#2 システム監査技術者を勉強してみる。

システム監査技術者試験勉強2日目。
システム監査基準の通読の続きです。

システム監査基準7〜
・監査計画　中長期的な計画を含んでおり、特にISMSなどのマネジメントシステムでは年間での計画が一般的。それが実社会であまり意識されていない可能性あり。そもそも中長期的計画に基づいてきちんと監査しているところなんてあるのだろうか。大企業とか金融系なら結構しっかりしているのだろうか。

監査手続の方法　基準8で多くの例が示されているが、それらの個別説明は全くなし。何と不親切な基準か。基準を読むために基準じゃない文章を参照する。無駄としか言いようがない。

・アジャイル手法　よく耳にする言葉。これまでは理解しなくても素通りすれば何とか行けたが、システム監査ともなると逃げられない気がする。そろそろその理解を深めるか。

・キーコントロール　何だかよくわからないが突然出てきた用語。ビジネス用語弱者なので、一般的な用語なのかわからず。企業において重要な統制の一つであるようだが、統制とは具体的に何を指すのか。普段から使っているガバナンスとの関連性なども考えると、何だか一緒な気がするし違う気もする。

・ITガバナンス　よく聞く言葉だし、この文章でも当たり前だよねという感じで出てくるのだが、実際に説明しようとするとなかなか難しい。その重要性や具体的な内容について考えることも必要。

巻末に用語の解説などが載っていたが、こういう基準あるあるで定義が抽象的すぎて何もわからなそうだったので、ここは飛ばした。
ふとした時に立ち戻ってみよう。

とここまででシステム監査基準読了。
読んでみた感想として、まあそうだなということばかり。これが勉強で一番怖い。
なぜかって、理解した気でいて本当の理解ができていないからだ。今それぞれの基準について解説しろと言われたらできないと思う。
ここでアウトプットの練習を入れてみてもいいかもしれない。