午前I試験は、高度情報処理技術者試験に共通に実施される試験です。23分野から30問が出題され、ア~エの4つの選択肢の中から「適切なもの」、「誤っている」などを選択して解答する試験です。
何せ、23分野、1.基礎理論、2.アルゴリズムとプログラミング、3.コンピュータ構成要素、4.システム構成要素~22.企業活動、23.法務、数が多いうえ、範囲が非常に広い。なのに、全体で30問なので分野を学習してもそこからの出題は1~2問のみ。合格ラインは60%以上が合格ですが、学習意欲がそがれるのも無理はなく、諦めている方も多いようです。以前は公認会計士がシステム監査技術者試験を目指すケースも少なくなかったのですが、「午前Iが23分野になってからは合格する気がしない」の声を複数の公認会計士から聞いています。
現実的には、論文のある情報処理技術者試験を目指す方はマネージャやベテランの方が多いと思います。私が関わった企業ではほぼ全員が40歳以上といった具合でした。そして、皆さん口ぐちに、「いまさら2進法!、勉強する気になれない。する気もない」とおしゃるのです。
また、IT企業の教育研修担当者は、インストラクターを兼務している場合も多く、ご自身が論文のある情報処理技術者試験合格者であるケースも多く、
「IT企業なんだから、午前は自力で合格してもらわないないと困る」と、私への研修依頼も「論文対策や午後対策」のみのケースが圧倒的です。
そして、午後対策、論文対策を実施させていただきますが、結果は多くの方が午前Iでつまずき、不合格のケースも少なくありません。最初の「午前I合格、それが難しいのに!」、そのとおりです。論文のある情報処理技術者試験に合格するために、「午前I」は避けてとおれない第一関門です。
2.通ればよい午前I対策、なるべく学ばない午前I対策
もちろん、午前Iを真面目に学習したいと思う受験者もいると思いますが、ベテランSEやマネージャは「午前Iは通りさえすればいい」、「午前Iではなく午後Iや論文に力を入れたい」が本音と思います。
実は、午前I共通で出題される30問は、応用情報処理技術者試験の午前80問から30問が出題されています。その結果、午前I共通の参考書の多くは「応用情報・高度午前I共通」として出版されています。応用情報処理試験の受験者と高度受験者双方を取り込むためです。
応用情報処理技術者試験の受験者は、基本情報処理技術者試験合格者が大半です。IT企業の場合、基本情報合格が採用条件のケースもあり、新入社員の場合も少なくありません。学生時代から社会人になり、今後を踏まえてコンピュータサイエンスを体系的に学習したいと考える方も多いのではないでしょうか。
事実、応用情報処理技術者試験の参考書は23各分野の記載項目を全般にわたって丁寧に解説したものが多く、ぶあつい参考書が多い状況です。出版社編集者からも「読者は厚い書籍を好みます。1円当たり何頁の参考書か計算する読者もいます」という話を聞いたことがあります。
ぶ厚い参考書、マネージャやベテランSEに必要でしょうか。
私の意見は、不謹慎とお叱りを受けるのを覚悟で、「午前Iは通ればよい、なるべく学習しないと割り切りましょう」、そして「そのエネルギーを午後I記述式、午後II論文対策に振り向けましょう」です。
極論ですが、午前I試験30問はア~エからの選択ですので以下の方式はいかがでしょうか。
といった方式は、ア~エの解答が平均的に出現するなら、30問の25%で7~8問は正解。
30問から7~8問を引いた残り22~23問のうち、10~11問の正解を勝ち取れば、つまり正答率50%で午前I共通クリアです。
重要なことは、「学習する気が起こらない、する気になれない」から「これなら合格できそうだ!」と発想と転換することだと思うのですが、いかがでしょうか。
コラムに合わせて合格を目指し「学ばない午前I対策」を企画しました。
http://www.intergideon.com/newken/gozen1common.html
論文試験合格を目指せ(3)終わり
川辺良和
]]>
一方、「システムアーキテクト試験」は「旧アプリケーションエンジニア試験」に該当します。そして、現行制度になった平成21年度から組み込みシステムが対象範囲に組み入れられ、論文試験にも反映されるようになりました。実際、3問目が組込みシステムの論文問題として出題されています。
また、内部設計担当者を対象とした「プロダクションエンジニア試験」が廃止された際、「アプリケーションエンジニア試験」と「応用情報技術者試験」に統合されたという歴史を持っています。こうした理由から3問から2問への出題数削減は難しい面があると推測できます。
2.設問アの下書き記述開始にあたって入手すると効果的な資料
まず、設問ア800字の下書きを考えてみましょう。最近は変則的なケースも散見されますが、一般的な論文試験の設問アは「あなたが●●に携わった情報システムの概要」がテーマです。●●はシステムのライフサイクルによって、「情報戦略/企画→開発→運用→保守」といったように変化します。
システムのライフサイクルに対応する資料を挙げてみると、
といった具合になります。
いずれにしても、情報システムのプロフィールが中心ですので次のような関係資料を入手するといいと思います。
これらの資料には、情報システムのプロフィールに該当する内容が記載してあるからです。
3.入手資料から「あなたが携わった情報システムの概要」をピックアップ
本番試験では論文だけでなく、「あなたが携わった情報システムの概要」を別途記載する必要があります。「あなたが携わった情報システムの概要」は情報システムの名称とアンケート方式で「あなたの役割」「開発規模」などのプロフィールについて該当数字を入れたり、項目を○で囲むことによって記述します。
アンケート方式で記載するこれらの項目は、上記に挙げたシステム開発計画書、システム要件定義書、運用手順書等の入手資料からピックアップするとよいと思います。
この中で最も重要なのは「情報システムの名称」です。そして、「情報システムの概要」は、例えば「メーカーA社販売管理システムの概要」と、具体的に記載することがポイントです。
では、下書き作成に当たっては、どのような情報システムを選択したらよいでしょうか。
実際、これは重要です。次回は、「あなたが携わった情報システムはどのようにして選択するのがよいか」について考えてみたいと思います。
ブログの連載に合わせて合格を目指した対策講座企画しました。
http://www.intergideon.com/newken/itstrategist.html
論文試験合格を目指せ(1)終わり
川辺良和
]]>
http://www.jitec.jp/1_00topic/topic_20130426_toisuu.html
論文のある情報処理技術者試験では、ITサービスマネージャ、プロジェクトマネージャ、システム監査技術者の3試験について、出題数が3問から2問になり、その中から1問を選択する試験となります。
論文試験対策としては、下書き論文を作成し本試験に臨むことが重要です。市販の参考書にもそのような記述があり、私も指導する受験者に「下書き論文の作成は不可欠」とお話ししています。
論文試験は設問ア 800字、設問イ 800~1600字(システム監査は700~1400字)、設問ウ 600~1200字(システム監査は700~1400字)の3設問2200~3600字を2時間で記述するもので、合格には2800字程度が必要と言われています。これは、1文字を2.6秒以内で記述しなければならない状況でぶっつけ本番では難しいともいえるからです。
しかし、下書き論文を作成したとしても、問題が2つあります。
という2点です。1は試験ですから当然、下書きは見ることができません。事前に暗記するなりして頭に入れておく必要があるということ。
2について、下書き論文のテーマは、受験者が各自予想するか、市販の参考書や受験会社の模擬試験での予想テーマから想定し記載するのが通常ですが、本番試験のテーマとは異なるのが一般的でしょう。
試験場での受験者の行動としては、まずは、準備した下書き論文テーマにフィットするものがないか期待して出題テーマ3問についての文章を読むことになります。今回、2問になる出題数の変更は、その選択肢が2つになり狭まることを意味しています。
特種情報処理試験の時代から論文指導している私としても、すでに複数の企業から指導依頼がありますが、どのような指導が一番合格に結びつきやすいか、考えさせられるところです。本番対応力の養成が非常に重要になっていると感じております。
特にこの秋に実施される「ITサービスマネージャ試験」受験者は、合格を目指した対策として大きなポイントになると考えています。また、プロジェクトマネージャ、システム監査も春試験対策として直面する問題と思います。
出題が3問の場合でも、異なるテーマに対し2時間で設問ア~ウの2600字を記載することは至難の技なので、下書き論文をそのまま記載する受験者が多い現実があります。そのことは、試験問題の解答にあたっての注意事項の1番目に「(1)問題文の趣旨に沿って解答して下さい」という文章があることからも伺えます。
本試験では、下書き論文を本番出題テーマに沿って修正し記述する「題意へのアレンジ」が必要といえます。この秋のITサービスマネージャ試験、来春のプロジェクトマネージャやシステム監査技術者試験で出題数が2つになるということは「この題意へのアレンジ」がこれまで以上に重要になるということです。
これまでの指導経験から、実際には、受験者が下書き論文作成に大半の労力を使う方が多いことを考えますと、早めの下書き論文作成着手が必要ともいえると思います。次回は、その「下書き論文を早めに作成するには」について、お話ししたいと思います。
論文試験合格を目指せ(1)終わり
川辺良和
]]>
システム監査技術者試験は、1985年に開始されました。今でこそ、システム監査は名称や業務としても一部定着していますが、当時はシステム監査従事者は本当に少なかったと思います。そのことは、現在もシステム監査技術者試験合格者からシステム監査を実際に実施・経験したいとシステム監査を疑似体験できるケーススタディセミナーの照会があることからも分かります。
公認会計士の受験も多かったですが、試験は情報処理技術者試験に位置付けられていたため、当時から情報システム部門の受験者が多かったといえます。筆者も情報システム部門担当者として、1986~87年にシステム監査技術者試験を受験しました。
■開始当初から、設問ア~ウを記載させる方式の試験論文
試験の形式は当時から3問。1問につき設問ア、イ、ウの3つが問われる形式は現在と同じです。システム監査担当者が増えていると言っても、情報システム部門担当者の受験者が多い構造はあまり変わっていないようにも思います。
設問アが、ほとんど「あなたが携わった情報システムの概要」と「出題テーマの状況」であることは前回お話ししました。これらは、準備した下書きを十分に活用できる設問とも言えます。
設問イは、設問アで述べた情報システムに関して「出題テーマ関連のリスクとその対策」を問う問題が多いです。このテーマ自体は、システム監査人の立場でなく、情報システムの開発・運用者として記載できる内容とも言えます。
一方、設問ウは出題テーマに関してシステム監査を実施する場合の「監査のチェックポイントや監査手続き」を記載させるもので、(システム監査の試験ですので当然ですが)システム監査人としての記述が求められます。
■新制度試験で設問イ・ウそれぞれの記載ボリュームを規定
新制度の試験では、設問イ・ウともに700~1400字以内で述べますが、平成20年までは「設問イ・ウの合計で1600~3200字」でした。
新制度で、記載総字数は1400字~2800字となり、従来の1600~3200字と比べ、最低字数で200字、最大字数で400字減りました。楽になったと思われますが、ちよっと待ってください。
問題は「なぜ設問イとウに分け、いずれもが700~1400字になったか」です。
単純に「字数が減った」と喜べない理由があると思うのです。従来、システム監査経験がない情報システム部門担当者は、情報システム担当としての立場から、設問イを多く記述(例えば1600字)し、システム監査人としての記述が必要な設問ウを少なく(例えば800字)記述する傾向がありました。
実際、筆者が主催するシステム監査技術者試験論文対策でも、システム監査未経験者の受験者は下書き論文で設問イを多く、設問ウを少なく記述する傾向が高いのです。
もう1つは、設問ア・イ・ウと同様の試験形式のシステムアナリスト(現在はITストラテジスト)試験、アプリケーションエンジニア(現在はシステムアーキテクト)試験、プロジェクトマネージャ試験の場合、設問イは「テーマに関する私の工夫」という具体的に、設問ウは「私の工夫の評価」で簡潔に記載させる問題であったからと思われます。
つまり、記載のメインは設問イで、設問ウは設問イの結果の評価で付属的に記載する方式だったのです。そして、システム監査技術者試験は、これらの試験の合格者が受験するケースが多かったと考えられます。
そして、本来は設問ウがメインのシステム監査技術者試験でも、設問イを多く、設問ウを少なく記述することになったと考えられます。
以上のような状況を踏まえ、新制度試験では設問ウも設問イと同じボリュームを要求するようになったのではないでしょうか。一方、設問イもウと同じボリュームとしたことは、システム監査未経験者に配慮したものとも言えるでしょう。
■変化があった平成22年の出題
平成22年は、設問イとして3問中2問、監査手続きや監査項目の問題が出題されました。設問イは最近、1問が監査の問題でしたが、2問が監査の問題になったことは、大きな変化と言えるでしょう。その結果、設問ウが監査手続きではなく、改善・是正の問題として出題されました。背景には、監査従事者の増加もあると思います。
システム監査の試験ですので、それは当然とも言えるのですが、システム監査の経験のない受験者にとって、設問イ・ウから監査の問題にチャレンジすることは大変です。特に、システム開発・運用者の立ち位置とシステム監査人の立ち位置はまったく異なるからです。論文対策で論文を添削していて「立ち位置が違う」と感じることは非常に多いのです。
次回は、システム監査人の立ち位置について考えてみたいと思います。
(新)目指せ システム監査人(7)終わり
]]>筆者が主催するシステム監査技術者対策にも、富山や和歌山から出席される受験者がおられ、その熱心さに心が打たれました。
今回は、試験当日の論文の記載現場でのコメントです。
平成22年度論文試験の問題文には、注意事項として以下の内容が記されています。
(1)BまたはHBの黒鉛筆又はシャープペンシルを使用してください。
(2)受験番号欄に受験番号を記入してください。正しく記入されていない場合は採点されません。
(3)生年月日欄に、受験票に印字されているとおりの生年月日を記入してください。正しく記入されていない場合は、採点されないことがあります。
(4)略
7.解答にあたっては、次の指示に従ってください。指示に従わない場合は、評価を下げることがあります。
(1)問題文の趣旨に沿って解答してください。
以下略
まず、6(1)「BまたはHBの黒鉛筆~」で鉛筆の濃さを示す「B」は、昨年から記載されたた点です。この点について、受験指導をしていて思い当たる事項に、論文はコピーを採点するため「薄い字が多い」ということがあります。
どういうことかというと、採点する際は原本を直接採点することは考えにくく、コピーし採点すると思われます。そして、コピーに際しては「この論文は字が薄いので複写機の濃度を『濃い』にして~」などの配慮がなされているとは考えられず、機械的、事務的にコピーすると想定されます。
したがって、濃い字を記載する必要がありますが、ほとんどの受験者がパソコン/ワープロを使用して文章を書くことに慣れているため、手書きで「濃い字で書く」のは容易ではありません。
シャープペンシル利用者が多いことも、薄い字になる要因の1つです。
このこと自体は論文の本質的ではないのですが、コピーされた字を採点する場合、「濃い字で記載する」ことは重要ポイントと思われます。
次に受験者の本人確認は、答案用紙には「氏名」の記載欄がないため、受験票記載の「受験番号」と「生年月日」で確認すると想定される点です。
出願時に記載した「生年月日」が受験票に記載されますが、必ずしも100%、出願者が記載した、あるいは記載したと思った生年月日が記載されているとは限らない点です。実際には、
などが考えられるからです。
従って、解答用紙は受験票記載の「生年月日」の記載を求めています。これは、何かの原因で実際の「生年月日」と異なる場合、本人確認のために「受験票記載生年月日」を記載しなければならないことを示しています。
実際の生年月日と受験票記載生年月日が異なる時、一定期間内であれば変更も可能ですが、該当期間を過ぎると変更も難しくなり、受験票記載の生年月日を記載しなければなりません。
最後のコメントですが、7(1)「問題文の趣旨に沿って~」の記載は、問題文の趣旨に沿っていない論文が多いことを示していると思われます。どういうことかというと、最近では論文作成が難しいことが浸透し、下書き論文を作成して試験に臨む受験者が増加していることを示していると思います。
下書き論文のテーマと、実際に出題されたテーマは異なることが通常です。もちろん、出題テーマで論文を作成する必要がありますが、2時間で最低2200字以上を記載することは容易ではありません。
一方、下書き論文は事前に推敲し記載できますので、合格ラインでよく記載されている状況と言えますので、出題テーマではなく、準備したテーマで論文を記載する受験者も少なからず存在すると想定できます。
しかし、採点者の立場を考えると「内容としてよく記載されているが、どこか違う……」という論文になっているのでしょう。短い時間に多くの論文を読まざるを得ない採点者にとっては迷惑な話です。
採点者にとって、問題文の趣旨に沿った記載は重要なポイントといえます。具体的には以下のように、問題文に沿った内容の以下のような「見出し」を付け記載することをお勧めします。
設問アの場合、
設問イ、ウについては次回お話ししましょう。
(新)目指せ、システム監査人!!(6)終わり
]]>これまでシステム監査技術者試験研修の講師を担当、60名以上の合格者とかかわりがあります。今回は、その中の合格者の1人、IT関連企業のM常務のお話です。
システム監査導入が必要となった時、システム開発・運用のベテランM常務は社長から「秋の情報処理試験、システム監査を受けたらどうか」と言われました(当時、システム監査技術者試験は秋に実施されていました)。
M常務は内心、次のように思ったそうです。
「皆に黙ってこっそり受けよう!」
なぜなら、システム監査技術者試験は難関で、簡単に合格するはずがないと思ったからです。
しかし、システム監査導入業務を担当するうちに思い直しました。
「こっそり受けたのでは、絶対に受からない!」
そして、ついに皆に宣言したのです。
「俺は秋のシステム監査技術者試験を受ける、だから休日のゴルフは誘わないように!」
そして、M常務の試験に向けた学習が始まりました。
「いまさら2進法や論理演算の学習はきついなあ!」と言いながらも、通勤時間を学習時間に充てました。
参考書を購入し、朝1ページ、帰り1ページの1日2ページ、試験までの90日間で200ページに近い午前問題の参考書を読みました。
また、論文については3200字ほどの下書き論文を作成しました。しかし、下書き論文を記載しただけでは、次の点が不足しています。
(1)下書き論文を記憶しなければ、試験場で記載できない。
(2)下書きはあくまでも下書き、本番試験のテーマは異なる。
(1)については、M常務はテープに下書き論文を吹き込みました。自宅から最寄駅までの徒歩時間は、テープを聞きながら通ったと言います。社員旅行にまでテープを持参し、温泉後にも聞いていたそうです。
(2)については、3つのテーマを想定し、ベースとなる論文にどのように手を加えると効果的かを考えたそうです。これは、試験で必要となる時間を、事前に体験する取り組みです。
極めつけは、試験前1週間です。M常務は胃腸が弱いので、食生活にも体調を維持するため、「生ものを避ける」などの気配りを行ったそうです。
また、当時は電卓(プログラム機能のないもの)の持ち込みが可能だったので、予備の電池や消しゴムなどを持っていくなど、万全の準備で臨みました。
M常務の試験の結果は? ……見事1回のチャレンジで合格されました。60歳を超えていたので、その年の日本最高齢合格者ということでした。
私は、M常務の会社のシステム監査導入支援をしていましたが、常務のお話を聞き、「合格へのただならぬ覚悟」を感じました。長いシステム監査試験指導経験でも、ここまでの「覚悟」を持って受験した人を知りません。皆さん、いかがでしょうか。
最後に来春向け、システム監査技術者試験参考書として、『システム監査技術者「専門知識+午後問題」の重点対策〈2011〉』が出版されました。「出版記念セミナー」と合わせてご紹介いたします。受験予定の方、合格を目指して頑張りましょう。応援します。
(新)目指せ、システム監査人!!(5)終わり。
]]>システム監査人は、監査の名目でちょっと現場に来て指摘だけを残し、自分はうまい汁を吸っている……と思われているかもしれません。
そこで今回は、失敗談をお話ししたいと思います。
私自身は、システム監査を終えると身を削った感じがします。また、「仕事を終えた達成感と」ともに「ヘトヘト感」もありまます。
A社の監査を終えて帰社する途中、監査報告会に参加していなかったA社の社長から電話がありました。
「あなたの監査報告書には事実誤認がある。最新の資料でないため、正確な状況が反映されていない面がある」
といった内容でした。
私は頭が真っ白になると同時にカナヅチで殴られた感じでしたが、次のように返事をしました。
「まず、状況を把握させてください。できるだけ早くに伺います。ご都合はいかがでしょうか。事実誤認があるのであれば、やり直させていただければと思います」
結果としては、A社の資料開示が十分でなかったこともあり、全面的なやり直しにはなりませんでしたが、監査報告書を改訂して2回目の監査報告会を実施することとなりました。
また、情報システムを中心とする個人情報保護の監査を実施して監査報告会を終えたとき、該当組織の常務からお手紙を頂戴したことがありました。その手紙には、
「監査報告書に記載された指摘事項は、次のように修正してほしい。本報告書を審査員が見ると、プライバシーマークやセキュリティ認証が到底得られない状況となる」
として、赤ペンで添削された報告書が同封されておりました。
この指摘事項は、依頼者に請求書を送付する時点で正直どうしたものかと思いましたが、指摘事項の内容を変えることは監査人の職業倫理からできません。ですが、同じ内容について、表現を変えて報告することは可能なので、表現を柔らかくする一方、
「この監査報告でプライバシーマークを取得できないことはありません。もし、現在、指摘事項のような現状であっても、是正措置を講じて改善していくので大丈夫です。万が一、認証が得られない状況になったら私が審査員に話をします」
と回答しました。
結果は無事に審査員に納得してもらえ、プライバシーマークも取得できました。失敗談、ほんの一部ですが、よい話ばかりではない状況を理解いただけましたでしょうか。
こうした失敗談をシステム監査研修で聞きたいという方も多いです。
(新)目指せ、システム監査人!!(4)終わり。
]]>新入社員時の朝礼で、部長がいった言葉を昨日のことのように思い出します。
部長:「今日は、監査だ。いらないことはいわないように!」
ぽかんとしていたわたしを見て、さらに部長は続けました。
部長:「もしたずねられたら、次のように答えなさい。『担当の者がお答えします!』」
わたしは、「一般社員は監査では答えたらいけないのか」と思いました。
時を経て立場が変わり、監査人として被監査部門の方にヒアリングするようになりました。質問する方のお顔を拝見していると、
「多くの部署があるにもかかわらず、どうしてわたしの部署なのか?」
「部署にも多くのメンバーがいるのに、どうしてわたしに質問をするのか?」
と思っているように感じることがあります。
監査は、法律の定めに基づいて実施される「法定監査」と、組織の意思に基づいて実施される「任意監査」に大きく分類されます。
法定監査は強制監査であり、「摘発型監査」に分類されるのに対し、強制でない任意監査は、「改善指向型・フォローアップ型」監査と呼ばれています。
ですが、一般には監査というと、「摘発型監査」の印象が強いように思います。
先の新入社員時の経験は、監査に対して摘発型監査のイメージが強いため、「余計なことをいったら大変なことになる!」の意識が反映したものでしょう。
つまり、監査があるというと、「オオカミが来るぞ」といった感じになるのです。
システム監査も監査の一種、監査を受ける多くの方は、そのように思われるのではないでしょうか。しかし、システム監査は摘発型の法定監査ではなく、「任意監査」で「改善指向・フォローアップ型」の監査です。「現場の業務を改善する」という発想に立って実施する監査であることを理解していただきたいと思います。
わたしは、システム監査のヒアリングに際し、次のようにお話しすることにしています。
「システム監査はオオカミが来るぞの監査ではありません」
「皆さんの業務を改善し、結果として皆さんの会社のお役に立ちたいのです」
「現状ありのままをお話しいただけませんか」
オオカミが来るぞ監査ではない「システム監査」、ご理解いただけましたでしょうか。
わたしは、公認システム監査人特別認定講習の講師をしておりますし、多くの方にシステム監査人に興味を持っていただけたらと思います。
(新)目指せ、システム監査人!!(3)終わり
]]>◆負けるなシステム監査人!
以前、システム監査と情報セキュリティ監査の違いについて、お話ししたかと思います。簡単におさらいしますと、システム監査は「情報システム」が監査対象、情報セキュリティ監査は「情報資産」が監査対象です。
情報資産の中に情報システムも含まれるため、「情報セキュリティ監査>システム監査」という側面があります(情報セキュリティ監査の方が範囲が広く、システム監査を含んでいるという主張)。
一方、「システム監査>情報セキュリティ監査」という主張もあります(システム監査の方が、情報セキュリティ監査より範囲が広いという主張)。システム監査は、信頼性・安全性・効率性の観点から評価するのに対し、情報セキュリティ監査はC(機密性)・I(インテグリティ)・A(可用性)の観点から評価します。システム監査でいうところの「効率性」は、情報セキュリティ監査では対象ではないのではないか、という観点からの議論です。
そうすると、情報セキュリティ監査では、可用性の尺度=稼働率で表されるが、稼働率は効率性そのものであり「情報セキュリティ監査>システム監査」となる、という主張が出てきます。
すると、システム監査は「情報システムの効率性だけでなく有効性も合わせて評価する」と反論します。以上が「情報セキュリティ監査とシステム監査、どちらが広いか論争」です。
個人情報の漏えいを背景にした「個人情報保護」の監査は、システム監査でも情報セキュリティ監査でも取り上げています。データベースなどコンピュータで取り扱う情報、アンケートはがきなどコンピュータに入力しない情報も監査対象となります。
システム監査がコンピュータをベースにした監査とすると、個人情報保護の監査はコンピュータに入力しない情報も対象なので、旗色が悪くなってしまいます。
システム監査や情報セキュリティ監査の分類や違いを議論する前に、ユーザー・顧客サイドの立場に立つと、情報セキュリティ監査とシステム監査を明確に分ける必要はなく、ユーザーやユーザーの組織に役に立って貢献することが必要なのではと思います。
このコラムのタイトルは「システム監査人」ですが、公官庁の入札を見ると、情報セキュリティ監査が圧倒的に多い状況です。一方、民間企業では、情報セキュリティの必要性は当然であるせいか、システム監査に関心のある企業も多いように思います。
もちろん、情報セキュリティ監査をシステム監査のいち分野として実施することは多いですが、入札案件では圧倒的に情報セキュリティ監査が多い状況です。ちょっと感情的になっている気がしないでもありませんが、「システム監査、システム監査人、頑張れ!!」と言いたい気分です。
というわけで今回は「目指せシステム監査人」ではなく、「頑張れシステム監査人」でした。「頑張れシステム監査人」ということで、システム監査技術者、システム監査人を目指したい方のために、システム監査技術者研修を実施することになりました。
(新)目指せ、システム監査人!!(2) 終わり
]]>秋の情報処理試験が10月17日に終わり、わたしのところにも論文試験結果についてのコメントが寄せられております。
「2011年春はシステム監査技術者試験を受験したい」など、早くも学習方法などの質問もあり、気が早いと思う一面、その向上心に頭が下がります。
システム監査技術者試験については、20年前から対策講座を実施し、60名以上の合格者を輩出しております。10名の対策講座で5名の合格者が出て「祝勝会」に招待されたこともありました。
また、最近は「将来に向けどのような資格を取得すれば……」といった質問をよく受けます。
マネジャクラスの個人ベース、企業の人事・総務関連マネージャからです。
個人の場合は、今後を踏まえて目指すべき目標や資格を求めていると思います。「定年を3年後に控えているので有望な資格を」と尋ねてこられる方も多いです。
◆まだ取得者が少ないシステム監査関連資格
わたしは、そうした場合に「システム監査関連資格」をお勧めしています。理由はまず、システム監査技術者は1万人に満たず、取得者が少ない点が挙げられます。
第2に、公官庁ではシステム監査・情報セキュリティ監査関連の入札案件が増加し、監査人資格としてシステム監査関連資格が要件になり、今後の需要が期待できるからです。
民間でも、J-SOX法の影響からIT統制が注目され、監査部(室)でシステム監査導入の動きがあります。わたしも複数企業でシステム監査導入の支援をしましたし、システム監査基準研修などで、監査室からの紹介も増える傾向にあります。
国際会計基準 IFRSへの対応などを考慮すると、情報システムと監査室の関係は重要であり、システム監査への関心は増大するに違いありません。
一方で、まだ「システム監査は関係ない」とする監査部(室)も見受けられますが、わたしはかえって「システム監査はこれから」という思いを強くしています。
事実、最近は情報セキュリティ監査ではなく、「システム監査」と指定されるケースも見られますし、監査報告会に社長が出席される、監査報告会とは別にマネジメントサマリーを作成し、社長報告するケースも多くなってきました。
会計監査、監査役監査、業務監査の三様監査にあっても、システム監査は避けて通れないと思いますし、その傾向は一層大きくなると思います。
また、監査人も力量を問われる時代ですので、資格の1つも欲しいところと思います。
情報システムが社会・経済生活の中に深く浸透して、情報システムなしには業務遂行が成り立たない場面も多く見られます。これらのシステムが停止・誤作動した場合の影響は極めて大きいことを知る必要があります。
情報システムを点検・評価するシステム監査は不可欠です。
そうした状況を踏まえ、システム監査関連資格の取得を是非、目指してほしいと思っております。
(新)目指せ、システム監査人!!(1)終わり
]]>■ITサービスマネージャ試験論文対策
クラウドコンピューティングが叫ばれるている状況、また、今後のクラウドコンピューティング化を考えると、ITサービスマネジメントは不可欠であり、加えてグローバルスタンダードITILをベースにしている点から、ITサービスマネージャ試験は非常に有望な資格といえます。
午後II(論文)試験、以下が昨年2009年の問題です。
■設問ア記載の戦略
設問アで問われる内容は、以下の2つといえます。これは、問1~3まで共通です。
(1)ITサービスの概要
(2)テーマ(変更プロセス、改善計画、分析し判明したインシデント)の状況
試験は出題の主旨に沿って解答することを求めていますので、設問アは以下の構成見出しをつけて記載すると効果的です。主旨に沿った記述をアピールできるからです。
I.××ITサービスの概要と(テーマ)の状況
I-1.××ITサービスの概要……500~600字
I-2.テーマの状況……200~300字
また、構成見出しは1行(25字)を使用しますので、合計で3行(75字)使用することになります。すると、実際の記載は800字-75字=725字で、ボリューム的にも気を楽にしてくれます。
何がテーマでも、1-1は同じテーマなので、事前準備が可能です。記載にあたっては、「建設業N社IT基盤サービスの概要」など、具体的な業界やサービス名を先頭に、600字を目標に記載することをお勧めします。テーマの状況は、変更プロセス、改善計画、分析し判明したインシデントなどについて。本番試験の場で作文する必要があるため、負担は少ないほどよいということで、最低限の字数として設定する方がよいでしょう。
★I-1.ITサービス概要を事前準備すべし。
★I-2 テーマの状況200字程度のモジュールを練習すべし。
■設問イ記載の戦略
2009年の設問イは、以下のテーマでした。
問1:変更管理プロセスにおける問題と再発防止のための改善
問2:改善計画の立案で対策案としての改善事項の選定
問3:インシデントにおける潜在する問題と実施した解決策
設問イは「テーマにおける工夫した点」を800字~1600字で述べるもの。1200字(800字用紙1ページ半)を目標に記載するとよいでしょう。工夫した点をいきなり述べると唐突な感じがしますので、構成見出しは、以下のようにするとよいでしょう。
II-1.テーマにおける問題点や問題意識
II-2.問題点への改善策
(1)~についてわたしの改善策 1(例:5分間ミーティングの実施)
(2)~についてわたしの改善策 2
テーマについての問題点や、日ごろ感じている問題意識などを、II-1で400字を目標に記載し、問題点や問題を改善するために具体的に工夫した点をII-2で記載するのです。工夫は(1)(2)それぞれ400字を目標にします。(1)(2)の順は、本番試験で選択するテーマに近い工夫を(1)とすると効果的です。
本番試験では、出題された問1~3を選択して記載することが必要なため、「わたしの工夫(改善策)」は、多くのテーマに対応できる工夫が好ましいです。本番では準備した「わたしの工夫」を出題テーマにフィットするようにアレンジすることが必要になるからです。
多くのテーマにフィットさせる方法は、キーワードをベースにアレンジする方法が有効です。例えば、ユーザという用語は多くのシステム設計・開発運用の場面で利用される用語ですので、応用展開が比較的容易です。
ユーザテスト、ユーザ要件定義、ユーザ受入れテスト、ユーザマニュアル、ユーザ参画、ユーザ責任者、ユーザ記録、ユーザID、ユーザパスワードなど、ユーザの付く用語は多いです。用語ユーザをベースに出題されたテーマに下書きで記載した「わたしの工夫」をアレンジしていくという作戦です。
■設問ウ記載の戦略
設問ウは、以下のテーマでした。
問1:定期的確認のための方策と今後の課題
問2:利用者と図ったコミュニケーション
問3:定着のための取組と今後の改善点
設問ウは、設問イの「わたしの工夫」との関係で記載すると有効です。
設問イで実施した「わたしの工夫」の実施結果どうなったのか、今後の課題とともに記載させるのが出題の主旨と思います。
論文について準備されていない受験者は、まず、設問アの「ITサービスの概要」を準備し、頭に入れること。これだけでも合格に向け大きく前進したことになります。
手前味噌になりますが、「最後まであきらめない受験者の方のための論文対策」も開講しておりますので、ご紹介いたします。
次回は、システムアーキテクトについて説明したいと思います。
最後まであきらない論文対策(2):終わり
]]>■今年は新制度2回目の試験
昨年から新しい試験制度になり、今年は新制度2回目です。初年度は頼るものもありませんでしたが、今年は昨年の情報が大変参考になるといえます。例えば、システムアナリスト試験と上級システムアドミニストレータ試験が統合されたITストラテジスト試験の午後II(論文)試験を見てみましょう。以下が昨年の問題です。
■重要な問題の分析
試験区分の統合はありましたが、試験範囲としては、情報システムに加え、組み込みシステムが加わり、具体的に問3のテーマとして出題されました。
内容もそうですが、出題のタイトルからも、問1はシステムアナリスト試験、問2は上級システムアドミニストレータ試験、問3は組み込みシステムを対象とする問題といえます。
論文問題を考えると、情報システムの開発担当の受験者は問1を選択する方が多いのではないでしょうか。問2の情報システム活用は、上級システムアドミニストレータでの利用部門や組み込みシステムに経験がないだろうというのがその理由です。今年は変化があるかもしれませんが、昨年の傾向をふまえるとシステム開発者向け問題は問1のみになります。
逆に、組み込みシステムの開発者は論文試験へのチャレンジの道が開けたといえます。ただ、問3は組み込みシステムでもテーマが限定されています。チェンジマネジメントが重要と叫ばれてはいますが、企画変更経験がない方の選択は難しいように思います。
事前に問題を予想し、分析することは重要です。試験場で初めて気がつくより、事前に状況を把握できれば、作戦を考えることができるからです。
■ITストラテジスト:通常の情報システムの開発者は、問題選択は?
一般の情報システムの開発者は、問1を選択するのが一般的ですが、ポイントとしては、ITストラテジストは開発段階ではなく――すなわち「情報システムの計画段階、企画段階が対象」ということを認識する必要があります。まだ開発が決定する前、あるいは開発は決定したが、開発に着手していない段階だということです。
■開発者は、あまり経験がないシステム企画段階
ITストラテジスト試験の対象者には情報システム部企画部署やシステム企画部門の担当者などが該当しますが、システムアナリストやITストラテジストの受験者はこれまでの経験から、企画より情報システム開発部門の方が多いように感じています。また、企画部署の担当者ですと、自社の情報システムの企画段階に該当しますが、開発担当者ですと、顧客の情報システムの企画段階を対象とした方がよいようにも思われます。
つまり、
この判断によって、論文記載のパターンは大きく変わってくると思います。
■全体システム化計画か、個別システム化計画を対象とするか
さらに、システムアナリスト試験に出題された問題を見ると、次の大きく2つのタイプの問題に分かれることが分かります。
全体システム化計画の策定にかかわる経験は少ないでしょう。ただし個別システム化計画については、かかわった情報システム開発の計画書なども入手できると思われますので、比較的取り組みやすいかもしれません。まず、個別システム開発計画書を入手してみることが重要でしょう。
過去問を入手し、必要情報を分析することの重要性がお分かりいただけたでしょうか。手前味噌になりますが、「あきらめない受験者の方のための論文対策」も開講しておりますので、ご紹介いたします。
次回はこれから非常に有望な資格と思われます、ITサービスマネージャについて説明したいと思います。
最後まであきらない論文対策(1):終わり
]]>わたしのところにも、
などの感想が寄せられています。
また、気の早い方は来年の試験に向けた対策講座についての問い合わせもある状況です。6月の合格発表まで落ち着かない日々が続くかと思います。
■公官庁入札指定資格になっている「公認システム監査人」!!
次回のシステム監査技術者試験は1年後になるため、現在「目指せシステム監査人」として取得可能な資格としては、
があります。
CISAは国際資格で、年2回試験が実施されており、次回は6月12日(土)に実施されます。情報システムコントロール協会ISACA東京支部で紹介しています。
「公認システム監査人」については、以前、「目指せシステム監査人!!(6)」でご紹介しました。
最近、わたしは複数の情報セキュリティ監査やシステム監査の入札案件に関わりました。このとき、「公認システム監査人」が、官公庁の情報セキュリティ監査やシステム監査案件を担当する監査人資格として指定されていることを知りました。
応札企業、今後セキュリティや監査ビジネスを展開する企業にとっては、監査人資格としての「公認システム監査人」は、システム監査に比べて資格取得しやすいという点でメリットがあると思います。
個人にとっても、CISAよりも維持費用がリーズナブルで、転職や退職後の資格として有効と感じております。ただし、公認システム監査人に認定されるためには、システム監査技術者試験合格と同等であることが必要です。特別認定講習を受け、最終試験にパスし、口頭試問試験にもパスする必要があります。
特別認定講習と最終試験のパスは、思ったほど難しくないようです。口頭試問試験で認定されないケースはあるにはありますが、その場合でもシステム監査技術者試験合格相当の「システム監査人補」には認定されます。
公認システム監査人に認定されるための条件は、「1人でシステム監査を実施できること」といわれています。
監査計画を策定し、監査を実施し、監査報告書をまとめられることが必要となります。社長に提出する監査報告書を、1人で作成できる能力ともいえます。
ですから、自信がなさそうな発言は禁物。「1人でシステム監査ができる」と胸を張って発言してほしいと思います。システム監査人として、どういった監査が実施したいかを語っていただければと思います。
インターギデオンは、公認システム監査人特別認定講習実施機関に認定されておりますし、5月9日まで個人受講者支援キャンペーンを展開中です。ITコーディネータ、CISA、中小企業診断士、技術士(情報部門)、情報処理技術者(アプリ、プロマネ、アナリスト、情報セキュリティ)などの方は、ぜひこの機会に検討されることをお勧めします。
http://www.intergideon.com/newken/tokunin.html
(個人受講者は50%OFF。会社単位のお申し込みは2人目から50%OFFとなります)
ぜひ、この機会を機にシステム監査人を目指していただければと思います。
受験される方、学習の進ちょく状況はいかがでしょうか。
今回は、本番試験での論文対策について考えてみたいと思います。
論文対策として、論文試験を目指した下書き論文の作成は欠かせません。
2時間で2200~3600字を記載することが必要です。
ボリューム的には2800字程度は必要と思われますので、約2.5秒(7200秒/2800字)に1字の記載スピードが必要。これは、下書きなしには非常に難しいと思います。
下書きを記載した場合、問題は「下書きを作成した想定テーマと、本番試験で出題される3問のテーマが異なる」ことです。下書きで準備した論文をそのまま記載される方が多いと想定されるため、問題文には「問題文の趣旨に沿って解答してください」と、記載してあります。
ここで作戦です。設問アが「あなたが携わった情報システムの概要」を記載させる問題なので、どのテーマが出題されようとも、ここの部分は確定できる……ここがまずポイントです。下書きで準備した情報システムの概要を、そのまま記載すればよいのです。
設問イは、設問アの「情報システム」というテーマに付随した「リスク」を記載させるケースが多いです。この部分までは、システム監査経験がなくても記載可能なケースが多く、IT部門の受験者はこの設問イを多く記載する傾向にあります。「セキュリティ」に着目して記載できる、というわけです。
問題は設問ウです。出題テーマについて「システム監査を行う場合の監査のチェックポイント、監査手続き」を記載させる問題です。この部分は監査そのもので、監査経験のない受験者にはごまかしがきかないという、実に頭の痛い設問です。
そこで作戦を1つ、ご紹介しましょう。
それは「外部委託の監査のチェックポイントを展開する」というものです。
最近では、情報システム部門を子会社や関連会社化している企業が多いです。データセンターなどに運用委託しているケースも多いですし、委託開発のケースは非常に多いように感じています。
つまり、外部委託は「多くのケースで見られる開発・運用の代表的パターン」ともいえるのです。従って、外部委託の監査のチェックポイントを整理しておくことは非常に有効と思われるのです。
試験で役に立つことを願って、外部委託の監査のチェックポイントを紹介しておきましょう。
今、流行のクラウドコンピューティング、SaaS、アウトソーシングなどについて外部委託と深くかかわっており、この外部委託のチェックポイントは非常に有効だと思います。
もちろん、このチェックポイントだけでは不十分ですので、「このチェックポイントはなぜ重要か」などについて具体的に説明することが必要でしょう。受験される方は考えてみてください。
(弊社でも論文対策として「最後3夜のシステム監査試験対策」を計画しております)
http://www.intergideon.com/newken/test.html
あとわずか、合格を目指し、システム監査人を目指してください。
]]> 最近、企業の内部監査室の方がシステム監査を体系的に習得したいと、弊社システム監査研修・セミナーを受講される方が少しずつ増えています。
「わが社もシステム監査を導入したい」という取り組みです。
ここ2年ほど、複数の企業でシステム監査導入のお手伝いをした経験を踏まえ、まず、わたしは「わが社のシステム監査」を定義することをお勧めしています。
といった具合です。
本気でシステム監査に取り組んでいただくために、組織として継続的にシステム監査を実施していくために「わが社のシステム監査」の理念を明確にしておく必要があるからです。
システム監査導入のポリシーとも言えるもので、問題が発生した時、立ち返る原点ともいえるものです。徹底的にデスカッションしてもらうのです。デスカッションの結果は「1行程度の文章」に昇華させ、凝縮表現します。
それは、監査チームが監査の必要性を他部署に説明する時にも有効です。
次のステップは「システム監査中期計画」を策定しますが、3年を見据えて何が必要かを検討します。
以下のようなポイントについて検討します。
中期計画には、先ほどの述べた「わが社のシステム監査」を先頭として
を分けて記載します。
システム監査チームとしては、システム監査人育成も重要なテーマですし、何から着手するか、対象情報システムを何にするのか。も重要です。また、しっかりとした監査体制をつくりあげるためにもシステム監査規程の作成も重要です。
システム監査を組織的に継続的に実施していくために、システム監査中期計画は欠かせません。システム監査への一時の熱で済まされないように経営者の了解を取ることも重要です。
システム監査人としての活躍の場を築くために、こうした取り組みは必要ですし、大いに望みがもてます。
システム監査の導入、いかがでしょうか。