スタディルーム by rolerole

情報処理試験対策やIT業界への愚見・書評

トップ > システム監査技術者 > システム監査技術者 IT投資のガバナンス監査【論文の書き方】(令和6年秋問1)

システム監査技術者 IT投資のガバナンス監査【論文の書き方】(令和6年秋問1)

システム監査技術者 論文の書き方

本記事ではシステム監査技術者の午後II(論文)対策として、

令和6年問1で出題された過去問を分析します。

実際に論文を書く上での考え方を整理し

論文骨子を設計するところまでやっていきます。

 

 

 

問題(令和6年問1)

過去問は試験センターから引用しています。

問題文はこちらです。

設問文はこちらです。

 

何が問われているかを把握する

本問題はIT投資のガバナンスにおける

監査について問われています。

 

IT投資のガバナンス自体の

目的や活動内容に「審査」や「評価」といった、

「監査」と混同しやすい側面があるので、

注意が必要です。

 

また組織のIT投資のガバナンスを論じる必要があるので、

IT投資の個別具体的な内容に踏み込みすぎると字数が不足しがちになり、

かといってガバナンスの監査という抽象論・一般論に終始すると

それが理由で合格に至らなくなってしまいます。

 

論述の抽象度に高いバランス感覚が求められ、

難易度の高めな問題といえそうです。

 

出題要旨と採点講評からの分析



試験センターから公表されている出題要旨と採点講評を確認して

出題の意図と論述のNG例を把握します。

 

出題要旨

第一文に

組織の価値向上及び事業継続の観点

と書かれています。

問題文の第一段落にも書かれていますが、

IT投資のガバナンスの重要性が高まっているところが

出題趣旨の背景にあります。

 

第二文に

IT投資の管理プロセスを整備、運用するとともに、IT投資のガバナンス体制で求められる役割を遂行する

と書かれています。

IT投資のガバナンス体制やプロセスについては、

ITガバナンスの成熟度を測るフレームワークであるCOBITに

通じていると論じやすいといえるでしょう。

 

第三文に

監査の着眼点及び入手すべき監査証拠についての論述

と書かれています。

「監査の着眼点及び入手すべき監査証拠」については

設問イとウの両方で問われています。

設問イとウの違いは、前者が「IT投資の管理プロセス」に、

後者が「IT投資のガバナンス体制」に関連付けて

述べるという点です。

 

 

採点講評

問1,問2共通の採点講評では

  1. 問題文の趣旨又は設問で求めている内容を踏まえていない論述
  2. 監査証拠が具体的ではない監査手続に関する記述
  3. 論文の体裁が十分整っていない

という3つのNG例が載っていました。

表現は若干変わりますが、昨年の採点講評とほぼ同じ内容でした。

 

2点目に関してですが、システム監査技術者試験では

必ず「監査手続」について問われます。

監査手続については、下記記事に基本をまとめているので、

不安な方は再確認しておきましょう。

システム監査技術者の論文対策(リスク・コントロール・監査手続) - スタディルーム by rolerole (hatenablog.jp)

 

問1の採点講評では、

  1. 個別のシステムやプロジェクトにおけるIT投資についての論述
  2. IT投資のガバナンス体制の記述が不十分(設問ア)
  3. 組織としての体制ではなく個別プロジェクトを対象とした監査に関わる記述(設問イ)
  4. IT投資のガバナンス体制に関連付けられなかったり、入手すべき監査証拠が具体的ではなかったりする記述(設問ウ)

がNGの例として挙げられています。

論述の具体度・抽象度の難しさについては冒頭の章

「何が問われているか把握する」でも述べていますが、

1. や 3. は個別的(具体的)すぎてNGとされている例です。

 

しかし一方で、一般論だけで論述しても合格は得られないので、

組織単位・会社単位での具体性も踏まえる姿勢も必要です。

 

一般論のみになりがちな時は「例えば」と前置きして

具体的に書くのも一つの手段ですが、

それだけだと個別のシステム・プロジェクトについての

監査にとられかねないので乱発は危険でしょう。

 

■論文の文字数■
システム監査技術者は他の区分と異なり、設問イと設問ウの
指定文字数が一緒です。(700字~1400字)
他の区分は設問イと設問ウで指定文字数が異なっていることが多いので、
いくつかの区分を受験予定・受験中の方は注意しましょう。

 

論文を設計する

問われていることの概略を把握したら

自身の経験や用意してきた論文パーツに当てはめて

どのように論述を展開するかを設計します。

 

 

設問アの設計

設問アは「IT投資の概要」と「ガバナンス体制」に

ついて問われています。

 

「IT投資の概要」は個別・具体的な投資の内容ではなく、

組織におけるIT投資の期待値を意識して書きましょう。

IT投資への期待値を書くことにより、

「ガバナンス」の要求度が高まるので

「ガバナンス体制」に自然に繋げることができます。

 

「ガバナンス体制」は一般的には、

経営層、CIO、IT部門、事業部門など、「運用側」に立つ

主体を書きましょう。

 

内部監査部門、外部監査人、第三者評価機関など、「評価側」に

立つ主体はここでは書かないようにします。

 

 

設問イの設計

設問イと設問ウはどちらも「監査の着眼点及び入手すべき監査証拠」に

ついて問われていますが、設問イの指定は

「IT投資の管理プロセスに関連付けて」述べることです。

 

問題文の第二段落をよく読み、「組織のIT投資所管部門」が整備、

運用している「IT投資の管理プロセス」について論じます。

少なくとも、「IT投資所管部門」がどこにあたるのかは

具体的な部署を明記して進める必要があるでしょう。

 

また問題文には

事業戦略及びIT戦略で設定された目標を達成するようIT投資計画を策定し、その計画に基づいて、ITに関する開発プロジェクト、基盤構築、人材育成などに投資する

とあります。これは「IT投資の管理プロセス」の例として、

計画フェーズと実行フェーズがあることを示しています。

 

さらに

IT投資に対する効果を評価し、評価結果に応じてIT投資計画を見直す

とあります。

これは「IT投資の管理プロセス」の例として評価フェーズがあることを

示しています。

 

ガバナンスの重要性で言えば、計画フェーズ、評価フェーズ、実行フェーズ

の順の重要度であると思います。

最低限、計画フェーズにおける「IT投資の管理プロセス」を

論じるようにしましょう。

 

また、それぞれのフェーズにおける監査の着眼点と監査証拠の例を

表にまとめます。

  監査の着眼点の例 監査証拠の例
計画フェーズ IT投資がIT戦略に沿っているか 企画書と経営計画の整合記録
評価フェーズ IT投資完了後に目標を達成しているか 本番運用後のレビュー記録や効果検証報告書
実行フェーズ IT投資の進捗と成果が適切か PJ定例報告書や成果レビュー記録

システム監査人は上にまとめた着眼点をもとに監査証拠を入手し

ガバナンスが機能していることを監査します。

 

設問ウの設計

設問ウも「監査の着眼点及び入手すべき監査証拠」に

ついて問われていますが、設問ウの指定は

「IT投資のガバナンス体制に関連付けて」述べることです。

 

ガバナンス体制は設問アでも述べているので引用する形で

述べましょう。

 

また問題文の第三段落は「IT投資所管部門がガバナンス体制で

求められる役割」について述べられているので、よく読み

論旨に盛り込むようにしてください。

 

問題文には

取締役会などにおけるIT投資に関する意思決定に貢献することが重要になる

と記載されており、取締役会という形で経営層が関与します。

このことから、ITストラテジストの受験・合格経験者であれば、

経営層との繋がりをイメージしやすく、書きやすい設問だと思います。

 

また、経営の意思決定への貢献や経営からの指示対応に関し

ガバナンスが機能しているかを確認する監査の着眼点や監査証跡については

たとえば次のようなものが考えられます。

着眼点:IT投資所管部門による審議や評価内容が適切であったか

監査証跡:審議議事録、経営会議向け報告書

 

論文骨子

ここでは、参考として論文骨子の例をご紹介します。

■設問ア
 1.IT投資の概要及びガバナンス体制
  1-1.IT投資の概要
   スーパーマーケットS社
   IT投資による経営目標
   ・ポイントカードやセール・クーポンをデジタル化し、
    顧客接点増加・顧客満足度向上を狙い売上を高める
   ・大規模災害に対するレジリエンスを持ち、ITシス
    テムの中断からくる業務影響を防ぎ機会を維持する
  1-2.ガバナンス体制
   ・CIO
    IT戦略を策定する。
   ・IT投資委員会
    IT投資の案件について、審査を行う。
    IT投資の管理プロセスを整備、運用する。
   ・営業部門、商品部門 
    情報システム部門と強調し、IT投資の案件の企画・実行を担う。
   ・情報システム部門
    IT投資の要件としてとりまとめる。
■設問イ
 2.IT投資のガバナンス監査(管理プロセス)
  2-1.審議プロセス
  監査の着眼点
  ・IT投資の案件が、IT戦略に沿ったものであること
  入手すべき監査証拠
  ・IT投資の企画書と中期経営計画書との整合記録
  2-2.実行プロセス
  監査の着眼点
  ・IT投資の進捗と成果を測定・レビューしていること
  入手すべき監査証拠
  ・プロジェクト定例報告資料や成果レビュー会議記録
  2-3.効果測定プロセス
  監査の着眼点
  ・目的に沿った効果が出ているか検証していること
  入手すべき監査証拠
  ・本番運用後のレビュー記録や効果検証報告書
■設問ウ
 3.IT投資のガバナンス監査(ガバナンス体制)
  3-1.IT投資委員会の審議機能
  監査の着眼点
  ・IT投資委員会による審議や評価が適切であったか
  入手すべき監査証拠
  ・審議の議事録や経営会議向け報告書
  3-2.経営陣への報告と経営陣からの指示対応
  監査の着眼点
  ・経営陣への報告と経営陣からの指示対応が適切であったか
  入手すべき監査証拠
  ・経営陣への答申書や添付資料、議事録

 

論文全文について

ここまででも十分考え方はお伝え出来たかと思いますが、

論文全文を参考にされたい方は有料とはなりますが

以下記事の末尾をご参照ください。

note.com

 

まとめ

いかがでしたでしょうか?

本記事ではシステム監査技術者の午後II(論文)対策として、

令和6年問1で出題された過去問を分析しました。

ガバナンス体制という組織の重要な機能が

きちんと働いているかを監査する問題でした。

 

また、他の区分・過去問の【論文の書き方】の記事については

以下リンクを参照ください。

論文の書き方 カテゴリーの記事一覧 - スタディルーム by rolerole

 

今後も、論文の書き方記事を充実していきます。

ではそれまで。