« 地方の自立は若者の自立を生む! | Main | 若者と高齢者をつなぐ方法を考える! -1- »

2009年3月31日

システム監査技術者試験 -午後対策-

 午後Ⅱについてはこちらが参考になる。

午後2論述式試験の基本は、問題文から解答構成を作成し、具体事例で肉付けすることです。解答の構成が問題の意図に合っていなければ、不正解となってしまいます。

部分引用と思ったのですが、あまりによくまとめられていたので全文を引用させていただきました。

・リスクコントロール方法
 企業内にリスク管理基準があることとする。リスク管理基準は、リスク識別リスク評価対策実施監視計画監視コントロールという一連の基準が設定されており、リスク管理の準拠性について監査するということにする。リスク管理基準は実務上なかったとしても、あることにしたほうが書きやすいことが多い。

・リスクの範囲
 システムが社内のみでなく社外とも連携していることにする。それによりリスクをより広範囲で考慮しているかを監査ポイントとすることができる。

・企画の監査におけるポイント
 経営戦略との整合性に関するポイントは、テーマがアウトソーシングやパッケージ導入などと異なっても、必ず入れる。
 適切な利用者・開発者・技術者といった関係者で企画がレビューされているかを確認する。実現可能性の観点でも担保されているかを確認する。
 責任者が承認してるかを確認する。
 企画の策定方針があるものとし、準拠性を確認する。
 要員のスキルが考慮されているかを確認する。

・監査人の能力を補って監査の品質を上げる方法
 専門家部隊を用意すること。ネットワーク技術者やセキュリティ専門家を監査の支援部隊に組み入れる。監査調書を監査責任者とレビューする。
 利用部門および関連部門すべてと、場合によっては社外システム連携先ともインタビューを行う。利用部門責任者ともインタビューを行う。
 外部監査等の他の監査結果を参考にし、監査計画・監査手続書を策定する。

監査人の育成計画
 年度計画に入れる。

次回監査に活用する。
 監査手続書は次回も活かす。工数も記録する。

・システムライフサイクルと監査タイミング
 企画段階、設計段階、システムテスト段階、運用テスト段階で監査を実施する。観点は目的との整合性が最も優先順位が高い。

・システム化、アウトソーシング化により発生するリスク
 業務システム連携によるコントロール低下承認機能の低下等が発生する。監査のポイントとしては、職務権限リスク管理基準設計方針といったルールが存在することとし、準拠性の観点で監査することが書きやすい。

リスク管理基準、コントロール、経営戦略との整合性、承認機能、職務権限、準拠性、このあたりは「記憶すべき」単語。

 なお、システム監査においては、リスクとリスクへの対応が重要です。よって、準備するシステム事例は、他社と連携してるユーザが代理店一斉移行するといったリスクが見えるものを用意するのはいいです。

さらにこちらも引用

監査そのものに関しては、システム監査の手順の基本はまず覚えてしまう必要があります。中長期計画、年度計画、基本計画、個別計画、予備調査、本調査、監査手続書、監査調書、監査報告書、改善勧告といった一連の手順を誤りなく知っている必要があります。

 

■■■

 

さらに午後Ⅰに関しての記述

 システム監査は、リスクの認識とそれに対するコントロールがなされているか、という観点が主眼となります。よって、情報システム運営におけるリスクとなるものリスクになりそうだがリスクとして認識されていないものリスクは認識されているがコントロールされていないものが、システム監査人としての指摘事項になります。

 指摘事項そのものは、問題文に必ず仕掛けてあります。訓練により過去問を20問以上やれば、指摘事項が分かるようになります。設問を読まなくても、問題文に怪しいと思われる点、設問になりそうな点が明確にわかります。気をつけなければいけないのは、たまに明らかに問題と思われる点があっても、設問に問われないことがあることです。この点の取捨選択はやはり訓練により分かってくるでしょう。

20問...ということは過去問5年分なので、ちょっと足りないかもしれない。

続いて、午後Ⅰの頻出ポイント

 1.システム企画・アプリケーション・データ
ファイルアクセスに関して権限が設定されていること。
更新ログにて定期的にチェックされていること。
設計書レビューテストレビュー責任者によって行われてること。
・システム企画が経営戦略と整合性がとられていること。
データ連携することにより発生するコントロール低下への対応がなされているか。
・運用コスト削減の対価として、信頼性・安全性・サービスレベルの低下を検討してるか。

2.セキュリティ
・利用者と管理者の職務分離が行われていること。
人事異動・退職時アクセス権限が更新されていること。
共用ID・パスワードは不正利用時に原因を特定できないリスクがある。

3.監査基準・報告書・手続き・行動規範
・監査報告書では、システム監査人自身が事実に基づいて報告すること。
・システム監査基準がない場合は、慣用的に行われるコントロールやシステム監査人がリスクが高いと思われるものを監査項目とする。
・統制リスクの大小に応じて、発見リスクを小さくできる監査手続きを行うこと。
内部の脅威を含めて監査対象を決定すること。

このサイトの管理人さんはまとめるのが上手です。参考になりすぎてたくさん引用してしまいました。(怒られそうだけど。)すみませんが情報を活用させていただきます!

ありがとうございます。

 

■■■

 

こちらのサイト「システム監査技術者に楽々合格」も良くまとまっています。

まとめ:論文攻略の3つのポイント より

心配する必要はない。「問題点は一つ。解決策も1つ」でも絶対に受かる。現にたくさんの人が合格証を手に入れている。

これは、すごい発見!

Q:文字数はどれだけかけばいいですか?

A:結論からいうと、2400文字+1行(原稿用紙たったの6枚)です。

上記2つのポイントはすごく力強い後押し。特に文字数は3200文字(8枚)との思い込みがあったので、6枚なら何とかなるかも?と思えたのはすごいことです。

これもすごいなぁ。なんでしょう、このサイト??プロの方ですね。

Q:文字数の配分を教えてください

A:2400だと、答案用紙3枚+1枚(1行分)になります。(図も参考)

文字数配分.jpg

 回答はほとんどが問題文の抜き出しでいいんですか?

問題文を忠実に活用しましょう ②

実際には、これでは文字数が足らないので、アコちゃんの経験を踏まえて付け加えてください。また、施策や指導内容は、3つも書く必要がないので、1つか2つに絞った上で深掘りするほうがよいでしょう。

大切なことは、「問題文を抜き出す」ことではなく、「問題文(問われていること)に即して書く」ということです。その結果、問題文を活用することが多くなったということです。

 そして、以下監査論文の特徴だそうです。

監査論文ならではの特徴をいくつか書きます。

1.ウが重要
監査以外の論文では、イまでが重要です。私の意見として、ウは定型文を書いても合格できると言ってきました。
しかし、監査は違います。監査はウにおいて具体的な監査手続きを書きます。ここが最も重要になります。

2.字数のバランス
ア 800字
イ 900字
ウ 700字
これくらいでいいと思います。

3.文章の書き方
監査はある程度の網羅性を意識して描く必要があります。(意識する程度で十分です)
今回のケースでは、○○基準(またはガイドライン)に従い、次の点を確認した。
・~しているか
・~しているか
・~しているか
・~しているか

  

■■■

 

さいごにこちら。よく読んでおいたほうがいい。⇒自分

情報処理技術者試験区分の詳細として、JITECから以下の発表がある。
とても重要なので、必ず読みましょう。

http://www.jitec.jp/1_13download/guidebook_pdf/guide_200702_17_au.pdf
 

タグ:

Category : 情報処理 | Comments [0] | Trackbacks [0]

トラックバックURL

このエントリーのトラックバックURL:
http://gotenba.info/blog/mt-tb.cgi/91

コメントする