昨日(2018年4月15日)IPAが実施しているシステム監査技術試験を受けてきました。午前2試験の思わぬ難しさに撃沈しそうになりましたが、なんとか午後2試験まで終わらせてきました。仕事では監査を受ける立場多いのであまり自信はありませんが、午後1試験の問2と問3で自分が書いた解答と、午後2の論文の骨子をおぼえている範囲でメモしておきました。
午前試験
午前試験の解答は、試験当日に公式の解答例が公開されています。
平成30年度春期試験 問題冊子・解答例・採点講評・配点割合(PDF)| IPA
午前2試験は見慣れない問題が多く、問13の「ECマーク」、問14のアーヴィング・ジャニスの八つの兆候の「心の警備」、問24の「LBO」、問25の「サービスプロフィットチェーン」あたりがまったく分からず勘で解答しました(^^;)
午後1問2
データ分析システムの監査に関する問題です。問1のシステム投資効果の監査と迷いましたが、身近な内容なので問2を選択しました。
設問1:スケジュール管理システムの本番運用中のサーバに過負荷がかかり、レスポンスが遅延するリスク
問題文に「更に詳細なデータ項目を収集する場合は〜」や「レプリケーションサーバを構築して〜」とありますので、監査人は本番運用中のサーバへの負荷を心配しているのだと思います。ただ、想定したリスクは利用者が感じる不便さを具体的に書いた方が良かったのかもしれません。
設問2:データ利用申請書の提出前にサンプルとして提供したデータの受渡し内容を記録保管する
問題文に「最初に情報システム部が、実際のデータの一部をサンプルデータとして抽出して提供し、利用を希望する部門が分析を試行する」とありますので、実際のデータに含まれる個人情報を閲覧できる可能性があると考えて上のような解答にしました。しかし、今読み返してみると情報システム部がなんの手続きもなく、実際のデータを含んだサンプルを提供していることが、そもそも問題があるような気もします。
設問3:オーバースペックなサービスレベルが設定されているため、必要の無い運用費が発生する
問題文に「他のシステムと同様に、上位から2番目のサービスレベルが設定され、障害発生時の停止時間は1時間となっている」や「データ分析は(中略)1日停止したとしても、事業運営に支障を来すことはない」とありますので、上のようなリスクを指していると思いますが、もう少し上手い表現で書ければ良かったですね、、、
設問4:活用検討会の議事録を査閲し、分析の目的を明確にした上で利用ニーズを提案していることを確認する
問題文にヒントを見つけられなかったので、B委員(経営幹部)が "分析の目的を明確してからデータ収集せよ!" と各利用部門に指示していると勝手に想像して上のような解答にしました。
設問5:会議開催実績表を査閲し、情報共有の会議時間が削減されていることを確認する
問題文に「”情報共有”の会議のうち30%は電子メールなどで代替えして削減する」と「会議の実績を目的別・部署別に集計した”会議開催実績表”を作成し、(1)と(2)の施策の進捗状況を把握できるようにする」とありますので、上のような解答にしました。
午後1問3
システム監査技術者試験ではめずらしい穴埋め問題でしたので、最初に問3を選択しました。
設問1:Q社とのEDI取引契約書に基づいた受注内容の自動チェック
「受注内容の自動チェック」だけでは文字数がかなり少なかったので、どうやって盛ればいいかをかなり悩みました。
設問2(1)b:EDI取引契約書 c:要件定義書
設問に「文書名を、本文中の用語を用いて〜」とあり、本文中にそれらしい文書名は上の2つくらいしか見当たらないので、上のように解答しました。
設問2(2):EDI取引契約書で定められている受発注成立の条件を自動チェックで全て確認する要件
確かめることはそんなに外れていないと思いますが、上手く文章にまとめられませんでした、、
設問3 e:1件当りの受注金額を10万円未満に分割して受注データを入力する
問題文の [現在の販売管理業務の概要] に「納品が分かれる場合は(中略)元となった注文内容を複数の受注データに入力する」とありますので、日常的に分割して受注データを入力することが行われていて、承認が無くなれば上のようなリスクがあると考えました。
設問3 f:得意先ごとの受注金額の合計が、与信限度額を超えていないことを自動チェックする
今考えると、与信限度額以内でも e ような不正ができてしまうので間違えだと思います。
設問4:出荷指示リストと出荷完了リストをつき合わす確認により出荷処理をチェックする仕組みがあること
問題文のヒントからはこれしか思いつきませんでした。もう少し上手い文章にまとめたかったです。
午後2問2
午後2の論文試験は、情報セキュリティのリスクアセスメントの経験が多少あったので、問2のリスク評価の結果を利用したシステム監査計画の策定を選択しました。
設問ア(700文字くらい)
1.組織の主な業務と保有する情報システムの概要
1.1 組織の主な業務
1.2 保有する情報システムの概要
設問イ(800文字くらい)
2.監査部門がリスク評価を実施する場合の手順と留意点
2.1 リスク評価の手順
2.2 リスク評価の留意点
設問ウ(800文字くらい)
3.監査部門以外が実施したリスク評価の利用について
3.1 利点
3.2 問題点
3.3 監査部門として必要な措置
設問イ〜設問ウの前半までが、リスク評価に関する論文になってしまったので(^^;)「3.3監査部門として必要な措置」のところで、「各部門のリスク評価を監査・改善勧告をすることが監査部門の役割である!」のような主張をがんばって入れました。
おわりに
春の嵐の中の試験おつかれさまでした。合格発表は 6/20(水)の正午予定です、みなさんの合格をお祈りします!
コメント