« 2007年9月 | メイン | 2008年1月 »

2007年12月25日

システム監査技術者試験で時間切れとなってしまう方に

システム監査、小論文試験と実務経験について II

 ある読者の方からご質問をいただきました。
Kと申します。HPや書籍を拝見させていただきまして 受講を決意しました。今回は、H20年のシステム監査受験までの学習計画を立 てるにあたり相談させていただきたくメールさせていただきます。
私は地方自治体向けパッケージソフトの導入と保守を行って いる部署に所属しております。この業界に入り約7年です。 PG、SEを5年行いその後SEの取りまとめを行っており ます。
 システム監査をH19年に初受験したのですが残念ながら不 合格という結果に終わっております。しかも、午前で足きりです。スコアがあと5ポイント足りま せんでした。午後1/2は、文字数的には満たしておりましたが、時間が足 りず内容には不満足な内容となりました。
受験してみて自分の力を分析してみると、
  1. 時間内に回答する力がない
  2. システム監査にたいする知識が浅い、少ない
H20年に向けまずは、午後1の過去問を時間を計測し解くこと を行おうと思うのですが、その他どのように学習を進めればよい か指導いただければと よろしくお願いいたします

質問への回答

午後I対策
 システム監査試験の午後Iですが、意図的に読解力の乏しい読者を足きりする目的で 90分の短時間で3問も回答させると考えます。そこで、その対策として次のような方法を考えています。
  1. システム監査試験・午後Iは「業務の流れに問題があるもの」、「監査の仕方に問題があるもの」 「セキュリティマネジメントに問題があるもの」「アクセスコントロールに問題があるもの」など数パターンに 分かれることを知っておくべきです。
  2. それぞれごとに指摘すべき課題がパターン化されていることを知るべきです
  3. 例えば、盗聴化対策で暗号化すると、ウィルスを識別できなくなるなどのケースです
  4. また業務改革で、決済システムを導入すると承認プロセスがショートカットされていて、 管理者がコントロールが欠落するケースもあります。
 監査の問題はそんなに大きな変化はないので、設問パターンごとの解答パターンを 用意して置いたらいかがでしょうか。さらに、
  1. また、問題文を読むと多数のセキュリティ上の欠陥があり、どれを書いたらいいかわからなくなることがあります
  2. このような場合は、問題文を読む前に設問文を読み込んでおくことをお勧めします
  3. 設問の題意を十分把握しておくこと、記述すべき内容の取捨選択に役立ちます

午後I、午後IIの最重点は題意の把握にある

 午後Iでは、設問文の題意を把握できていないと的確に記述できないし、午後IIでは頓珍漢な 論文を書いてしまうことにあります。ここで重要なことが「コントロールの具体的内容の把握」です。 例えば、
  1. 内部統制ときたら、相互監視上の課題、上司による監視の欠落などを指摘する
  2. アクセスコントールときたら、パスワードやIDの変更、退職者のID削除などを指摘する
  3. ファシリティコントロールときたら、入退室管理、遮蔽、迷路のような構造など物理構造を指摘する
  4. 電子化の欠点ときたら、電子文書の可視化などを指摘する
といった具合です
 よくある失敗パターンでは、セキュリティ上の課題というと。個人情報保護法情報漏えいおよびハッキングウィルスしか 思いつかない方がいて、全体的に俯瞰が不足しているといえそうです。

時間が足りないのは時間を浪費しているから

 往々にして、時間の足りない方に欠落していることは次のようなケースではないでしょうか。
  1. 考えているのではなく、迷っている→題意の把握が不十分
  2. なにを指摘してよいか不明→システム監査基準、管理基準の暗記
  3. どのようの書いたらいいか不明→自分の担当した情報システムの認識が不足、監査手続きに関する知識の不足
  4. 午後IIの小論文の書き方が分かっていない→恐れ入りますが、システム監査小論文対策CDをご購入ください(^^;

時間が足りない方の対策

 しつこいですが、何度でも書きます。
  1. システム監査の手順を暗記しておくこと
  2. システム監査で使用する文書や証拠書類の名称を整理して置くこと
監査は経験で格ものではなく、知識で書くものですから、監査基準やISO27000(旧ISO17799)をしっかりと 読み込んでおくべきでしょう。 重要なことはシステム監査試験が情報処理技術試験のなかで唯一暗記の必要な試験 だということをあらためて認識していただく必要があります。
 皆さんの合格を祈念いたしております! 
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント

投稿者 kato : 23:03

2007年12月23日

景気の減速傾向について(2007年12月)

景気後退が懸念されます

 日銀が14日発表した2007年12月の企業短期経済観測調査(短観)によると、「 企業の景況感を示す業況判断指数(DI)は大企業製造業でプラス19と、 前回9月調査に比べ4ポイント低下した。」
中小企業製造業の景況感は小幅改善したが低水準で、 「先行きは2005年3月以来のマイナス圏に低下」しました。  景気後退が懸念されています

原因として考えること
 原因として考えられることは
  • 原油高
  • 金属の原材料費の高騰:それにかかわらず価格転嫁できない
 現場からも次のような声が上がっています
  • 11月後半から仕事が激減している(中部地区・製造業)
  • 最近、仕事のキャンセルや物件の中断が多い(東北地区・システム開発)
 設備投資の手控えや、IT投資の手控えは景気の悪くなる傾向のひとつとして 既に知られています。従って、皆様におかれましては引き続き景気動向の監視 が必要と思われます。
消費について
 日経流通新聞に次のような記事が出ていました。該当アンケート56組に 調査したところ景況判断で次のような結果が出たそうです。
  • 景気はかなりよくなる:1.8%
  • 景気はちょっとよくなる:8.9%
  • 景気はかわらない:32.1%
  • ちょっと悪くなる:41.1%
  • かなり悪くなる:5.4%
  • 無回答:10.7%
ネットビジネスへの考察
私がシステムアナリストとして コンサルテーションしている顧客ついては等しくWebビジネスに着手しているので マイナス要因を吸収してあまりあるのですけれど、消費の低迷や設備投資控えは 結果的にネットビジネスへ影響されると思っているので注意が必要でしょう。


出所:「来年、家計悪くなる」46%:日経流通新聞2007年
12月17日版

BtoB専門のWebコンサルタント
(有)アイ・リンク・コンサルタント 代表取締役 社長 加藤忠宏

投稿者 kato : 15:09

2007年12月21日

未経験者のシステム監査技術者試験小論文対策

システム監査、小論文試験と実務経験について

 ある読者の方からご質問をいただきました。
Mと申します。本日は先生に質問がございまして、メールというかたちで連絡を取らせていただきました。 この度「システム監査技術者」の受験を考えるにあたり、ネットで情報を収集していたら先生のサイトを発見して藁にもすがる思いで連絡させていただいた次第です。
お忙しいなか恐縮ではございますが、以下のご質問に助言等をいただけると大変ありがたく存じます。
 私は社内でのシステム部門等での実務経験がまったくありませんが、そういう者が受験することは無謀でしょうか。 現在、ある会社に勤務しており、この業界のどんぶり勘定的体質から、早期に脱出し、システム的に強化を図ることが 必要と感じたことも受験への動機のひとつであります。
 午後Ⅱ問題は受験者の業務経験に基づいた解答が求められていますが、未経験者がバーチャル(想像)で解答しても中身がしっかり書けていれば合格できるものなのでしょうか。 また先生の周りに実際そういう方がいらっしゃいましたか?

謝辞

 まず、ご質問をいただきましたことと、かつての受講生さんの再会を感謝したいと思います。
また、本業のコンサルティングが盛業で3ヶ月ほど1日の休みもなくお返事を遅れましたことお詫び申し上げます。

質問への回答

 システム監査試験での監査経験の必要性ですが不要と考えます。
  1. システム監査試験は「システム管理基準」、「システム監査基準」に準拠します。
  2. また、監査手順もほぼ提携でルーチン業務ですから、暗記が可能です。
  3. したがって監査経験は不要です。

監査経験のない方の合格の有無の現状

 受験者のすべてを理解しているわけではないですが、受験指導の経験から監査経験のない方の合格事例を いくつか述べてゆきましょう。
  1. IT系専門学校教務主任の合格:システム導入の経験はないものの、独学で合格されていました。 選択していた問題は「監査人の教育」だったと思います。
  2. IT系企業のSE:この方は、スキルアップに熱心な方で、監査試験合格者の情報を多数集めて合格 されていました
  3. IT系企業のスーパーSEO:この方は監査というものの考え方、システムの安全性、信頼性、有効性などを 深く考えて男ら得る方でした
  4. 金融系システム管理者:この方は中小企業診断士の合格後、キャリアを補足する意味 で受験を決意されました。彼の助言者は診断士講座の講師の方です。
  5.  要は、合格される方は、単にシステム開発をしているSEではなく、 常に問題意識を深く持っている方、キャリア等について真剣に考えている方である ことがわかります。

    監査経験のない方が合格するためには

     Mさんが午前試験、午後I(記述式)試験の合格水準であると仮定して、監査経験のない方が システム監査試験に合格するためには次の手法が有効であると思われます。
    1. まず監査事例に相当する情報システムのセキュリティ上の問題点を整理しておくこと
    2. 情報システムの概要と潜在的課題を整理して400字で論述できるように整理しておくこと
    3. 「システム管理基準」、「システム監査基準」を暗記しておくこと
    4. システム監査の手順を暗記しておくこと
    5. システム監査で使用する文書や証拠書類の名称を整理して置くこと
    重要なことはシステム監査試験が情報処理技術試験のなかで唯一暗記の必要な試験 だということです。
     皆さんの合格を祈念いたしております! 
    システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント

    投稿者 kato : 15:40