2021年10月実施のシステム監査技術者試験に合格となったため、実施対策等を振り返ろうと思います。
前提
以前作成したシステム監査技術者試験(以下、AU試験)の記事でも何度も触れていますが、AU試験では他の論文試験の経験があるかで体感難易度や必要な対策量が大きく変わってくると思っています。
もちろんあくまで筆記試験なので、どんな状態からでも勉強すれば合格は可能ですが。
私はAU試験を受験する前にいくつかの高度区分に合格しており、今回の私の対策ではこれらの経験が必須であったと思っています。
システム監査というと、SEなどの立場からは縁遠い感じはしますが、あくまでシステムの監査なので基本はシステムを中心とした問題になってきます。
監査自体を中心に据えた問題もいくつかはありましたが、多くの問題はシステム開発やシステム運用、システム企画など監査することになり、関連する高度区分の基礎知識がそのまま生きてきます。逆に言うとシステム開発や運用の(IPA試験での)あたりまえが分かっていないと問題を解くうえではかなり不利になると思っています。
システム監査を本業務にでもしてない限り、個人的には最低限、一つの論文試験、特に同時期に実施されるプロジェクトマネージャ試験合格後に受験することを薦めます。
参考までに個人的にAU試験を受ける上で、受験経験があるとよいと思われる順位を示します。
※括弧表記は私自身は未受験のためかなり推測が入っています。
少し補足しますと、技術的に詳細な内容はほとんど問われないため、スペシャリスト試験の優先度を下げています。
ITストラテジスト試験(ST試験)は経営戦略、企画系の問題割合的にこの位置としています。私は受験経験がありませんが、一般的に言われる情報処理技術者試験の序列的にST試験に合格できていれば他の試験の受験経験がなくともそのまま問題なく通過できるのでは?とも思います。
SC試験の優先度を少し上げているのは、セキュリティは主題テーマになる可能性もあるためです。但し、観点的にはPM試験やSM試験のセキュリティ問題に近く、SC試験には論文試験もないためSC試験⇒AU試験というルートは他のスペシャリストと変わらないぐらいの大変さだと思います。
システム監査の一つの目的としてシステムに関わるリスクのコントロールの適切性に対する保証を行うということもありますので、実際にコントロールを行うマネージャ層の理解が必要になるというのは必然とも思います。
対策と所感
事前勉強
まずは、システム監査に関する知識があまりにもなかったので書籍で知識を補填しました。
書籍は下記でも紹介しますが、「情報処理教科書 システム監査技術者 2021~2022年版」と「よくわかるシステム監査の実務解説(第3版)」です。
「よくわかるシステム監査の実務解説(第3版)」については内容があっていないというわけではなく、私がうまく時間を確保できなかったせいで有効活用しきれませんでした。
システム監査の基本的な流れや、リスク、コントロール、監査の関係など最低限のことは押さえておかないとさすがに問題を解く上で支障が出ると思います。
振り返ってみると「情報処理教科書 システム監査技術者 2021~2022年版」の内容だけでも、合格を目指すだけなら必要十分な内容にはなっていたと思うので、一般的な試験対策参考書が一冊あれば知識面では十分なのかもしれません。
「よくわかるシステム監査の実務解説(第3版)」については論文に使うネタ探しなどに活用してもよかったかもしれません。
午前Ⅰ
私は今回免除でしたが、他区分や応用情報と同様の対策で問題はないはずです。
午前Ⅱ
午前Ⅱの問題としては、他区分と比較すると専門のシステム監査の問題の比率が多かったように感じます。
システム監査の知識がゼロだと問題文だけでもなかなか難解だったりするので、多少事前に知識を入れてからの方がスムーズになるかと思いました。
あと、経営戦略等のST試験系の問題が一定の割合で出題されていたと思いますが、過去問を繰り返し解いていれば覚えきれるレベルなのでそこまで気にならないと思います。
午後Ⅰ
対策については...特別なことはしませんでした。
普通に過去問を演習しただけです。逆に言えば、別途システム監査の基本の基本を押さえてあれば、他の区分と同様の対策で問題ないと思います。
これだけでは味気ないので試験の印象などを記述していきます。
■他試験との共通領域
午後Ⅰの問題に関しては、問題の分類がしやすかった印象です。
問題ごとにPM試験系の問題、SM試験系、ST試験系、がっつりシステム監査の問題、などです。
また、午後Ⅰは特に他の試験区分をシステム監査という要素で包んだ試験という特徴が強かったと思います。なので、午後Ⅰに関しては他の試験を合格した後なら特に対策をせずともある程度は解ける問題も多いとかもしれません。
問題の分類が比較的明確ということで、場合によっては切り捨てる分野を決めておいたり、試験本番で分野で問題を選択することなども可能であると思います。
■設問構成の特徴
見れば分かることですが、AU試験の午後Ⅰの設問は多くの場合で5問、約40字程度の問題で構成されています。
他の試験と違ってかなり多くの場合はこのパターンで固定です。つまりは問一つあたり3問ミスると不合格ラインになります。
また設問の多くは問題文の後半(監査手続の本調査)について問われることが多いです。なので、設問箇所に突き当たるまで問題文の前半部分をいい感じに流し読んで設問を解いていくというスタイルになると思います。
全体としては、これまでの経験から午後Ⅰが得意なら、そこまで恐れることはないと思います。
ただ、周りの受験者のレベルは基本的に高く採点が厳しめになっている可能性、問題数が少なく調子が悪いと簡単に不合格ラインになりえるということから気は抜けない試験であることは間違いないです。
どの辺で差がついてくるのかは気になるところですね。
午後Ⅱ
私の場合はIPA試験の初めての論文(PM試験)でも最初はまず一本書いてみようから始めましたが、AU試験については最初から書き切るのは無理だと割り切りました。
実際、監査経験あるいは相応の知識がなければ、参考論文に近い完成度で書き切るのはなかなか難しいと思います。
■参考論文の半写経
最初に書籍などの参考論文を見たりはしましたが、しっかりとした対策としては参考論文の半写経から始めました。
半写経がどの程度かというと参考論文を開きながら、主に業界やシステム部分を変更して、以降は整合性が合わなくなる部分だけ書き換えていく程度です。
私の場合は、業界は実際に業務で関わったことのある業界(一つ)に絞って、システムはいくつかのパターンで対応すると決めていたので、このような方法をとりました。
最初の三本程度はこのように半写経して、以降は基本的には自力に書いていきました。
■論文テーマに関して
午後Ⅱの論文のテーマに関しても午後Ⅰと似たように、ST試験系(企画など)、PM試験系(システム開発など)、SM試験系(システム運用など)、システム監査主題などいくつかのテーマに分けることができます。
なので基本的には得意な分野(合格した試験分野など)で攻めていくのが定石にはなりますが、問が2問しかないことを考えると簡単には分野の切り捨てがしにくいです。仕方ないところもありますが書けないと切り捨てた分野が多いと本番試験での運勝負の要素が大きくなってしまうかもしれません。
■自身の立場について
私の実際はSIerですが、論文上の立場としては顧客企業の監査室のシステム監査担当として記述しました。
テスト用紙の記入シートなどを見る限りでは、システム監査を受ける側のシステム担当者として書くというのもなくはなさそうです。
ですが、受ける立場だと設問に応えるのが難しそうなのと、参考論文とかがほぼなさそうなので、自身の立場に関わらずシステム監査の実施者として記述するのが無難だと思います。
■設問の構成と特徴について
他の区分との比較したときの特徴としては、設問イが700字~1400字、設問ウが700字~1400字という文字数指定になっています。
また記述する内容としてはざっくりと、設問アで概要、設問イでテーマ中のリスク・コントロール、設問ウで監査の実施という流れになっているパターンが多いです。但し監査技術を問う問題では結構ずれてきたと思います。
これらの事実から、他試験と比較しても設問ウの重要性が高くなっていると推測できます。
PM試験などでは設問ウは最悪流すような感じになってもなんとか書き切ることが重要とか、設問イまでで概ね合否が決まってくるとか、そのような考えを見たような気がします。
なので、記述時のポイントとしては残った時間で設問ウを回答するというよりは、予め設問ウのために時間を確保して前半部分を記述していくという方法も有効になるのではないかと考えます。
■設問イに関して
設問イまでに関してはテーマに対応した他試験の内容とかなり近い内容で書くことができると思っています。
もちろん部分部分でシステム監査を意識した記述は必要ですが。
何本か書いたみた結果、個人的には設問イはシステム開発がテーマになっているものなのであればかなり書きやすかった(PM試験、SM試験などと同じ感じで書くことができた)と思っています。そして勢いにのって書くと比較的文字数が多くなることが多くなりそうになることが多かったです。
文字数自体は規定を超えなければなにも問題はありませんが、考えなければいけないのは結局時間ですね。
例えば私であれば手書きでは1200字を超えると設問ウが時間内でしっかり書き切れないと思います。なので実際に書いてみたときに「いろいろ思いつきはするがこの調子で書くと書きすぎか?」と思い途中で少し抑えるようなパターンが何回かありました。
あとは設問イを書きながら、対象となる監査証拠やそのコントロール特有のチェックポイントなどは常に意識しておくと良いと思います。設問イでばら撒いたものを設問ウで回収するという具合に。
まぁ書き出す前に論文の格子作りで練り込まれていればそれで問題ないと思いますが、私の場合は設問ウについては書き出す前に詳細を詰めることができず設問イを書きながら詳細を詰めていくパターンが多かったです。
■設問ウに関して
設問ウは設問イで記述したコントロールに対する監査手続を記述するパターンがほとんどで、AU試験独自の内容になります。
知識や経験がない場合にはまず参考論文などでどのように記述すればよいか学ぶところになると思います。どのようなものが監査証拠になるのか、どのような観点でチェックすればいいのかなどなど。。
ただ、参考論文などを参照したりしていれば意外とそれっぽいものは書けるようになりました。
監査手続自体は比較的使い回すことができたり、システム開発・運用などで普通に使用しているドキュメントが監査証拠として使用できるパターンが多いなどの理由からだと思います。
■監査技術テーマの問題に関して
AU試験では監査技術テーマの問題も出題されます。監査技術テーマの問題に関しては上記の感じではおそらく通用しません。
どのような問題が該当するのかというのは実施に問題を見てみれば分かると思います。
平成30年問2や令和3年問2などが該当すると思っています。
私は監査技術の問題は捨てました。
具体的に言うと、半写経は一回だけやりましたが、その後自力で書いてみようと思いましたがちゃんと仕上がりませんでした。
但し、今回の受験時にまさに出題されましたが、出題されたときに選択肢がなくなるのでかなり苦しいのは事実です。
参考書籍
システム監査技術者試験入門3点セットを購入しました。
情報処理教科書 システム監査技術者 2021~2022年版
システム監査についての説明は、試験のために必要十分な内容が書かれていると思いました。
午後Ⅰの解説に関しては可もなく不可もなく普通といった印象。
午後Ⅱの参考論文に関しては、個人的に設問イの記述が長くて真似したら書き切れなそう、設問イやウの汎用性が高すぎる記述内容になっているという点で少し気になる論文がありました。普通に参考にはしましたし私が言っているだけなのであまり気になさらず。
システム監査技術者 合格論文の書き方・事例集 第6版 合格論文シリーズ
同シリーズは毎度購入してます。
様々な論文パターンを知るためには有用。記述内容は比較的かっちり固めな印象。
よくわかるシステム監査の実務解説(第3版)
システム監査を知るため、論文のネタを探すために購入。
途中でも書きましたが、ちゃんと活用しきれませんでした。書籍がうんぬんではなく私の方でしっかりと読む時間を確保できませんでした。
なので、試験対策の書籍としての評価は私の口からはなんとも言えないところです。
前半部分だけを読んだ感じでは、読みにくいということもなく、試験対策と並行して読み進めることでシステム監査に関しての理解は深まりそうな感じはしました。
残る高度試験もITストラテジストとエンベデッドシステムスペシャリストのみになりました。
ここまできたら高度九区分制覇を目指しますが、最速で後丸一年、気力が続くかそもそもITストラテジストは攻略しきれるかどうか。ハマった回数だけ必要な年が増えますがもうしばらく頑張りたいと思います。
