dgtlcrur

はてなのリソースをちょっとだけ消費するチラシの裏

(2018春期)システム監査技術者試験に合格しました

情報処理技術者試験

自分でも想定外な結果でした・・・

twitterタイムラインが情報処理技術者試験の合格発表であふれていて「あぁそういえば今日合格発表かぁ」と思いつつ「まぁ論文で大ポカやらかしたから不合格確認でもするかwww」と思って見てみたらなんか合格してました。

午前2、午後1ともいつもどおりの足切りスレスレ綱渡り得点でした。
午前2は3問落としたらアウト、午後1も解答量を考慮すると1問落としたらアウトってとこでしょうか。
とはいえ、同じ試験会場での受験者(61人部屋)のうち合格した10人のうちの1人に入れて光栄です。

中の人について

  • 普通のSEです。
  • J-SOXの被監査部門で監査人とおしゃべりする業務もやっています。

午後2論文の回答内容

どんな論文でA判定になったのか、なにかご参考になれば…と思いざっくり記載します。

問題文のPDFはIPAが公開しています。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_1/2018h30h_au_pm2_qs.pdf

今回は問2(リスク評価の結果を利用したシステム監査計画の策定について)を選択しました。

問1はアジャイル開発の実務経験がなく箸にも棒にもかからない感が半端なかったので華麗にスルーしました。

あなたが携わったシステム監査、システム利用又はシステム開発・運用業務の概要

※内容は全てフィクションです。

論文を書く前に論述対象のバックグラウンドを原稿用紙ページ手前に見開き1ページ分あるアンケート形式の項目に書かなければなりません。

問1or問2のどっちに突き進むか腹を決めてからざっくり設定を妄想して書き込みます。

論文書き上げた後に最初の設定と内容が乖離してしまった場合、設定側をそれっぽく修正する必要があると個人的には思っています。(つまり論文見直して設定を微修正する時間も考慮して論文を書き上げる)

  • あなたの所属部門:自社内部監査部門の社員(所属したことないけど)
  • 担当した主なシステム監査:社内システムに関するJ-SOX監査
  • 規模とかユーザ数など:それっぽく適当に書きました(論文書いてから規模感なんかの設定をちょっと修正した程度)

問2−設問ア

あなたが携わった組織の主な業務と保有する情報システムの概要について、800字以内で述べよ。

  • あなたが携わった組織の主な業務
    • 所属組織は社内の監査部門として日々既存業務やシステムたちの監査をしている
    • 新しい業務やシステムを作る時に監査的観点をどう要件定義に盛り込むのがいいか、といった助言業務も行っている
  • 保有する情報システムの概要
    • 物流システムや資金決済システム、営業系システムや人事・経理などのバックオフィスシステムなど多岐にわたる

問2-設問イ

設問アで述べた情報システムについて、監査部門がリスク評価を実施して監査対象の選定や監査目的の設定を行う場合の手順及びその場合の留意点において、700字以上1400字以内で具体的に述べよ。

  • リスク評価を実施して監査対象の選定や監査目的の設定を行う場合の手順
    • 各業務システムごとに機能要件や非機能要件、実業務での運用状況をシステムドキュメントや現場ヒアリング等を通して精査したりシステムが不適切に使用された場合の社会影響度などを個別に確認する
  • リスク評価を実施して監査対象の選定や監査目的の設定を行う場合の留意点
    • リスクコントロールが適切に行われなかった場合の業務影響や社会的信頼の失墜など、企業活動に重大な影響を及ぼす度合いを考慮して監査対象や目的を設定しなければならない

問2-設問ウ

設問ア及び設問イに関連して、監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合、その利点、問題点、及び監査部門としての必要な措置について、700字以上1400字以内で具体的に述べよ。

  • 監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合の利点
    • 実業務やシステム運用業務を外部委託している場合、委託先企業が独自にシステム監査して「日本公認会計士協会監査・保証実務委員会実務指針第86号」基づく「受託業務に係る内部統制の保証報告書」を発行していれば、この報告書の確認をもって自社監査をパスしたことにできるため、監査業務の省力化が図れる
  • 監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合の問題点
    • 社会情勢の変化などで監査ニーズに変化があった場合、自社の監査対象や監査目的の変更が発生することになるけど、86号報告書が新しいニーズに対応できておらず、そのままでは監査目的が達成できない恐れがある
  • 問題点に対する監査部門としての必要な措置
    • 「受託業務に係る内部統制の保証報告書」での報告内容が常に新しい監査ニーズに対応できているかを個別に検証しなければならない。もしニーズに対し不足している観点があれば自社監査部門で個別に追加監査をするなど、常に最新の監査目的を達成できるように考慮しなければならない

論文回答のコツ(高度区分の論文共通)

過去にプロジェクトマネージャ試験も合格していますが、ダラダラ文章を紡いでいるとどんどん論点がずれていって「最初はこんなこと書くはずじゃなかったのに…」みたいな事態に陥ってしまうので、解答用紙(原稿用紙)の各設問欄の中で大きな段落を作るようにしています。
例えば設問ウだと、聞かれていることは「監査対象の選定や監査目的の設定を行う場合の利点」「問題点」「監査部門としての必要な措置」の3点なので、回答内では

  • (1)監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合の利点
  • (2)監査部門以外が実施したリスク評価の結果を利用して監査対象の選定や監査目的の設定を行う場合の問題点
  • (3)問題点に対する監査部門としての必要な措置

という3段落を作って、だいたい1段落あたり400字ぐらいを目標に書き連ねていってました。 段落タイトルだけで1つあたり40字〜50字程度消費しますので、採点者がタイトル部分を文字数ノーカウントにしてしまう可能性も念の為考慮しつつ、全体でまあ700字+タイトル100字=最低800字程度のラインをクリアすればいいと思います。 話が膨らんで字数が上限に迫ることはいいのですが、無理して1400字上限ラインを攻める必要はありません。大事なのは聞かれていることに対して抜け漏れなく回答ができているかです。

午後2論文の参考図書

プロジェクトマネージャ試験に挑戦した時に下記の本を参考にしていました。どの区分の論文にも対応できるのでお財布にも優しいと思います。 www.shoeisha.co.jp

来年のシステム監査技術者試験に向けて学習される皆様のなにかヒントになってくれれば幸いです。