情報処理技術者試験のシステム監査技術者試験については、管理人は本当に合格まで苦労しました。
システム監査技術者の試験は独特・・・
管理人はもちろんエセ監査技術者ですので、実際にシステム監査の経験はゼロでした。
ですので、合格するまでに、実に・・・
8年を要し・・・
8戦中・1勝・5敗・2不戦敗(会場に行かなかった)
という体たらくな戦績を記録してしまいました。
6戦の内、午後1を突破できたのは、たったの2回です。
ですので、実質的に論文が採点されたのは、2回しかありません。
午後1突破が鬼門・・・
管理人的には、午後1突破が鬼門でしたので、午後1さえとおれば、論文はなんとかなるという気持ちです。
午後1は、なかなか勘所がつかめずに、6戦の内4回も落ちました・・・
復元論文
管理人が合格できたのは、2018年の春試験です。
お恥ずかしながらですが、復元論文を公開しますので、この程度でも合格できるとう目安にしていただければと考えます。
試験年度:2018年春
科目:午後2/設問2を選択
以下復元論文・・・
*****ここから*****
ア・主な業務と保有する情報システムについて
1.携わった主な業務
私は、自治体(以下「A」という。)の内部監査部もの職員であり、情報システムの監査も実施している。
Aの監査部門には、私を含め5人が所属しているが、毎年多くの監査案件があり、多忙を極めているが、自治体の人員削減の目標もあり増員は望めない。
本年度私は、Aの情報部門が昨年度実施した基幹系業務のシステム更新について、システム監査を実施することとなった。
2.情報システムの概要
Aでは、基幹系システム(住基・税・福祉・介護等の情報を扱うシステム)を運用している。
この基幹系システムは、窓口での住民票等の各種証明書等を発行しており、住民サービスに直結しているシステムであり、高い可用性が求められるものである。
Aの情報部門は、昨年度このシステムを更新し、従来の自己電算システムから、外部のSIベンダのデータセンターを利用した、クラウド方式を採用したが、運用開始直後にサービスが停止するという重大なインシデントが発生した。
この為、本年度の監査対象となったものである。
イ.監査対象の選定や監査目的の設定を行う場合の手順及び留意点
1.監査対象の選定方法
システム監査における監査対象の選定方式は、Aは次のとおり設定している
なお、毎年、年度当初に年間計画を設定し、それに基づき個別計画を策定している。
①3,000万円以上のシステム導入又は更新
A市では、3,000万円以上の事業については、全て中期の財政計画で、審議を諮ることとなっている。
この為、この中期の財政計画と整合性を図る為に、3,000円以上のシステム導入又は、システム更新については、一律に導入計画・価格・効果等を監査することとしている。
②ビジネスインパクトによる選定
システムの不具合や停止等で、住民サービスに重大な影響が発生した場合は、住民のAの評価に直結する。
この為、その影響度の大きさによりビジネスインパクトを判断し、監査の対象としている。
システム障害により窓口サービスが停止した場合やシステムの不具合により、住民に対する通知等に誤りがあった場合等がこれにあたる。
2.監査目的の設定
システム監査の目的については、Aでは、次のとおりとしている
(1)システムの導入が、Aの政策と整合性がとれているか。
法令改正等により止むを得ずシステム改修を実施する場合は該当しないが、特に新規のシステムを導入する場合には、Aの長期的な政策に合致しているかが重要となる。
主な監査項目は次のとおりである。
①導入計画について
適切なプロセスを得て承認されているか
②導入費用
適切に設計額が積算され、妥当な価格か
③導入後の効果
導入計画時に期待した成果が出ているか
(2)重大なインシデントが発生した際の問題管理
システム障害による停止等の重大なインシデントが発生した際には、その問題管理(根本原因の追究と再発防止対策)が重要である。
特にビジネスインパクトが高いインシデントが発生した際には、再発防止の為の問題管理が十分になされているかが、監査の目的となる。
ウ.監査部門以外が実施したリスク評価の利用の利点、問題点、監査部門として必要な措置
1.監査部門以外が実施したリスク評価の利用の利点
内部監査の要員は限りがある為、合理的かつ効率的に監査を実施する為には、被監査部門の協力を得る事が不可欠である。
Aでは、被監査部門に対して、予備調査にあたり、事前に監査部門が作成した監査フォーマット(リスク評価書)を利用して、被監査部門自身の監査を実施している。
このことにより、事前に監査担当者が、被監査システムの現状を把握することができ、合理的且つ効率的に監査を実施することができる。
②問題点
被監査部門自身の監査は、自己評価であるため、故意悪意に関わらず、評価が高くなりがちである。また、自分にとって、評価が悪くなる点については隠蔽する場合も有りえる。
この為、被監査部門が作成したリスク評価書をそのまま鵜呑みにすることは、見落とし等の監査の品質が低下することになるため、大変危険である。
2.監査部門として必要な措置
被監査部門が作成したリスク評価書をベースとして、監査担当者が個別監査計画を作成し、監査を実施する。
監査に当たっては、被監査部門の担当者に実際にヒアリング調査や各種関連書類の査閲を実施し、リスク評価書との不整合が無いか入念に確認することが重要である。
私は、今回のシンシデントにおける問題管理の監査に当たりまず、複数名の担当者とヒアリングを実施し、当該複数名の発言内容が合致しており、リスク評価書との整合が取れている事を確認した。
次に、各種関係書類(時系列議事録、原因報告書、対策検討書、対策結果報告書)を査閲し、リスク評価書との整合性の確認を実施した。
一部の書類に日付の不整合等が散見されたが(記載漏れ)、原因が追究され、再発防止対策も確実に実施されていることが分かり、監査手続も問題なく完了に至った。
*****ここまで*****
改めて読み返してみましたが・・・
なんとも薄っぺらい内容です・・・
よくこれで合格できたものだと思います。
午後2合格方法・・・
システム監査技術者試験に限らず情報処理技術者試験の論文試験には【お作法】があります。
設問文をよく読み、設問が問うている内容をオウム返しで回答するという事がイチバンのポイントなります。
これがずれてしますと、アウトです。
兎に角、問わている内容に素直にオウム返しで答える事が重要です。
例えば、2018年午後2の設問2の問イでは・・・
【監査対象の選定や監査目的の設定を行う場合の手順及び留意点】
を問われています。
ですので・・・
- 監査対象の選定手順
- 監査目的の設定手順
- それらの留意点
を順番に書いていく事となります。
後は、いくつか覚えた論文を、頭の中でこねくり回して、設問に合うように脳内変換するしかありません。
まとめ
情報処理技術者試験の午後2の論文対策にはお作法がある
基本的には問われている設問に対してオウム返しで回答を記述する
論文そもそもの内容よりもお作法に従う事が大切
お作法が間違っていなければ内容が薄くても合格できる場合がある
コメント