しばらく、ブログの更新をしていなかった。

まとめて色々書きたくなったので、書いてみる。

今年の情報処理技術者試験の申し込み締め切りも迫っていることもあり、一応合格者としてシステム監査技術者試験の勉強方法などをまとめてみようと思う。

まず、システム監査そのものが何かを知るための勉強法を綴ってみたい。

内部統制システムの導入や監査が企業に求められるようになって、システム監査も様変わりしてきた。

ただ、私が以前勤めていた会社や、今の職場は、その考えに全く従っていない。

そのため、私自身、一般的な設計・開発・運用の分離や、仕様書、設計書などのドキュメント作成が行われていない状態の職場しか知らないのである。だから、私の場合は、あるべき姿を想像の世界で描く必要があった。なので、理想的な内部統制システムが確立されている職場で働いている人は、対応しやすいのかもしれない。

私の場合、赤本といわれる参考書（情報システム監査実践マニュアル）を何度も読んで勉強した。システム監査の実例が載っており、（多少内容は古くなっているが）システム監査がどういうものか、問題点等も含めてわかりやすく書かれている。

システム監査にはフォローアップという概念が含まれており、これがシステム監査をややこしくしていると思う。強制力はないものの、問題がある場合は改善点を示して、定期的に改善状況を確認せねばならないことになっている。これが、システム監査とコンサルティングの境界の紛らわしさの原因になっている。

システム監査基準が設定されて30年ほど経っていると思うが、その時にフォローアップのような監査とは言えないようなコンサル的な要素が付け加わって、それが今まで外すことが出来なくなっているのだと思う。

また、私は某市役所に勤めているのだが、ものすごく古いシステム監査基準解説書が職場にあり、システム監査基準の歴史？もある程度知ることが出来た。もともとホストコンピュータの集中システム時代にできたシステム監査基準に、無理やりシステム企画の部分と分散システムの部分を付けくわえたような構成になっていることが読んでいるうちにわかってきた。

今の合格者の平均年齢が私の年齢に近いので、大方の合格者は共に分散システムと集中システムの両方を知っているのではないかと思う。なので、システム監査基準やシステム管理基準を理解していくうえで、以上のような背景や経緯を知っているとわかりやすいのではないかと思う。

2分冊のシステム監査基準・システム管理基準の解説書も購入してみたが、通読できるような代物ではなかった。よって、システム監査そのものを勉強する参考書としては、赤本で十分と思う。

②に進む。