ主観であっても数値で示すことにより物事が見えてくるものだ。午前については、IRTによる評価なので、単純に正答数が一定以上ならＯＫとはならない。例えば、35/55でもクリアする人がいたり36/55でアウトの人がいたりする可能性もある。つまり、正解および不正解した問題の組み合わせによって結果が変わる。とはいえ、40/55あれば、たぶん大丈夫ではなかろうか。午後１については、これもまったくの想像であるが、７割を超えればおそらくクリアするものと思われる。 ITECやTACあたりでは既に午後１の解答例を発表しており、これらで採点しようと思えばできるのだが、５月末に試験センターから公表予定の解答によって再び採点すれば、安全圏か、ボーダーか、ダメかがおおよそ分かるだろう。
　システム監査の場合、午前は例年よりもやや難易度が高く、午後１は例年並みかやや低かった、のではないかと思う。それが、足切りにどう影響してくるか。足切り。それにしてもイヤなひびきの言葉だ。これまた考えてもキリがないので、もう考えないことにしよう。

受験レポート

　午前8:50、会場に到着。早くもピリピリとした緊張感を感じた。私がはいった教室は60席あり、半分よりやや多いくらいの席が埋まっていた。意外に受けに来ているなあ、という印象をもった。シス監ともなると皆それなりの心意気というか、やる気のある受験者が多いのだろう。年齢層はやはり他の試験よりも高めであるが、かなり若そうな人もたまに見かけた。
　午前試験。じつは今回、ほとんど午前の勉強をしなかったが、前日の土曜日になって急に心配になってきて、昨年使った問題集（精選360題）を見ていた。また、昨年このブログに載せていた「厳選！午前問題」の30問を、速攻でやった。こんな程度で大丈夫かという一抹の不安を抱きながら、試験が始まったのだが、私のいやな予感は当たった。なぜか簡単に解けないのである。しまった！と思った。少し甘く見すぎていた。が、途中から徐々に午前問題の解き方の感覚がよみがえってきたうえ、前日たまたま見ていた問題が出るなどラッキーな面もあって、全体としては無難にまとめることができた。正直いって冷や汗が出てしまった。（試験センター解答による採点結果：45/55）
　午後１試験。ここが今回の目玉である。いくら何でも、ほとんどやらなかった去年よりは得点できるはずだと自分に言い聞かせ、集中しようと決めていた。１問目。部門システムの監査。時計を気にしながら取りかかる。今までの訓練で読むスピードが少しは速くなった。解答を書くスピードもまずまずである。しかし肝心なのは、読んでから書くまでの思考プロセスである。つまり、解答のヒントは文中にあるか、あるとすればどの部分か、という具合に問題文と設問を合わせ見ながら解答を導くことになる。結局、問１は35分かかった。もう少しピッチを上げなければならない。２問目。お、プロジェクトの監査か、と思った。これはPM保有者には有利な気がする一方で、PMでなくAUの視点で答えないとダメ、ということだろう。無我夢中で読んで、考えて、書いて、30分かかった。最後は問３か問４を選んで残り25分で解くことになる。私はパッと見ての勘で、問４を選んだ。フォローアップの問題。これも問２のように、自分としてはかなりのスピードで取りかかった。解答として記述すべき字数がけっこうあるので、ゆっくり考える余裕はない。一気に書き上げなければならない。そして私は、終了の１分前で書き終えた。いつものことだが、午後１が終わると息もたえだえになる。ところが、書き終えて顔を上げると、もうほとんどの受験者が解答を終えている様子だ。なんだ、今回はさほど難しくなかったのだろうか。それとも受験者のレベルが高いのだろうか。
　午後２試験。私が選んだのは問１。問２も問３も書けないと判断したから。
　　問１　システム監査におけるITの利用について
　　問２　情報システムの調達管理に関するシステム監査について
　　問３　情報システムを利用したモニタリングとシステム監査について
　論文については、とにかく字数だけ確保するつもりで、あまり深く考えずに書いていった。それでも、なかなかスムーズに筆が進むものではなく、かろうじて制限字数を超えたところで終了。あきらかに練習不足であった。（設問ア：750字、設問イ＋ウ：1700字）

　以上のように、当初からヤマ場とみていた午後１をメインに、率直な感想を含めて書き留めてみた。

第３ステップ終了判定

　前回のように振り返ってみよう。
　　　第１ステップ　基礎点検期　1月22日(月)～2月11日(日)
　　　第２ステップ　実力養成期　2月12日(月)～3月11日(日)
　　　第３ステップ　反復訓練期　3月12日(月)～4月8日(日)
　　　第４ステップ　直前確認期　4月9日(月)～4月14日(土)
　　　試験日：4月15日(日)
　きょうで第３ステップが終了する予定であった。しかし、十分に訓練できたかと言えば、答えはノーである。年度の変わり目の影響もあってか思いのほか仕事が忙しく、勉強時間が十分に取れていないからだ。したがって、終了判定としては前回と同じくＮＧ。これは当然の評価であろう。
　では、最後の１週間で、不足している訓練をやり、かつ第４ステップにあたる直前確認まで一気にやり通せるかどうか。これは、十分にやるとなれば、かなり難しいと思っている。たぶん、木曜か金曜あたりまで午後１と午後２の解答練習を行い、試験前日の土曜で監査の重要ポイント、キーワード、論点の整理などをやることになるだろう。それでも、残り１週間をフルに活用できるかと言えばあまり自信がなく、実質上、勉強時間はほとんど無いと思ったほうがいい。非常に厳しい状況である。
　とは言いつつ、今回２度目の受験となるシステム監査(AU)は、昨年の初受験に比べれば相当の勉強はしてきたつもりだ。振り返ると、年明けからシステム監査基準の読み込みを開始し、それ以降は２冊の対策本を中心に、学習ペースこそ遅いながらも地道に続けてきた。仕事が忙しいときは神経が張りつめているので、その引き締まった気持ちを勉強にも利用したわけだ。モチベーションは維持できたのである。でも、そのわりには、実力がついたという実感がなく、こんな程度の勉強で、はたして本番では通用するのだろうかという疑問をもっている。それに、システム監査というのは経営、企画、開発、運用、保守にまで関わっており、その対象範囲（＝出題範囲）の広さは他試験の比ではない。開発や運用に関する技術はAE,SM,SUあたりの試験で必要になるが、AUはそれらをすべて包含し「広く浅く」ではなく「広く、ある程度は深く」知識・技術が要求される。しかも、当事者ではなく監査人としての客観的な視点を必要とする。
　そう考えると、直前１週間をしっかりやってもあまり効果が期待できない気がする一方で、むしろ覚えることの多い監査だからこそ直前の時期が大切なようにも思えてくる。システム監査基準、システム管理基準、対策本の解説など、これらをもう一度、丹念に読んでみよう。やるだけのことをやって、あとは気合いで乗り切るしかない。

監査業務の体系化

システム監査の実施
1.実施準備
2.予備調査
　 21.実施手順
　　　 211.監査対象の現状分析
　　　 212.問題点の認識
　　　 213.本調査の見直し
　　　 214.監査手続書の確定
　 22.実施上の留意点
　　　 221.目標レベルの明確化（コントロールのレベル）
　　　 222.潜在的問題点の存在
　　　 223.監査手続の詳細化、具体化
3.監査手続書の確定
　 31.監査手続の意義
　　　 311.コントロールの点検・評価の過程
　　　 312.監査証拠の入手の過程
　　　 313.監査技法の選択適用の過程
　 32.監査手続書の役割
　　　 321.各システム監査人の行動の明確化
　　　 322.次回システム監査での参考資料
　 33.監査手続の適用上の留意点
　　　 331.適時性
　　　 332.秩序性
　　　 333.経済性
4.本調査
　 41.実施手順
　　　 411.現状の確認
　　　 412.監査証拠の収集
　　　 413.証拠能力の評価
　　　　　　☆証拠の種類
　　　　　　　(1) 物理的証拠
　　　　　　　(2) 文書的証拠
　　　　　　　(3) 口頭的証拠
　　　　　　　(4) 状況的証拠
　　　　　　☆収集上の留意点
　　　　　　　(1) 必要不可欠性
　　　　　　　(2) 経済性
　　　　　　　(3) 証拠能力の十分性
　 42.実施上の留意点
　　　 421.積極的な現地調査
　　　 422.十分な事前準備
　　　 423.監査手続の適時見直し
　　　 424.実施結果の記録（監査調書の作成）
5.監査調書の作成
　 51.監査調書の必要性（役割）
　　　 511.監査意見の裏付け証拠
　　　 512.個別計画書、監査手続書への準拠性の立証
　　　 513.監査手続の実施記録
　　　 514.監査業務の品質管理の手段
　　　 515.次回システム監査での参考資料（フォローアップ）
6.評価・結論
　 61.実施手順
　　　 611.監査意見の形成
　　　 612.評価・結論の総合検討
　　　 613.監査報告書案の作成
　　　 614.被監査部門との意見交換
　　　 615.監査報告書の最終化
　　　 616.監査報告会の開催

　直前チェックシートをただ丸暗記するのでは芸がない。そこで、上のように項目番号をふって構成を考えてみた。システム監査は計画、実施、報告の３つに大きく分かれていて、そのうち中心となる実施に絞って、できるだけ時系列に項目を並べかえた。わりときれいに出来たと思う。ただし、これだけでは抽象的な感じがして物足りないので、翔泳社『情報処理教科書』の基礎解説をもう一度さっと読んでおいた。
　４月になり、そろそろまとめの時期が近づいてきたので、総点検のつもりで知識の整理をするとしよう。

暗記の秘策

　翔泳社の情報処理教科書に付いている「試験直前チェックシート」を切り離し、読んでみた。重要ポイントとなる事項についてキーワード中心にまとめてあり、直前の時期まで体系的に学習（復習）できるようによく考えて作られたシートだと思う。最初のほうには、「・・・各項目をしっかり暗記してください。」とある。これは非常に苦痛だ。読めば自然に頭にはいってくるなら苦労しないのだが、監査の用語はどうもうまく覚えられないのである。しかし暗記してと言われると、何とかして吸収しなければいけない気になってくる。
　はるか昔、私は大学受験の準備をしていたころ英単語がなかなか覚えられずに悩んでいた。そのとき、一か八かで試した方法は、語呂合わせで暗記する、というものだった。今もあるのか知らないが、連想単語記憶術とかいう本で、単語１つ１つを日本語の言い回しに置き換えて覚えられるようになっていた。最初は、こんなので本当に身に付くのかと思ったが、やってみるとこれが意外に効果があって、英語に対する苦手意識が徐々に消えていったのである。当時、あの有名な「でる単」をやっている受験生が多かった中で、私はひそかに「連単」をやっていたわけだ。
　そうした過去もあって、私の場合はまともに暗記するよりも、何かひと工夫したほうがいいと思いながら直前チェックシートを見ている。さすがに語呂合わせは難しいが、いくつかの語句を１文字ずつつなげてみると、少しは覚えやすくなるだろうか。たとえば、

　システム監査の目的
　　1. 信頼性
　　2. 安全性
　　3. 効率性　　⇒　信・安・効　⇒　しんあんこー

　データインテグリティの特性
　　1. 網羅性（完全性）
　　2. 正確性
　　3. 妥当性
　　4. 整合性　　⇒　網・正・妥・整　⇒　もうせーだせー

という具合に。

午後１の読みかたを考える

　平成16,17.18年の午後１過去問はひと通り手をつけた。率直な感想をいうと、やはり・・時間が足りない。先日「午後１は時間とのたたかい（3/13記事）」でも書いたとおりで、初めて解く問題はどうしても30分以上かかってしまう。どうすればいいのだろうか。１回やった問題を再度やってみると、さすがに２回目は時間が短縮する。しかし、本試験の午後１はまちがいなく初めての問題が出るので、初ものに強くならなければいけない。
　そうは言いながらも、最近わかってきたことがある。私の場合、解答を書くのはわりと得意だが、問題文を読むのが苦手というか下手なのである。えっ？と思われる方もいるかもしれないが、実際そうなのだ。では、どんなふうに下手なのかと言うと、最初から最後まで同じ調子で読んでいること。つまり、すべてを丁寧に、大事に、一字一句に気をつけて読もうとしすぎている。こういう読み方では、時間が足りなくなるのである。問題文の全体を見たとき、最初の段落あたりは監査対象となる組織やシステムの概要などが書かれているだけなので、設問との関連性はあまり無いのだ。したがって、最初のほうはそれこそ"斜め読み"くらいのつもりでいい。そして、中盤あたりから設問と関係する箇所は注意深く読んでいけばいいだろう。
　ところで、問題文を先に読むか、設問から先に読むか。対策本では設問から読むことを推奨しているし、私もどちらかといえば設問から読みたいほうである。しかし、システム監査の場合、問題文の質・量ともにかなり歯ごたえがあるので、本文を読んでいるうち設問の内容を忘れてしまう。だから、設問を意識しながら読み進めていき、忘れたらまた設問を見るしかない。自分の記憶力が衰えてきたのだろうか（笑）と少し心配もしている。ならば、まず設問１だけ読んでから問題文を読み、あとで設問２、３を問題文と照合しつつ解いていけばいい。
　・・といった感じで、苦労と試行錯誤をつづけている。

　東京の桜が咲き始めた。

　やがて春試験の足音が近づいてくる。

論文対策２回目　所見

　２本目を書いたものの、すっきりしない気分である。私は過去、苦労の末に３つの論文試験（AE,SM,PM）を突破してきたが、今回のAUは今までと少し様相がちがうような気がする。AE,SM,PMでは、自らの体験をもとに現場の生々しい状況を表現し、実務ベースで論述できたが、AUの場合はそれができない。経験の無さをカバーしようとして無理やり臨場感を出そうとすると「私は泥臭い職場で紆余曲折、様々な壁を乗り越えました～」みたいな、アプリ開発者や運用管理者のような文章になってしまう。そうではなく、シス監の場合、経験というよりは理想論（あるべき姿）を書いたほうが、題意に沿ったものになる。監査人は、あまり熱くならず、少し抑え気味に淡々と書いたほうがいいのかもしれない。ただし、理想を「具体的に」述べるのは非常に難しい。

　ところで、『システム監査基準』には、次のように記載されている。
（前文）
　システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。
・・・・・
【３】一般基準
３－５．品質管理
　システム監査人は、監査結果の（　　）性を確保するために、適切な品質管理を行わなければならない。
　　<注>項番は私がふったもの。わざと空欄（　　）を作ってある。

　このあたりは、平成16年の『システム監査基準』改定によって追加されたらしい。つまり、監査そのものの品質確保という観点を新しく盛り込んだということ。その翌年の午後２でこれがテーマとして出題されたわけだ。このように、法律や制度が変わったときは要注意（出題の可能性が高い）と思ったほうがいい。例えば『個人情報保護法』や『電子帳簿保存法』にまつわる出題が近年あったはずである。そう考えると次の目玉は『日本版SOX法』かと思われるが、J-SOXの正式な成立はもう少し先のようなので、参考ぐらいに考えておこう。

　あっという間に３月も終わりそう・・。時がたつのは、はやすぎる。

論文対策２回目　解答作成

<平成17年問１>
　システム監査の品質確保について

１．システム監査の目的及び概要
１－１．私が携わったシステム監査
　情報処理サービス企業に勤務する私は、金融系のシステム開発に携わる一方、外部の金融機関などからの依頼により、システム監査を不定期に実施している。
　Ａ社は中堅の銀行であり、個人向けローン事業をＡ社Webサイトに公開し、融資申込みをインターネットで受付している。対象業務には、住宅ローン、教育ローン、カードローンがあり、Ａ社独自の情報システムにより運用されている。今回Ａ社から、当システムの監査の依頼があり、監査チーム要員として私は参画した。
　当システムでは、Web上でのデータ送受信による個人情報の漏えいやシステムトラブルなどのリスクに対し、適切なコントロールが構築・維持されていることを確認する必要がある。この点について客観的に点検・評価し改善勧告を行うことが監査の目的となる。
１－２．監査の品質確保の重要性
　個人向けローンはＡ社の主力商品である。特に住宅ローンは、顧客への融資金が高額、返済期間が長期という特徴から、新規顧客の獲得が企業の売上及び利益に直結する。また、顧客情報、例えば口座、残高、利息金などの管理は、大部分がシステム化されている。こうした点から、ローン業務システムは、Ａ社の経営戦略において重要な役割をもつほか、Webにより提供する顧客サービスの一環として他社との差別化を実現可能とする。
　したがって、当業務におけるシステム監査は、Ａ社の企業経営に関わることであると言える。監査の品質を確保することは、顧客情報の流出や金額不正といった重大なリスクに対し、そのコントロールの有効性や効率性を高めることにつながる。また、企業経営へのダメージを未然に防止する意味で、経営者が管理責任を果たす上でも、システム監査の品質確保は重要になる。

２．監査の品質が不十分な場合の問題点（設問イ）
２－１．監査の目的が達成されない
　監査手順として、まず、インターネット受付において、Webサーバに対するセキュリティ上の脆弱性がないか確認する。監査証拠としては、侵入テストを実施した際のブラウザ画面のハードコピー、送信データの電文ログ、アクセスログ等の検証物を取得する。次に、データのインテグリティを確認するため、顧客データベースの更新ログ、ジョブ結果ログ、合計金額を出力した帳票等を入手する。しかし、これらの監査証拠が十分に得られないと、コントロールの適切性や妥当性を判断するための根拠が不十分となり、監査の目的が達成できなくなる。その結果、Ａ社ローン業務システムにおけるコントロール機能が適切に発揮されず、リスクの顕在化、すなわち、トラブルによる業務停止や売上の未達といった問題に発展する可能性が考えられる。
２－２．監査業務そのものが非効率となる
　今回の監査チームは、私を含めた４名のシステム監査人で構成されるため、チーム内の連携が重要となる。具体的には、Ａ社の３つのローン業務ごとに役割分担して監査を実施する。しかし、チーム内で監査項目を点検しないと、監査結果・評価のばらつきが生じてしまう。そして、ばらつきを解消するために、監査手続の見直しや追加監査が必要となり、無駄な時間と費用がかかる。
　また、監査証拠の一部である貸付金明細表や残高一覧表といった出力帳票は、Ａ社の機密情報であるため、厳重に管理・保存する必要がある。万一これらの資料が紛失したり盗難にあうなどのトラブルが起きると、緊急に対応しなければならない。この場合、対応計画を予め決めていたとしても、監査業務の効率性が低下することは明白である。
２－３．外部から見た透明性が不足する
　金融業は公共性の高い業種であるため、監査内容は、外部の第三者に開示及び説明できる状態にする必要がある。しかし、監査の品質が不十分な場合、情報システムの効果や安全性を説明しても説得性に欠け、Ａ社のITガバナンスについて信用が低下する。例えば、監査報告において、金額不正が無いかどうかを確認する監査の結果が明確であっても、監査手続が不明確または不適切であった場合、システム監査の役割を十分に果たしたとは言えまい。外部から見ると、顧客の口座残高がどのような仕組みで守られているのかは重要な関心事である。その点を曖昧にすると監査の透明性が不足し、金融機関としてのＣＳＲ即ち社会的責任を果たせなくなる。

３．システム監査の品質確保のための取組（設問ウ）
３－１．監査の目的を達成するための取組
(1) 経営上の考慮
　顧客情報の漏えいやシステムトラブルといったリスクが現実のものとなった場合、企業経営に大きな損害が発生することは明白である。このため、リスクへのコントロールの適切性は、まず経営上の観点から監査すべきであると私は考える。
　具体的には、監査対象であるＡ社の経営層と事前に話し合い、Ａ社と監査チームの双方が納得する監査目標を定める必要があろう。実際に今回の監査では、経営幹部との事前打合せをもち、監査目標の明確化と意識あわせができた。また、事後の監査報告会では、経営にとって有益な改善勧告を念頭におき監査意見を表明した。
(2) 事前確認の重視
　私はＡ社以外に、他の金融機関の監査を実施した経験があった。その際に予備調査で使用した事前チェックリストが有効であったことから、今回のＡ社に対しても適用できるものと判断した。事前チェックリストとは、監査の実施に先立って行う準備作業に漏れがないか確認するための一覧である。これにＡ社独自の項目を監査目的に則って追加し、監査チーム内でレビューすることにより監査品質を確保した。
３－２．監査業務の効率化のための取組
(1) 監査手順の標準化
　今回監査したローン業務システムの場合、住宅、教育、カードという３業務に分かれているが、監査の基本的観点（信頼性、安全性、効率性）は共通している部分が多い。したがって、監査手順の標準化を行い、監査の実施あるいは評価のばらつきが生じないように工夫が必要である。具体的には、まず業務ごとに必要な監査項目を挙げたのち、業務横断的に精査して、監査項目を共通化・標準化した。次に、監査項目と監査証拠（ログ、出力帳票など）を関連づけるマトリックス表を作成し、効率的に監査証拠の収集ができるようにした。
(2) 継続的改善
　今後もシステム監査を実施する機会があるため、監査業務プロセスを継続的に改善していくＰＤＣＡサイクルの導入が必要であろう。監査の品質を高めるには、今回の監査における問題や反省を改善点として整理し、次回の監査に有効活用していくことが重要となる。
３－３．外部への透明性の確保
　以上３－１、３－２で述べた取組を確実に遂行することにより、システム監査プロセスの透明性が確保でき、その結果、外部の第三者による監査品質の評価が可能になる。監査業務そのものの可視化、つまり監査調書や監査報告書を明瞭に記載することが品質確保につながると考える。さらに、品質確保の状況を明確かつ誠意をもって説明できるように、システム監査人としての資質を向上する努力が不可欠であろう。

ア： 800字
イ：1100字
ウ：1250字
計：3150字

論文対策２回目　分析

　「過去問題集への辛口評価（2/25記事）」で述べたとおりサンプル論文というのが無いため、自力で論文を作っていかなければならない。しかしながら、対策本の解説が役に立たないわけではなく、論述にあたってのヒントを与えてくれていると思えば、むしろサンプルに頼らずに書いたほうが、実力はつくかもしれない。
　問題文を分析し、解説に載っている内容の要点を私なりに整理しながら、論文全体の構成を組み立ててみよう。

--------------------------------------------------
１．システム監査の目的及び概要（設問ア）
１－１．私が携わったシステム監査
　　　　　●適切なリスクコントロールが構築されていること
　　　　　　　・リスクの例：機密情報の漏えい、システム停止など
　　　　　●客観的に点検、評価すること
１－２．品質確保の重要性
　　　　　●なぜシステム監査の品質が重要視されるか
　　　　　●情報システムのトラブルが企業経営にダメージを与える
　　　　　●情報システムにより他社との差別化が実現可能
　　　　　●情報システムが経営戦略上、重要な役割をもつ

２．システム監査の品質が不十分な場合の問題点（設問イ）
２－１．監査の目的が達成されないこと
　　　　　●コントロール機能が発揮できない
　　　　　●リスク顕在化（情報システムの役割が果たせない）
　　　　　●トラブルによる業務停止、売上の未達
２－２．監査業務そのものが非効率となること
　　　　　●監査項目の標準化や優先度が無い
　　　　　●監査の実施においてトラブルや無駄がある
　　　　　●監査項目の見落としがある
　　　　　●監査結果や個人的評価のばらつきがある
　　　　　（その結果、時間と費用がかかり監査の効率が低下する）
２－３．外部から見た透明性が不足すること
　　　　　●監査の内容を、外部の第三者へ十分説明できない
　　　　　●情報システムの効果や安全性について説得できない
　　　　　●経営統治（ガバナンス）についての信用低下が起きる

３．システム監査の品質確保のための取組（設問ウ）
３－１．監査の目的を達成するための取組
　　　　　●適切な監査目標を定めるための十分な努力をする
　　　　　　　・経営者との話し合い
　　　　　●適切な監査手続を定めて、適切な監査意見や勧告を導く
　　　　　　　・チェックリストによる事前確認
　　　　　●適切な監査意見により、経営にとって有益な監査勧告にする
３－２．監査業務の効率化のための取組
　　　　　●適切な監査手続を定めて、効率的に監査証拠を収集する
　　　　　　　・監査手順の標準化
　　　　　●PDCAサイクルにより、監査プロセスを継続的に改善する
　　　　　●システム監査担当者の教育
　　（以上により、外部の第三者による監査品質の評価が可能になる）

論文対策２回目　問題

　システム監査の品質確保について　<平成17年問１>

　情報システムの企業内における役割の拡大、更には社会にもたらす影響の拡大に伴って、情報システムに関する経営者の管理責任が強く求められるようになっている。例えば、情報漏えいや重大なシステムトラブルが発生した場合には、経営者の管理責任が問われることがある。そこで、経営者の管理責任を果たす上で、システム監査が重要な意味をもつことになる。
　システム監査の役割は、独立した立場にある監査人が、情報システムに関するリスクに対して、適切なコントロールが構築・維持されているかどうかを客観的に点検・評価するとともに、コントロールの有効性や効率性を高めるための改善勧告を行うことといえる。このような役割を果たすためには、システム監査の品質を確保し、高めていくことが重要になる。
　システム監査の品質の確保及び向上においては、監査手順の遵守、適切な監査手続の実施、監査調書の作成・保存などの対応だけではなく、経営にとって有益な監査報告を行うことが重要である。そのためには、システム監査人の育成及び教育、監査業務プロセスの継続的な改善、監査部門内での品質チェック、外部の第三者による品質評価などが必要になる。
　情報システムに対するコントロールを高めていく上で重要な役割を担うシステム監査人は、システム監査の品質を確保し、向上させるように努めなければならない。また、実施したシステム監査の品質確保の状況について、経営者や第三者に明確に説明できるようにしておくことも大切である。
　上記に基づいて、設問ア～ウについてそれぞれ述べよ。

設問ア
　あなたが携わったシステム監査の目的と概要について、システム監査の品質確保の重要性と関連付けて、800字以内で述べよ。

設問イ
　設問アに関連して、システム監査の品質が十分でない場合に、どのような問題が発生すると考えられるか。具体的に述べよ。

設問ウ
　設問イで述べた問題について、システム監査の品質を確保し、高めるために必要な取組について、具体的に述べよ。

午後１は時間とのたたかい

　きょうは「システム監査技術者過去問題&分析〈2007年版〉」で平成16年度：午後１の問４をやり、これで直近３年分のうちH16とH18は手をつけたことになる。残りはH17の４問と予想問題２問であるが、こちらは追々やっていくことにする。あと１ヶ月で６問だから楽勝、というわけでは決してない。本来であれば今頃は、午後１の反復練習をやっている時期と思っていたのだ。つまり、くり返し解いてみることによって実戦力を磨き、得点力をアップしようという目論見だったのである。
　午後１の勉強はどのようにやるべきか、悩んでいる人も多いのではないか。H16およびH18の監査の午後１問題を見る限り、とにかく言えるのは「時間が足りない」。私の場合、きょうに関して言うと、30分で解かなければいけないところ、50分くらいかかっている。本番の緊張がないせいもあるが、それにしても時間がかかり過ぎである。さらに悪いことに、時間をかけたからといって正解を導けるとは限らないのだ。解いたあとに解説を読めば、なんだそんなことかと納得するものの、実際の試験で素早く的確な答えを書くのは難しいと思えてくる。また、システム監査の問題とはいえ、監査人というよりは運用管理者などの視点で答えたほうが無難な場合もあるので、ポイントを外さないように注意する必要がある。
　１問を30分以内で解けるようになるまで解く訓練をする
　・・今の私には、これしかない。

第２ステップ終了判定

　前回のように、スケジュールを振り返ってみる。
　　　第１ステップ　基礎点検期　1月22日(月)～2月11日(日)
　　　第２ステップ　実力養成期　2月12日(月)～3月11日(日)
　　　第３ステップ　反復訓練期　3月12日(月)～4月8日(日)
　　　第４ステップ　直前確認期　4月9日(月)～4月14日(土)
　　　試験日：4月15日(日)
　きょうは、第２ステップの終了日となるが、２／４でちょうど半分ではない。最後の第４ステップは直前１週間の総まとめなので、実質、２／３まで終わったと思ったほうがいい。ただし、これは単にカレンダー上で月日が過ぎ去っただけのことで、やるべき勉強が２／３消化したわけではない。
　２月の後半から、少しペースが鈍ってきた。じつは、年度末に向けて仕事がたて込んできたので、勉強時間が十分に確保できていないのである。午後１は、平成16～18年度のうち、平成18年分と、平成16年の半分までやったところであるが、通勤時間などの合間をぬってせせこましく解いている状態なので、身についている気があまりしていない。午後２は、まず１つ論文を作成したので、これをベースに、あるいは別のテーマについても作成してみようという態勢である。もともと第２ステップの学習負荷は、午前：午後1：午後2＝10％：60％：30％という配分に設定していたが、午後１への負荷がそれほど高くできなかったと振り返る。第２ステップ終了判定と言うからには、このステップの目標は達成したか、次のステップに移ってもいいかを、判定しなければならない。
　判定は、ＮＧである。なぜなら、午後１の進み具合と習熟度が不十分だから。先日「システム監査技術者過去問題&分析〈2007年版〉（同友館）」を辛口評価したが、本のせいにはしたくないので、何らかの対策を講じる必要がある。例えば「情報処理教科書システム監査技術者 2006年度版（翔泳社）」の解説部分をもう一度読んで、監査の基礎知識を補強することも考えてみよう。
　これからが正念場。仕事が忙しくて大変なのはみな同じ。忙しいときこそ人は真価が問われる。あと約１ヵ月。密度の濃い勉強、実戦的な訓練、成果が自信につながる工夫・・　第３ステップこそ重要なフェーズであり、ここを制する者が試験を制するといっても過言ではあるまい。さあ、エンジン全開でいくぞ！

論文対策１回目　所見

　２月中に１本あげておきたいと思い、昨日、苦労しながらもどうにか書いた。なにしろシステム監査の初心者なので、翔泳社の本に記載されているサンプル論文の大部分を転用しようと考えていたのだ。けれども書いているうち、こうしたほうがいいかも、と思う部分がいくつか出てきたので、私なりに掘り下げてカスタマイズしてみた。
　初心者でありながら対策本にケチをつけるわけではないが、サンプル論文はけっして完璧な論文ではないと考える。例えば、設問イで「監査報告書における監査意見の根拠を明らかにするために、監査調書を作成する上で留意すべき点」を問われているのに、サンプル論文では１度も「監査報告書」が出てこない。問題文にも監査調書と監査報告書とのかかわりを表現するところがあるので、これはせめて１度は書いておくべきキーワードだろう。

　ところで、『システム監査基準』には、次のように記載されている。
【４】実施基準
４－３．監査の実施
(2) 監査調書の作成と保存
　システム監査人は、実施した監査手続の結果とその関連資料を、監査（　　）として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った（　　）がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。
　　<注>項番は私がふったもの。わざと空欄（　　）を作ってある。

　つまり、今回のテーマはこの部分の内容について具体的に論述することが求められている。単に『システム監査基準』及び『システム管理基準』を覚えているだけではなく、それを実務に適用する技能があるかどうかだ。また一方で、これらの基準を十分に理解することは、それだけで論文が書けるわけではないが、論文を書くにあたってのベースは形成される、という気がした。

　明日から３月。いよいよ本腰を入れていく時期にはいる。

| ホーム | 次のページ