他力と自力と

家事と育児に追われるおじさんの、日記代わりの備忘録です

システム監査試験 講評と自分の論文の違いを検証してみました

以前お伝えした通り、システム監査技術者試験に、2年連続B判定で落ちてしまいました。何がダメだったのか分からなかったのですが、試験後に自分が書き残していた論文の概要があるので、IPAから公開された講評と比較して、ダメだった点を検証してみたいと思います。

 

設問ア 

あなたが関係している情報システムの概要と、これまでに発生した又は発生を想定している障害の内容及び障害発生時のサービス、業務への影響について、800字以内で述べよ。

 

この設問では、次の点が問われてるかと思います。

①あなたが関係している情報システムの概要
②これまでに発生した又は発生を想定している障害の内容
③障害発生時のサービス、業務への影響

構成としては、上記3点を二つにまとめました。
①あなたが関係している情報システムの概要

は「情報システムの概要」とします。

②これまでに発生した又は発生を想定している障害の内容
③障害発生時のサービス、業務への影響
を纏めて「発生を想定している障害とその業務への影響」として記述しました。

「障害発生時の業務への影響」については、以下のように纏めました。

  • POSレジが故障すると来店客に多大な迷惑がかかる
  • POSレジが機能していても、ストアコントローラの故障や本部サーバとの連携に問題があると、A社の強みである全国一斉のタイムサービスや特売が、その店舗では実施できなくなる。
  • 問題発生後、システム部メンバーが本社から修正に向かった事や、店舗側で消耗品が 不足していたことにより、問題解決までに最大1週間を要したこともあった。

講評を見ると、次のように書かれていました。

設問アでは、障害発生時の業務への影響について、具体性のある論述をしている解答は少なかった

 

ん~、見返してみると具体的では無いですよね。
「全国一斉のタイムサービスや特売が、その店舗では実施できなくなる」などとは書いていますが、定量的ではないですね。「問題解決までに最大1週間を要したこともあった」と定量的に書いている部分もありますが、何故一週間かかったのかの理由、「システム部メンバーが本社から修正に向かった事や、店舗側で消耗品が不足していたこと」では理由として具体的で無いです。

 

設問イ

設問アで述べた情報システムにおいて、可用性確保のためのコントロール及び障害対応のためのコントロールについて、700字以上1,400字以内で具体的に述べよ。

 
この設問では、次の点が問われています。
設問アで述べた情報システムにおいて
①可用性確保のためのコントロールを具体的に述べる
②障害対応のためのコントロールを具体的に述べる

予備調査の体でコントロールを確認したという記述をしました。
可要請確保のためのコントロールに関しては、以下の記述。

  • 本部サーバに仮想ストアコントロールの準備
  • 店舗POSがストアコントローラとの通信に失敗したとき、或いは本部サーバとの連携ができていないことを検知した場合、POSレジの接続先を自動で仮想ストアコントロールに接続しなおして、処理を継続する

・・一応は可用性確保のためのコントロールにはなっていますが。。いまいちな気が。具体性も足りません。

障害対応のためのコントロールに関しては、以下の記述。

  • 全国を10のエリアに分け、障害対応技術者を置く
  • 全店舗を対象に、教育の機会を設ける
  • これらの内容を、システム管理規定に記載した


この辺りのコントロールが、システム関連の業務をやったことが無い私には厳しいのですよね。
こちらもいまいちな気がします。具体性も怪しい。

では講評を見てみましょう。

設問イでは、ほとんどの受験者が可用性確保と障害対応のコントロールについて何らかの論述をしていた。しかし,早期発見のコントロールについて論述できている受験者は少なく,問題文をよく読まないまま解答している受験者が多かったように思われる。

 

え!と、問題文を見返すと

また、情報システムに障害が発生した場合のサービス、業務への影響を最小限に抑えるために、障害を早期に発見するためのコントロールを組み込み、迅速に対応できるように準備しておくことも必要になる。

 と、確かに書かれていました。「必要になる」と書かれていることは記述しなきゃいけないのは把握していたのに、そして恐らく問題にラインを引いていたと思いますが、記述を忘れてしまっていた気がします。これではダメですね。

 

設問ウ

設問ア及び設問イを踏まえて、可用性確保及び障害対応の適切性を監査するための手続きについて、それぞれ確認すべき具体的なポイントを含め、700字以上1400字以内で述べよ。

 ここでは次のことが問われています。
①可用性確保の適切性を監査するための監査手続きを具体的なポイントを含めて記述する
②障害対応の適切性を監査するための監査手続きを具体的なポイントを含めて記述する

私は次のような内容を記述しました。

(1)対処する問題に漏れはないか
対応漏れ確認のために、旧システムの障害一覧と要件定義書をつき合わせ、他の問題点も検討されたか確認する
(2)コントロールの適切さ (①と②を兼ねたつもりの回答)
要件定義書のレビュー時の議事録を確認し、NWに詳しいメンバーなどが参加していたかを確認する
(3)テストに漏れはないか (①の回答)
チェックリストと要件定義書を比較し、チェック項目に漏れがないかを確認する
(4)障害対応コントロールの内容は適切か(②の回答)
10のエリアには根拠があるのか、経営陣が認識して承認しているかについて、承認した人にインタビューをし、その内容を把握しているかを確認する

とおりすがりさんからコメントで、次のようなご指摘を頂きました。

ウで記述すべき内容は、監査手続、つまりどのような監査証拠を入手し具体的に何を確認するのか、です。検証すべきは、コントロールの適切性ではなく、コントロールが統制として有効に働いているのか、です。

 ・・確かに、コントロールの適切性についての調査になっています。。これではダメですね。

講評を確認すると、次のように書かれていました。

設問ウでは,どのような監査証拠を入手し,具体的に何を確認するのかまで論述できている受験者は少なかった。情報システムに関わるリスクとコントロール,監査手続の関係をしっかりと理解してほしい。

 私は、「リスクとコントロール,監査手続の関係」を把握できていなかったのではないかと感じています。

まとめ

なぜダメだったか分からない、と言っていましたが、検証してみると原因は多々ありました。講評で指摘されているすべての問題点を孕んでいるようです。特にウに関しては致命的。これでは合格は出来ないし、論文でB判定も納得、Cでも仕方ないかもと感じました。

そもそも、システム監査やシステム運営そのものに関する知識が不足していたようです。本当に心から納得できました。

 

それはそうとして、論文内容を簡単にでも纏めておいてよかったです。講評は今までも目を通していましたが、熟読度というか受け取る真剣味が違います。ダメだった点が分かったのは、書き残しておいたおかげだと思います。

ダメな点が分かるというのは、まだリベンジの余地はあるということ。実際に来年も受験するかは未定ですが、ここに将来へのヒントをまとめられたのは良かったです。

きっかけを頂いたとおりすがりさん、ありがとうございました。