公認会計士試験合格者がCISA（公認情報システム監査人）試験に合格するまで

サマリー

• 公認会計士試験合格者がCISA試験に合格するための学習時間は100時間

• 公認会計士試験合格者は監査とガバナンスの分野にかなりアドがある

• CISA特有の言い回し（和訳）はクセがあり、もっとも実践的な対策は公式問題集を解くこと

CISA（公認情報システム監査人）とは

CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。

ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)
https://www.isaca.gr.jp/cisa/

CISAはシステム監査のプロフェッショナルであることを認定する国際資格です。

システム監査に関する資格として、国内ではIPAのシステム監査技術者試験があります。CISAはシステム監査技術者試験より試験自体の難易度は低いといわれています。
システム監査技術者と異なる点として、CISAは資格の登録に試験合格のほか実務経験5年超が求められます。また、資格の維持には所定単位の継続学習が求められます。そのため実務に携わる方以外の登録・維持は難しく、CISAは経験あるプロフェッショナルの証明という性格が濃いといえます。

CISA試験の概要

CISA試験は５つのパートで構成されます。各パートは下記の通りです。

１．情報システムと監査のプロセス
２．ITガバナンスとITマネジメント
３．情報システムの調達、開発、導入
４．情報システムの運用とビジネスレジリエンス
５．情報資産の保護

公認会計士試験合格者は監査、内部統制、ガバナンスや会社組織についてそれなりの知識があるので、上記のうち１．及び２．についてはさほど勉強しなくても合格水準に達すると思います（あるいは、多少の実務に通じていれば勉強しなくても合格水準にあります）。一方で、３．４．はエンジニア目線が必要になるため足をひっぱるのではないでしょうか。公認会計士試験合格者は１．２．で高得点を獲得し、３．４．の穴を埋めるような戦略になるかと思います。

費用

CISAの受験・登録までには結構コストがかかります。
試験料や教材はISACA会員と非会員で金額が異なります。CISA認定を受ける際にはISACAの登録が必要になるので、基本的にはISACAへ入会することになると思います。私もISACAに入会しました。
2022年現在、諸費用は下記のとおりです。私が実際にかかったコストを太字で示しています。

ISACA入会金：$30（国際入会金　$30＋東京支部 無料）
※オンラインからの申込の場合は、$10
ISACA年会費：$135（国際会費　$135＋東京支部US$0）

CISA試験料
ISACA会員　：$575
ISACA非会員：$760

CISA Review Manual（公式テキスト）
ISACA会員　：$109
ISACA非会員：$139

CISA Review Questions, Answers & Explanations Manual（公式問題集）
ISACA会員　：$129
ISACA非会員：$159

合計：$958

公式テキスト・公式問題集については任意ですが、それを除いたとしても高いですね。円安（記事執筆時点 1ドル＝144円）の影響もあり、試験に落ちると試験料8万円が飛ぶ事になります。
私は使いませんでしたが、アビタスなどの資格予備校を使うと更に20万円程度かかるのではないでしょうか。

学習

私の学習開始時点の知識経験は、会計監査は主査の経験があり、システム監査や要件定義について少し携わった経験（1年）がある程度です。

学習には公式テキスト（CISA Review Manual）と、公式問題集（CISA Review Questions, Answers & Explanations Manual）だけ使用しました。
まずテキストを読む前に問題集を1周すべて解きました。全く門外漢というわけではないので、まずは知識量を測って、苦手分野のみテキストを読めば良いと考えたためです。問題集を1周終えて全体で65％程度の正答率でした。
回答の当否はすべてGoogle Spreadsheetに記録していますが、問題集を1周終えると苦手分野がわかってきます。私の場合はやはりドメイン３．４．が苦手であるため、ここを中心にテキストを読むこととしました。
問題集2周目以降はすべて誤った問題のみ解いています。４周目までに99％程は解答することができました。

練習問題の試行回と正答率

CISAは１年を通していつでも試験が受けられるため、どこまで勉強するかは難しいところです。なにせ落ちれば試験料８万円が飛ぶのですから慎重になります。私の場合は９月以降は修了考査向けの学習をメインにしたいこともあり８月を区切りにエイヤと勉強を打ち切り受験しました。
学習時間はトータル100時間程度で、内訳は問題集が6割、テキストやWEBでの調べ物の時間が4割ほどです。

CISAの問題の特徴

CISAの問題は4択ですが、解答が明確に絞れることは稀です。問題は「正しいのはどれか」や「誤っているものはどれか」といった問いではなく、「最も重要なものはどれか」や「最も懸念されることはどれか」といった相対的なものです。これは同じ選択式試験でも公認会計士試験短答試験とはかなり毛色が違うため、最初はかなり戸惑いました。解答解説を読んでも「どれも重要であるがAが最も重要である」程度の書きぶりなので「いや、なんでやねん」と思うことも多々あります。
もう一点、悩まされるのがふわふわな日本語訳です。国内で一般的に使われる用語とは異なる用語もあり、検索しても何も情報が得られない場合もあります。英語の原文が読みたくなることも多々ありますが、原文は併記されません。こういったCISA的な語彙に対応するうえでも公式問題集や公式テキストは有用といえます。
実際の業務でエンジニアの方とコミュニケーションしたり調書を作成するためには、IPAの応用情報技術者やシステム監査技術者の語彙も学んでおくほうが良いと思います。

試験

試験は自宅受験とテストセンター受験がありますが、私はテストセンター受験を選択しました。自宅受験は昨今の外出の制約を受けて新しく導入されたようで、まだ受験者の経験談が少なく、環境要因のトラブルは自己責任になることから回避しました。

テストセンターでは、最初にテストとは無関係のデモ問題でPCの動作や操作方法が確認できます。
問題数は150題で、試験時間は240分です。240分ときくと長大な試験ですが、実際には120分経たないうちに一通りの回答を終えました。見直しても点数は余り変わらないと思ったので、テスト結果の送信ボタンを押します。試験料8万円が頭をかすめてドキドキします。
受験者アンケートを入力すると、最後に試験結果が表示されます。結果は合格でした。あまりにもささやかな表示だったので拍子抜けしました。一応、ここでは暫定的な結果であり、正式な結果は10営業日以内に通知されるメールによるそうです。

試験結果

試験から7営業日後に合格通知のメールがきました。合格通知メールには総合得点とドメイン別の得点が記載されています。私は合格基準450点のところ、476点でした。ドメイン別のスコアは下記のとおりです（ドメインごとに加重調整が与えられるため、単純な算術平均とは一致しません）。

ドメイン別試験結果

こうしてみると、問題集の初回の得点率と、試験結果の得点率は同じ傾向であることがわかります。そして、公認会計士試験合格者は監査分野で稼いでなんぼというのもわかります。

合格後の登録について

CISAの認定は試験合格のほか、５年間のシステム監査関連の実務経験が要求されますが、このうち３年分は代替要件で埋めることができます。私の場合、学士号・修士号で２年分、システム監査以外の監査（会計監査）経験で１年分、合計３年分を埋めることができます。おそらく、多くの公認会計士試験合格者は３年分の代替要件を満たすことができると思います。残り２年分は下記のいずれか又は複数の分野での実務経験で満たす必要があります。

１．情報システムと監査のプロセス
２．ITガバナンスとITマネジメント
３．情報システムの調達、開発、導入
４．情報システムの運用とビジネスレジリエンス
５．情報資産の保護

大規模監査法人に在籍する方は、望めばシステム監査業務に携わる機会を得るのは難しくないと思います。CISA登録のための実務要件が必要であることを説明すれば何かしらの業務に関与できることでしょう。
私はシステム監査、システム調達・開発について1年間の実務経験があるので、来年までには実務要件を充足できる見込みです。

以上、CISAの受験体験記でした。
公認会計士試験合格者でCISA試験を受験される方の参考になれば幸いです。