AU 午後Ⅱ 問１

 

IoTシステムの概要（設問ア）は具体的に書けていればOKで，IoT特有のリスク（設問イ）も，問題文にもあるので容易に想像はつくはず。ここも書きやすい。ここまででしっかりと確実に稼いでおこう。

 

問題は設問ウの監査手続。ここをどうするのか？そこで合否が決まる。

 

 

まずは具体的なIoTシステムについて書く。ひとくちにIoTと言っても多種多様。まずは具体的に。IoTデバイス，それを組み込んだ機器や製品，通信技術，収集サーバ（バックエンドシステム）などを明確にする。

 

 

 

そして企画段階の監査なので，ここに目標とするビジネス上のメリットを書く。ここは普通に，それで得られるメリットを書けばいいだろう。

 

 

 

 

ここでまずはリスクを書く。ポイントは２つ。

１）設問アのシステムに存在する監査人の考えるリスク

２）IoT特有のリスク

 

特に「IoT特有のリスク」は試験でもよく問われるパターンで，IoT以外の情報システムにも存在するリスクは避けなければならない。あくまでもIoTにしか発生しないリスクで考えると，次のようなものになるかな。

 

（例）

①多様なOS，リアルタイム性

②機能・性能が限られる（十分なセキュリティも困難）

③知らない間に悪用される（監視が行き届かない）

④こまめにメンテナンスができない（長期間放置）

⑤耐久性，盗難や紛失

⑥誤動作等で人命や財産，プライバシーを脅かされる

・他

 

このあたりをベースに，設問アで具体的に書いたシステムに存在するリスクとして具体的に書く。設問ウの開発，運用，保守，セキュリティの切り口で考えると設問ウにつながる。

 

段落分けは…設問イではリスクだけしか問われていないので，存在するリスクを（１），（２），（３）…と列挙すればいいだろう。その理由，根拠とともに。

 

 

 

従来通りの監査手続き。

 

まずは企画した当事者を明確にする。自分が「企画した」のは論外。そして，監査証拠としての企画書を明確にする。

 

監査手続は，問題文と設問に開発，運用，保守，セキュリティの４つの項目があるので，それぞれについて監査手続を書くことを考える。設問ウで1000字書く予定なら，ひとつ250字（ちょうど10行）になる。10行もあれば，２－３の監査手続が書けるので，予防牽制，誤謬適示，修正回復の観点から（もしくは予防と事後対策から）考えればいいだろう。

 

なお，監査手続きの構成は，それぞれに関して設問イのリスクを関連付けて…企画者によって”考えられているコントロール”を書いたうえで，その適切性を確認する方法を書く。監査証拠は自ずと企画書になり，その企画の内容，もしくは企画に至った会議等の議事録になる。あとインタビューもOK。

 

以下に，監査手続きのポイントの例を列挙する。

 

これらを，リスク，当事者が実施しているコントロールと，監査証拠を絡めて確認する。当事者が実施しているコントロールが見つからなければインタビューで聞く。

 

監査証拠は，企画書のどの項目かまで書かないとわからない。「企画書を精査する」のようにふわっとしたのはダメ。

 

 

・専門家のチェック済み

・開発環境は十分か（①②）

・開発体制，スキル面で十分か（①②）

・要求品質を確保できるに十分なテスト期間（⑥）

→どうやって決めたか。専門家は参加？

など

 

 

最初に書いた通り，設問アと設問イは普通にしっかり書けると思うので，しっかりと書こう。ここ最低限ちゃんとしたいところ。

 

難しいのは設問ウの監査手続。

 

ちょっと表現を間違えると「企画書をチェックするIoTコンサルタント」になってしまう。先輩ITストラテジストならそれでもいいのだろうが，これはシステム監査の試験だ。なので，あくまでも当事者によってリスクがコントロールされているのか，されていないのか？という視点で組み立てないといけない。

 

そこが最終的にきちんと書けていたらＡ評価。

 

ただ，難しいので…多少なら書けていなくても…Ａ評価の可能性はあると思う。問題が難しい分，そんなに誰もがそこまでしっかり書けるわけないので。

 

そう考えれば…

 

・字数がちゃんとクリアできている

・全体的に抽象的表現が少なくわかりやすい

・設問アでIoTシステムが”具体的に”書けている

・設問イでIoTシステム特有のリスクが書けている

・設問ウは，監査手続の表現になっているだけ

 

ぐらいで合格論文になると思う。過去の経験上。なので，出来が悪かったと落ち込んでいる人は，ひょっとしたら…受かっているかもしれません。