システムオーディタ川辺の資格取得とキャリアアップ

第1回「何事も調べてみなければわからない時代の到来」!!

　4月15日の「システム監査技術者試験」まであと1カ月になりました。

　情報セキュリティスぺシャリストの受験者増加傾向に対し「システム監査技術者試験」受験者は、減少気味のようです。

　先日、大手書店でシステム監査関連書籍を見ましたが、試験の参考書を除けばほとんど出版されていない状況でした。

　システム監査は人気がないように表面上は思われますが、果たしてそうでしょうか？

　考えて見ますと、株式関連、年金関係をはじめとして多くの不祥事やシステムトラブルが多く発生している状況があります。

　マンションの構造計算、食品の内容や賞味期限の虚偽表示などがありました。衣食住どの分野でも発生し話題になりました。

　「何事も調べてみなければわからない」時代が到来しているように思います。

　そして、業務の多くがシステムを使用し実施する場合がほとんどでしょう。

• 担当者はルール通りに業務を遂行しているか
• 担当者からの業務報告に管理者は、実際に確認しているか

　基幹業務の多くは情報システム、ＩＴを利用し業務遂するケースも多く、内部統制、ＩＴ統制が重要と言われて久しいです。ただ、監査法人によるＩＴ統制評価、しかも財務報告の有効性に限定するケースが多いように思います。

　一方、個人情報の漏洩、標的型メール等で情報セキュリティのモニタリングは脚光を浴びており、監査も現在は「情報セキュリティ監査」に押され放しの「システム監査」ですが、だからこそ希少価値がある、とも思っています。

　システム監査は有効性の観点、システムライフサイクルの観点からアプローチです。つまり、情報システムの戦略段階、企画段階から評価できるのです。

　ただ、社会的な認識されていない状況といえます。私が経営陣とお話した際もシステム監査は開発された運用段階で初めて実施されると思っておられる方が多いです。企画段階はコンサルだという見解です。

　コンサルティングは、どちらかというと開発する前提で企画に係りますが、システム監査は公平な第三者的立場からの調査になります。

　システム開発企画書、システム開発計画書を調べてみるということになります。これも調べてみなければわからない時代といえると思いますが、いかがでしょうか。

システム屋のシステム監査人　川辺良和　

　情報処理技術者試験の申し込みが、あと1週間を切ったようです。システム監査技術者試験を受験しようかどうか、迷っておられる方もおられることでしょう。

　システム監査技術者試験は、1985年に開始されました。今でこそ、システム監査は名称や業務としても一部定着していますが、当時はシステム監査従事者は本当に少なかったと思います。そのことは、現在もシステム監査技術者試験合格者からシステム監査を実際に実施・経験したいとシステム監査を疑似体験できるケーススタディセミナーの照会があることからも分かります。

　公認会計士の受験も多かったですが、試験は情報処理技術者試験に位置付けられていたため、当時から情報システム部門の受験者が多かったといえます。筆者も情報システム部門担当者として、1986～87年にシステム監査技術者試験を受験しました。

■開始当初から、設問ア～ウを記載させる方式の試験論文

　試験の形式は当時から3問。1問につき設問ア、イ、ウの3つが問われる形式は現在と同じです。システム監査担当者が増えていると言っても、情報システム部門担当者の受験者が多い構造はあまり変わっていないようにも思います。

　設問アが、ほとんど「あなたが携わった情報システムの概要」と「出題テーマの状況」であることは前回お話ししました。これらは、準備した下書きを十分に活用できる設問とも言えます。

　設問イは、設問アで述べた情報システムに関して「出題テーマ関連のリスクとその対策」を問う問題が多いです。このテーマ自体は、システム監査人の立場でなく、情報システムの開発・運用者として記載できる内容とも言えます。

　一方、設問ウは出題テーマに関してシステム監査を実施する場合の「監査のチェックポイントや監査手続き」を記載させるもので、（システム監査の試験ですので当然ですが）システム監査人としての記述が求められます。

■新制度試験で設問イ・ウそれぞれの記載ボリュームを規定

　新制度の試験では、設問イ・ウともに700～1400字以内で述べますが、平成20年までは「設問イ・ウの合計で1600～3200字」でした。

　新制度で、記載総字数は1400字～2800字となり、従来の1600～3200字と比べ、最低字数で200字、最大字数で400字減りました。楽になったと思われますが、ちよっと待ってください。

　問題は「なぜ設問イとウに分け、いずれもが700～1400字になったか」です。

　単純に「字数が減った」と喜べない理由があると思うのです。従来、システム監査経験がない情報システム部門担当者は、情報システム担当としての立場から、設問イを多く記述（例えば1600字）し、システム監査人としての記述が必要な設問ウを少なく（例えば800字）記述する傾向がありました。

　実際、筆者が主催するシステム監査技術者試験論文対策でも、システム監査未経験者の受験者は下書き論文で設問イを多く、設問ウを少なく記述する傾向が高いのです。

　もう1つは、設問ア・イ・ウと同様の試験形式のシステムアナリスト（現在はITストラテジスト）試験、アプリケーションエンジニア（現在はシステムアーキテクト）試験、プロジェクトマネージャ試験の場合、設問イは「テーマに関する私の工夫」という具体的に、設問ウは「私の工夫の評価」で簡潔に記載させる問題であったからと思われます。

　つまり、記載のメインは設問イで、設問ウは設問イの結果の評価で付属的に記載する方式だったのです。そして、システム監査技術者試験は、これらの試験の合格者が受験するケースが多かったと考えられます。

　そして、本来は設問ウがメインのシステム監査技術者試験でも、設問イを多く、設問ウを少なく記述することになったと考えられます。

　以上のような状況を踏まえ、新制度試験では設問ウも設問イと同じボリュームを要求するようになったのではないでしょうか。一方、設問イもウと同じボリュームとしたことは、システム監査未経験者に配慮したものとも言えるでしょう。

■変化があった平成22年の出題

　平成22年は、設問イとして3問中2問、監査手続きや監査項目の問題が出題されました。設問イは最近、1問が監査の問題でしたが、2問が監査の問題になったことは、大きな変化と言えるでしょう。その結果、設問ウが監査手続きではなく、改善・是正の問題として出題されました。背景には、監査従事者の増加もあると思います。

　システム監査の試験ですので、それは当然とも言えるのですが、システム監査の経験のない受験者にとって、設問イ・ウから監査の問題にチャレンジすることは大変です。特に、システム開発・運用者の立ち位置とシステム監査人の立ち位置はまったく異なるからです。論文対策で論文を添削していて「立ち位置が違う」と感じることは非常に多いのです。

　次回は、システム監査人の立ち位置について考えてみたいと思います。

　(新）目指せ　システム監査人（7）終わり

　いよいよ、春の情報処理技術者試験の申し込みが始まりました。

　筆者が主催するシステム監査技術者対策にも、富山や和歌山から出席される受験者がおられ、その熱心さに心が打たれました。

　今回は、試験当日の論文の記載現場でのコメントです。

　平成22年度論文試験の問題文には、注意事項として以下の内容が記されています。

6．答案用紙の記入にあたっては、次の指示に従ってください。

（1）BまたはHBの黒鉛筆又はシャープペンシルを使用してください。

（2）受験番号欄に受験番号を記入してください。正しく記入されていない場合は採点されません。

（3）生年月日欄に、受験票に印字されているとおりの生年月日を記入してください。正しく記入されていない場合は、採点されないことがあります。

（4）略

7．解答にあたっては、次の指示に従ってください。指示に従わない場合は、評価を下げることがあります。

（1）問題文の趣旨に沿って解答してください。

以下略

　まず、6（1）「BまたはHBの黒鉛筆～」で鉛筆の濃さを示す「B」は、昨年から記載されたた点です。この点について、受験指導をしていて思い当たる事項に、論文はコピーを採点するため「薄い字が多い」ということがあります。

　どういうことかというと、採点する際は原本を直接採点することは考えにくく、コピーし採点すると思われます。そして、コピーに際しては「この論文は字が薄いので複写機の濃度を『濃い』にして～」などの配慮がなされているとは考えられず、機械的、事務的にコピーすると想定されます。

　したがって、濃い字を記載する必要がありますが、ほとんどの受験者がパソコン／ワープロを使用して文章を書くことに慣れているため、手書きで「濃い字で書く」のは容易ではありません。

　シャープペンシル利用者が多いことも、薄い字になる要因の1つです。

　このこと自体は論文の本質的ではないのですが、コピーされた字を採点する場合、「濃い字で記載する」ことは重要ポイントと思われます。

　次に受験者の本人確認は、答案用紙には「氏名」の記載欄がないため、受験票記載の「受験番号」と「生年月日」で確認すると想定される点です。

　出願時に記載した「生年月日」が受験票に記載されますが、必ずしも100％、出願者が記載した、あるいは記載したと思った生年月日が記載されているとは限らない点です。実際には、

• 出願者が記載した字と受験票データ入力者が読みとった字が一致しない
• 出願者の記載ミス、受験票データ入力者の入力ミス

などが考えられるからです。

　従って、解答用紙は受験票記載の「生年月日」の記載を求めています。これは、何かの原因で実際の「生年月日」と異なる場合、本人確認のために「受験票記載生年月日」を記載しなければならないことを示しています。

　実際の生年月日と受験票記載生年月日が異なる時、一定期間内であれば変更も可能ですが、該当期間を過ぎると変更も難しくなり、受験票記載の生年月日を記載しなければなりません。

　最後のコメントですが、7（1）「問題文の趣旨に沿って～」の記載は、問題文の趣旨に沿っていない論文が多いことを示していると思われます。どういうことかというと、最近では論文作成が難しいことが浸透し、下書き論文を作成して試験に臨む受験者が増加していることを示していると思います。

　下書き論文のテーマと、実際に出題されたテーマは異なることが通常です。もちろん、出題テーマで論文を作成する必要がありますが、2時間で最低2200字以上を記載することは容易ではありません。

　一方、下書き論文は事前に推敲し記載できますので、合格ラインでよく記載されている状況と言えますので、出題テーマではなく、準備したテーマで論文を記載する受験者も少なからず存在すると想定できます。

　しかし、採点者の立場を考えると「内容としてよく記載されているが、どこか違う……」という論文になっているのでしょう。短い時間に多くの論文を読まざるを得ない採点者にとっては迷惑な話です。

　採点者にとって、問題文の趣旨に沿った記載は重要なポイントといえます。具体的には以下のように、問題文に沿った内容の以下のような「見出し」を付け記載することをお勧めします。

　設問アの場合、

1. 私が関わった××システム開発の状況
2. テーマについての××システムの状況

　設問イ、ウについては次回お話ししましょう。

　（新）目指せ、システム監査人！！（6）終わり

　2011年4月17日に情報処理技術者試験が実施されますが、その中の1つとして「システム監査技術者試験」があります。システム監査としては年に一度の試験です。

　これまでシステム監査技術者試験研修の講師を担当、60名以上の合格者とかかわりがあります。今回は、その中の合格者の1人、IT関連企業のM常務のお話です。

　システム監査導入が必要となった時、システム開発・運用のベテランM常務は社長から「秋の情報処理試験、システム監査を受けたらどうか」と言われました（当時、システム監査技術者試験は秋に実施されていました）。

　M常務は内心、次のように思ったそうです。

　「皆に黙ってこっそり受けよう！」

　なぜなら、システム監査技術者試験は難関で、簡単に合格するはずがないと思ったからです。

　しかし、システム監査導入業務を担当するうちに思い直しました。

　「こっそり受けたのでは、絶対に受からない！」

　そして、ついに皆に宣言したのです。

　「俺は秋のシステム監査技術者試験を受ける、だから休日のゴルフは誘わないように！」

　そして、M常務の試験に向けた学習が始まりました。

　「いまさら2進法や論理演算の学習はきついなあ！」と言いながらも、通勤時間を学習時間に充てました。

　参考書を購入し、朝1ページ、帰り1ページの1日2ページ、試験までの90日間で200ページに近い午前問題の参考書を読みました。

　また、論文については3200字ほどの下書き論文を作成しました。しかし、下書き論文を記載しただけでは、次の点が不足しています。

　（1）下書き論文を記憶しなければ、試験場で記載できない。

　（2）下書きはあくまでも下書き、本番試験のテーマは異なる。

　（1）については、M常務はテープに下書き論文を吹き込みました。自宅から最寄駅までの徒歩時間は、テープを聞きながら通ったと言います。社員旅行にまでテープを持参し、温泉後にも聞いていたそうです。

　（2）については、3つのテーマを想定し、ベースとなる論文にどのように手を加えると効果的かを考えたそうです。これは、試験で必要となる時間を、事前に体験する取り組みです。

　極めつけは、試験前1週間です。M常務は胃腸が弱いので、食生活にも体調を維持するため、「生ものを避ける」などの気配りを行ったそうです。

　また、当時は電卓（プログラム機能のないもの）の持ち込みが可能だったので、予備の電池や消しゴムなどを持っていくなど、万全の準備で臨みました。

　M常務の試験の結果は？ ……見事1回のチャレンジで合格されました。60歳を超えていたので、その年の日本最高齢合格者ということでした。

　私は、M常務の会社のシステム監査導入支援をしていましたが、常務のお話を聞き、「合格へのただならぬ覚悟」を感じました。長いシステム監査試験指導経験でも、ここまでの「覚悟」を持って受験した人を知りません。皆さん、いかがでしょうか。

　最後に来春向け、システム監査技術者試験参考書として、『システム監査技術者「専門知識+午後問題」の重点対策〈2011〉』が出版されました。「出版記念セミナー」と合わせてご紹介いたします。受験予定の方、合格を目指して頑張りましょう。応援します。

　（新）目指せ、システム監査人！！（5）終わり。

　今まで、システム監査人のよい面ばかりを話してきました。

　システム監査人は、監査の名目でちょっと現場に来て指摘だけを残し、自分はうまい汁を吸っている……と思われているかもしれません。

　そこで今回は、失敗談をお話ししたいと思います。

　私自身は、システム監査を終えると身を削った感じがします。また、「仕事を終えた達成感と」ともに「ヘトヘト感」もありまます。

　A社の監査を終えて帰社する途中、監査報告会に参加していなかったA社の社長から電話がありました。

　「あなたの監査報告書には事実誤認がある。最新の資料でないため、正確な状況が反映されていない面がある」

といった内容でした。

　私は頭が真っ白になると同時にカナヅチで殴られた感じでしたが、次のように返事をしました。

　「まず、状況を把握させてください。できるだけ早くに伺います。ご都合はいかがでしょうか。事実誤認があるのであれば、やり直させていただければと思います」

　結果としては、A社の資料開示が十分でなかったこともあり、全面的なやり直しにはなりませんでしたが、監査報告書を改訂して2回目の監査報告会を実施することとなりました。

　また、情報システムを中心とする個人情報保護の監査を実施して監査報告会を終えたとき、該当組織の常務からお手紙を頂戴したことがありました。その手紙には、

　「監査報告書に記載された指摘事項は、次のように修正してほしい。本報告書を審査員が見ると、プライバシーマークやセキュリティ認証が到底得られない状況となる」

として、赤ペンで添削された報告書が同封されておりました。

　この指摘事項は、依頼者に請求書を送付する時点で正直どうしたものかと思いましたが、指摘事項の内容を変えることは監査人の職業倫理からできません。ですが、同じ内容について、表現を変えて報告することは可能なので、表現を柔らかくする一方、

　「この監査報告でプライバシーマークを取得できないことはありません。もし、現在、指摘事項のような現状であっても、是正措置を講じて改善していくので大丈夫です。万が一、認証が得られない状況になったら私が審査員に話をします」

と回答しました。

　結果は無事に審査員に納得してもらえ、プライバシーマークも取得できました。失敗談、ほんの一部ですが、よい話ばかりではない状況を理解いただけましたでしょうか。

　こうした失敗談をシステム監査研修で聞きたいという方も多いです。

　（新）目指せ、システム監査人！！（4）終わり。