この春に受験した情報処理技術者試験（システム監査）は、残念ながら不合格だった。午後の試験が長文問題と論文試験から構成されており、長文問題は合格点を上回ったものの論述試験がB評価、あと一歩であった。

あとで訊いたら、システム監査は高度試験の中でも最難関とのことで、合格する、会社から報奨金をもらう、という意味では間違った選択だったかもしれない。しかし、勉強になった。はずかしながら「監査」の考え方をはじめて知った。良かったと思う。

監査とは

 私達はときどき間違う。不注意の場合もあるし、つい出来心で、ということもある。そうした個人の間違えが組織の活動に反映されてしまわないように、会社には様々なチェックの仕組みが備わっている。

なぜ交通費の申請を上司がチェックするのか？間違った申請をしたときに修正されるようにであり、虚偽の申請を抑止するためである。

なぜ部署がわかれているのか？チェックする部門とチェックされる部門が緊張関係を保つためである。

しかし、上記のチェック機構が本当に有効に働いているだろうか。上司が交通費の申請をする際に、月末などに貯めこんでしまって大量の申請を抱え、適当にチェックしてしまわないだろうか？

ベネッセの個人情報流出自己があった。ベネッセでは、データベースへのアクセス記録を取得していた。つまり、情報が適切に利用されているかをチェックする仕組みはあったと言える。しかし、それだけだった、その記録をチェックしていなかったのだ。この監査の仕組の欠如が問題を拡大させた原因の一つであると言われている。

つまり、チェックする仕組みのチェックが必要だ、ということだ。これこそが監査である。上記の上司による通勤費申請の例で言えば、たとえば部下が申請を上げてから一定期間後にアラートを上げる仕組みがあれば上司によるチェックが適切に行える、ということになる。

システム監査を勉強して自分の業務のルールの意味を考える

システム監査の午後一問題を勉強していて感じたのが、私はなぜそのような業務があるのかを理解していないということだった。そういうルールだからそうなんでしょう、としか考えていなかったのだ。しかし上記のように、会社にはチェックの仕組みやチェックのチェックの仕組みがあり、そのルールを具体化させたものが会社の業務ルールというものであった。

その関係がわかっていないと試験問題が解けない。だから試験の対策のために、なぜこの業務はこういうふうな仕組みになっているんだろうと考える癖が、少しだけ付いた。これがシステム監査を勉強して一番良かったことである。

 ということで、今日から秋の試験の申込が始まった。秋はシステムアーキテクトを受けようと思っている。

www.jitec.ipa.go.jp