情報処理技術者試験、システム監査技術者の勉強を開始した。

今年は午後1で脱落している。22年、20年は論文Bだった。

午後1を重点的にやらないといけない。というか、今年は簿記1級に注力していたので、今年は日商簿記試験の直後だった特別試験（6月実施）のシステム監査技術者午後1の解答練習がほとんどできなかった。

今日、問題と解答、講評をjitecから、解答用紙をitecからダウンロードした。

本当は、簿記より午後1問題のほうが問題を解くのが取り組みやすいのだが、情報処理試験もゆっくり納得するまで解こうとすると、時間オーバーになってしまう。

jitecのホームページを見てわかったのだが、システム監査技術者試験のシラバスが掲載されている。

システム監査技術者の出題趣旨は、「情報システムのリスクの把握→適切なコントロールが機能しているか」と、「ITガバナンスが構築され、有効に機能しているか」をチェックできるかを、試験を通じて見るということである。

システム監査と言うと、「信頼性・安全性（セキュリティ）」と「効率性」、「有効性」を監査でチェックする、というイメージが強かったが、今は情報システムにおけるリスクの把握と、コントロールが有効に機能しているか、という方向で意識しないといけないようだ。

今の職場で4年ほど、とある民間企業で2年ほど、業務システムの開発、運用、保守を担当してきた。だが、両方とも担当者が個別システムの設計から開発、運用、保守、ユーザ対応まですべてを見る体制でやってきた。なので、開発部門と運用部門が分かれている組織での経験が無い。だから、開発と運用を同じ担当者が見る、というリスクがいまいちピンとこないのだ。

同じ担当者が開発と運用を両方見ていたら、テストプログラムのままで運用を続けたり中途半端な運用になる可能性がある。でも、さすがに全体の統制が効いていれば、本番のデータをいじって業務側の不正をすることはできそうにない。

システム監査の経験が無いので、これから具体的なリスク（例）をイメージしていく必要があるが、自分自身の経験した業務からだけでは限界がある。このように、実際にシステム監査をやるための基礎知識をつける学習をすればよいのか、問題を解くための訓練をすればよいのか、悩ましいところである。