あくまでも感想です。
これはビックリです。この前(平成30年)出たばっかりのシステム監査計画の問題が出るとは…。平成30年問2の設問ウを中心に書くか,平成24年問1をアレンジして書くか…。
問題文の例だと…
・社内規定に基づく業務監査
・法令に基づく内部統制の経営者評価
・認証取得・維持のための内部監査
これらの中のITに対する部分の監査。
上場企業なら財務諸表の内部統制報告制度,それ以外だと,プライバシーマーク,ISMS,PCI-DSS,ISO/IEC 20000あたりが書きやすいのかな?
それを,どのシステム監査で利用するのか?そこを具体的に書く。
設問ア
・システム監査の対象システムを明確にする。
・利用した監査の概要を具体的に書く。いつからいつまで,どういう目的で,どのような監査を実施したのか?監査は誰が実施したのかも。この問題の内容だと,自部門や自分自身が実施したのではないケース(自部門や自分自身が実施した監査だと書きにくいし,どう判断されるかわからない。B以下の評価になるリスクが大きい)。但し,設問イでも書かないといけないので,どっちに何を書くのかは決めてから書かないといけない。こっちはあくまでも概要なので,事実を事実として書くところまで。
設問イ
ここに,利用可能と判断した理由を書く。
必須項目は「利用範囲」と「利用できるかどうかの検討」。
プラス,利用時のメリットや必要性を書く。これを使わなければどうなるのか?使ったらどうなるのか?
ひとつは,あくまでも想定で構わないので,効果シミュレーションを工数で出すといいだろう。システム監査の効率向上に寄与していることを,具体的数値で示す。
もうひとつは監査対象部門の負担軽減。これも工数で定量的に示すとベスト。
その上で,利用範囲を特定すればいい。
設問ウ
ここでは,問題文の第3ブロックの…想定通り利用できるかどうかの評価について書く。問題文に懸念事項が書いているので,懸念事項を具体的に書いて,それらをどのように評価するのかを具体的に書く。
問題文の例には,担当者の能力・独立性,実施された手続の適切性,指摘事項のフォローアップの妥当性などがあるが,これらがどのくらいのレベルであればOKなのか,その基準を具体的に書く必要はあると思う。加えて,それをどうやってチェックするのか?も具体的に書く。
そして,それらの評価が想定通りではなかった場合に(先に書いた基準に届いていない場合に)どうやって補うのか?を書く。
その部分を自分たちで監査する対象に含めると,設問イで書いたシステム監査の効率性や監査対象部門の負担軽減がどれくらい落ちるのか?そして最終的に,どれくらいのメリットがあるのか?を書いておけば万全。
つまり,設問イでは「ベストだったら,これぐらい効率がいい,監査対象部門の負担軽減も可能」,設問ウで「最悪でも,これぐらい効率がいい,監査対象部門の負担軽減も可能」と結論付ける。
みたいな感じ。
なので合格ラインを勝手に予想してみた。
1)ア:今回のシステム監査の目的・概要を具体的に書く
2)ア:参考にする監査の目的・概要を具体的に書く
3)イ:利用範囲,利用できるかどうかの検討
4)イ:システム監査業務の効率化,監査対象部門の負担軽減を定量的に。
5)ウ:懸念事項,評価できるレベルを具体的に
6)ウ:評価できなかった場合の対応(自分たちで行う監査)
7)ウ:6)の場合の懸念事項,評価できるレベルを具体的に
1,2,3,5,6をクリアで合格。4,7で安全圏(4,7は定量的でなくてもたぶん大丈夫。そんなにレベルは高くない)。
以上。