« 2008年01月 | メイン | 2008年03月 »
2008年02月15日
システム監査技術者試験・小論文の完成度について
システム監査技術者試験の小論文の完成度について
読者の方からご質問いただきました
午後1に関するご指導「完璧を目指すのでなく足きり通過を目指せ」がございますが、午後2についても
「完璧主義じゃなくて良い」は通用するでしょうか?
アドバイスいただきたくお願いいたします。
ご回答
小論文の完成度という議論は難しい質問ですが、とりあえず考えられることを述べてゆこうかなと 思っております。
システム監査基準、システム管理基準暗記の完成度
システム監査技術者試験は、他の試験と異なりシステム監査基準、システム管理基準(以下、システム
監査基準等)をしっかり覚えていないと小論文が書けません。
その完成度について意見を述べます。
- 税理士試験などでは一言、一句暗記が必要ですが、システム監査基準の一言一句までの暗記は不要
- しかし、システム監査基準等の内容を損なわない程度の暗記は必要と思われる
小論文の完成度
論述試験では、100点の答案作成は不可能であること理解したうえで論述を行う必要があるでしょう。
そのうえでの留意事項は次のとおりです。
- 点数的には70点を狙い、実際の得点は60点を目指す
- そのために、出題者の題意をしっかり読みぬく必要がある。題意さえ読みぬいていれば、 完璧な答案でなくても合格できる
- 採点者が「この人はシステム監査人としての素養がある」と思えれば合格である
60点を取るための留意点は次のとおりです。
小論文の留意点
- 題意の読みぬきで、洞察力や注意深さが考査されている
- システム監査基準等の記述によって、最低限の素養が学習済みであることを考査される
- 題意に添った論述表現で監査報告書作成能力が要求される
- 論旨の一貫性の確保で、論理的思考能力が考査される
まとめ
要は完璧は必要ないですが、採点者の考査のポイントを抑える必要があるということです。
2008年02月14日
ITガバナンスと内部統制との違い
ITガバナンスと内部統制について
読者の方からご質問いただきました
IT統制について学習中なのですが、いまいちピンときません。IT統制とはどのようなものなのかお教え下さい。
IT全社統制>IT全般統制>IT業務処理統制と包括していく感じに理解しています。
内部統制との関係もいまいちです。
ご回答
ここではIT統制を一般的呼称であるITガバナンスと読み替えるとします。
結論としてITガバナンスと内部統制(internal control)とは別物です。
別の次元と思って考えるといいでしょう。
ITガバナンスの定義
オーソライズされている定義は次のとおりです。
- 企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力(経済産業省)
- 主にIT化により新たに生じるリスクの極小化と的確な投資判断に基づく経営効率の最大化、すなわち、リスク・マネジメントとパフォーマンス・マネジメントであり、これらを実施するに当たっての、健全性確保のためのコンプライアンス・マネジメントの確立である (日本監査役協会)
ガバナンスとは統治という意味で、最初は企業統治(コーポレートガバナンス)からきていると思われます。 それをIT分野に導入したものだと推測されます。
ITガバナンスの概要
以上のことを受けて、ITガバナンスを考えると、次のような概要になるでしょう。
- 経営戦略とIT戦略との整合性の確保を目的とする
- ITの投資効果を評価し、統制する
- 組織の在り方や人員・体制、リスクに関連する事項も含めて評価のフレームワークを確立する
- そのためのマネジメントコントロール
内部統制の定義
内部統制を知るために内部統制の目的を知る必要があると思われます。その目的は- 業務の有効性・効率性を確保すること
- 財務報告の信頼性を確保すること
- コンプライアンスの遵守
- 資産の保全を確保すること
こう書くと本質がぼやけてしまいそうなんですが、基本的には「不正を防止し、リスクを低減する」というところに
中核がありそうです。
なぜなら、SOX法などが叫ばれる前から内部統制という言葉はあり、内部けん制
とも呼ばれていました。つまり1人でやると不正が発生したり、発見しにくい業務を従業員の相互監視のもと
行うというところに語源があるからです。
まとめ
わかりやすくいうとITガバナンスは「ITと経営との関係」、内部統制は「ITと法令、規律との関係」 と私は理解しております。
2008年02月13日
監査未経験者の設問ア論述について
監査論文の設問アについて
読者の方からご質問いただきました
私は監査に関係する仕事に一度も携わったことがありません。設問アについては、どのように展開したらよいのでしょうか
ご回答
設問アの書き方は、それぞれの論文の題意によってまったく異なると思いますが、あえて一般論で申し上げないと 回答ができないので「おおよその論述方針」ということで述べさせていただきます。
設問アの入れて置くべき記述内容
- 情報システムの概略
- 情報システムに関わる経営方針
- 情報システムを取り巻く経営環境、リスク
- 情報セキュリティの体制(組織)とその状態
- その他、設問アで要求されているそれぞれの内容
設問アを書く上でとても重要なことは「あなたやあなたのシステムを知らない採点者に、 あなたのことを知らしめる」ことなのです。したがって、概略から入り、段階的に詳細化 してゆく論述方針が適切と思われます。
監査経験のない方に
設問アで論述する内容は上記のとおりで、監査経験とは無関係です。安心して取り組んでください
2008年02月03日
個人情報保護法ガイドラインの改正について
経済産業省が個人情報保護法ガイドライン見直し
概要
経済産業省が2008年2月に個人情報保護法を守る為のガイドラインである 「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」の見直しを発表しました。
要点
要点を整理すると次の2点につきます。
- 業務委託に不要な個人データの提供の禁止
- 委託元による委託先の監督責任の明確化
業務委託に不要な個人データの提供の禁止
例えば、通販を行うA社が、ダイレクトメールの宛名を印刷することを印刷業B社に 委託した場合、郵便番号、住所、氏名、ダイレクメールの文章(個人情報を含むとする) 以外をA社からB社に提供してはならないということです。
委託元による委託先の監督責任の明確化
通常委託業務は、委託先の管理監督責任で個人情報を管理するのが基本です。 これは請負契約の鉄則で、基本的にこの場合のA社はB社の管理手法に口出しできないからです。 しかし、近年、重大な個人情報の漏洩が相次いでいる為、今回の改正になったようです。
委託先企業が気をつける点
以上のことを考えると次のような施策が必要になると思います。
- 業務委託の際に委託先に引き渡す個人データの定義と精査の必要性
- 委託元による委託先の監査を業務委託契約の際に取り交わすこと
いずれにしても委託先企業の負担が増すとともに、システム監査人の必要性とスキルアップが 社会的に求められることになると思います。
2008年02月01日
システム監査技術者試験 午後Iの題意の見抜き方と解答について
平成9年午後I問5の解答について、ご質問いただきました。
CD会員の方から、平成9年午後I問5の解答法について、ご質問いただきました。
ご自分の参考書の模範解答と、ご自分の回答に差があるのだそうです。
システム監査技術者試験 平成9年午後I問5概要
題意が「情報の有効活用について」です。状況は次のとおりです。
- 営業支援システムを構築したが、利用しない部門がある。
- 営業部長から見て、経営戦略の理解が不足しているようだ。
- 情報の検索機能、顧客宛名ラベル出力機能は優れているが、顧客情報の分析 機能には問題がありそうだ。
- 販売責任者からみて、教育が徹底されていない。報奨制度がない。
- システム担当者からみて、教育が不十分でヘルプデスクがパンクしそう。
このようななかで設問2で聞かれている内容は次の内容です。
【設問2】システム監査人は情報共有化という観点から運用上で解決
すべきと考えた。情報共有を促進するための改善策を2つ挙げ50字以内で述べよ。
要点は次の通りです。
- 情報共有化の観点で改善策を述べる。
- 運用上の観点で改善策を述べる。
質問へのご回答
著者加藤の解答例
以上のことを踏まえて解答すると次の通りとなります。
- 顧客情報登録に関するアップロードの状況を部門的に精査して、報奨制度を構築し人事評価とする。
- 現行教育システムを再構築し、経営戦略と操作手法の徹底強化を行う。現場の声を反映する。
質問者の解答例の評価
ご質問をいただいた方の解答例を評価します。- 営業データのアップロードを自動化させる→IT面での提案だから、ポイントが低そう。
- 顧客の求めるデータをフィードバックさせる→「顧客の求めるデータ」が難なのか不明。
状況から考えて、初期教育だけでは不十分であり、継続的に教育を実施しないといけないし、 全社的に取り組んでゆく姿勢を示さなければならないと思いました。
ご質問、有難うございます。ご質問を頂いた方とこの記事を読んでいる皆さんの合格を祈念いたしております!