あくまでも感想です。
障害管理態勢をテーマにした監査なので…過去にも,平成26年問2とかもあるのですが…設問イがリスク・コントロールではなく「着眼点」になっていて,設問ウが監査手続ではなく「監査証拠と確かめるべき具体的な内容」になっているので,しっかり準備していた人ほど戸惑うかもしれません。
でも,設問イは「着眼点」なので監査要点を,設問ウは監査用子を含めた午後Ⅰで表現しているレベルの監査手続でも大丈夫だと思います。
設問ア
(1)この問題は「情報システムの改変」が必須になります。競争力強化のためのシステム統合,連携などです。付加価値を高める改変が大前提。競争力強化,付加価値向上が背景にある改変で,それによって複雑化している改変なら,事例としては大丈夫です。
(2)システム障害によってサービスへの影響が拡大する要因は,複雑化,肥大化,保守サービスの終了などが問題文に例示されているので,その可能性について書きます。
(3)障害管理態勢のところで,障害に対する基本方針,体制,訓練,見直しなど…監査対象の情報システム部等がどうなっているのかを具体的に書きます。
設問イ
システム障害管理態勢の実効性を確かめるために設定すべき着眼ポイントなので,設問アに書いた(3)で十分な障害対応,障害管理が可能かどうかを考えて,どの部分がどうなっていれば大丈夫と言えるのか?という観点から,着眼点を3つか4つ出せばいいでしょう。
ここで重要なのは,設問アの(3)との関連性です。設問アの(3)は,書いた人のオリジナルになります。そのオリジナルの部分に関連していると,自ずと設問イの着眼点は独自のものになるからです。
・その体制で十分な対応が可能か?
・その訓練で十分な障害対応が可能か?
・運用の見直しが行われ,その効果が表れているか?
などなど。
設問ウ
この問題なら設問イで設定した着眼点に対応させる形で書くとわかりやすい。設問イに着眼点を4つ書いたら((1)~(4)など),その4つに対してここでタイトルを付ける((1)~(4)と合わせる)。
そして,一つの着眼点に対して複数の確かめるべき具体的な内容を書く。監査証拠を含めて。2-4つづつ書けばいいだろう。というか,それが限界になる。
監査証拠は,これ以前に「こういうドキュメントを使っている」と書くことはできないので,ここに書いた監査証拠は,監査対象に存在するものだという前提で出せばいい。「システム開発計画書を入手し」という感じで。
設問アの(1)に書いた情報システム改変の内容と,(2)に書いた発生の可能性が,ここ設問ウに書いた確認をして,それで問題無ければ…障害をコントロールできると判断されればOK!
まとめ
設問アのオリジナリティを,どこまで設問イ・ウで継承できているかがポイントになる。設問イやウが一般論になってしまうと合格論文になる可能性は低くなる。
体制・訓練などの管理態勢をテーマにしているので,設問イやウは書きやすいと思う。後は,設問イの網羅性,設問ウの具体化がポイントになると思う。
上記2点をクリアしていれば大丈夫だと思います。