【トレーニング】視座変換事例集(メンバ→システム監査技術者)

システム監査技術者
目次
  1. 🍀概要
  2. 🔍はじめに:この教材について ~視座変換トレーニングの使い方とねらい~(メンバ→システム監査技術者)
  3. 🧭システム監査技術者試験の論文構造と合格基準
  4. 🔁視座変換の技法──評価・統制の観点で語るための工夫
  5. ☕コラム:なぜシステム監査論文は“完結感”が弱く感じられるのか
  6. 🧠視座変換トレーニング:統制思考の獲得ステップ
  7. ⚠️システム監査技術者論文で陥りやすい罠(プロジェクトマネージャ試験合格者向け)
  8. 📝視座変換演習(例題ベース)
    1. 🎯演習1:手順書は存在するが、現場ではベテランの判断で対応していた事例
    2. ☕コラム:システム監査は本当に「客観的」か? ──プロジェクトマネージャ経験者が気づくべき視点の違い
    3. 🎯演習2:障害時に現場判断で迅速対応し、復旧できた事例
    4. ☕コラム:紛らわしい頻出表現
    5. 🎯演習3:セキュリティ教育は実施されたが、作業記録を取っていなかった事例
    6. 🎯演習4:他部署とファイルをやり取りするために私的アカウントを使っていた事例
    7. 🎯演習5:ファイル共有ルールが複雑すぎて、例外的な保存をしてしまった事例
    8. 🎯演習6:担当者が退職し、引き継ぎ文書がなかったため運用が止まった事例
    9. ☕コラム:監査手続とは何か?(PM・メンバ視点からの翻訳)
    10. 🎯演習7:クラウドサービスの利用に際して、規程を知らずに設定変更を行った事例
    11. 🎯演習8:現場でシステム改修があったが、開発ベンダとの契約書は未更新だった事例
    12. 🎯演習9:証跡が膨大で、確認せずに削除してしまった事例
    13. ☕コラム:監査要点とは?書くべきなのか?
    14. 🎯演習10:現場判断でシステム設定を変更し、影響範囲を把握せず障害を起こした事例
    15. ☕コラム:監査手続と監査結果の未来形、過去形について
  9. 🚀おわりに
  10. ℹ️補足

🍀概要

 この教材は、「現場メンバの視座」から「システム監査人の構造的な視座」へと、思考を切り替えるための訓練用の内容です。

🔍はじめに:この教材について ~視座変換トレーニングの使い方とねらい~(メンバ→システム監査技術者)

現場で求められるのは、目の前の業務を正確に、効率的に、柔軟に回すこと。ところが、システム監査技術者試験ではまったく異なる力が問われます。
📌ルールを疑い、整備状況を疑い、運用の証跡を疑う
📌人の努力や善意に依存せず、「再現性」と「統制性」を見る
📌表面的な整備状況だけでなく、「機能しているか(実効性)」を冷静に評価する

こうした監査人の思考様式は、開発や運用のメンバが無意識に採ってきた「融通を利かせる文化」とは真逆の姿勢です。
この教材では、具体的な例題とその“視座変換”を通じて、「当事者」ではなく「統制の代弁者」としてどう考えるかを体感していきます。

ちなみに、筆者は、2025年現在、システム監査技術者試験合格に向けて学習と教材作成に取り組んでいます。このページの内容は、筆者が合格するために必要な情報と考えた演習資料となっています。

🧭システム監査技術者試験の論文構造と合格基準

システム監査技術者試験(午後Ⅱ)の論文試験では、「監査人の構造的視座に立ち、論理的かつ実効性のある是正提案を行えるかどうか」が問われます。
単に現状を説明するだけではなく、根拠を持ってリスクを評価し、妥当な監査手続を通じて、再発防止までを描けるかどうかが合否を分けます。

論文構成は以下のように整理されます。

第1章:現状とリスクの把握(設問アへの対応)
・対象業務や情報システムの特徴、そこに内在するリスク、および問題が顕在化する可能性を整理します。
・監査対象の選定理由や、どのような影響が発生しうるかを構造的に記述することが重要です。

第2章:監査手続と評価観点(設問イへの対応)
・どのような手続により、どのような証跡を確認するかを具体的に記述します。
・形式的なチェックに留まらず、「実効性」や「整合性」をどのように評価するかが問われます。
・証跡の種類、確認手順、評価基準などをセットで書くのが基本です。

第3章:是正策と改善効果(設問ウへの対応)
・抽象的な指摘に終始せず、改善の具体策とその波及効果を描きます。
 例えば、「情報セキュリティ教育の証跡が不十分であったため、受講管理システムを導入し、受講状況をリアルタイムで把握できるようにした。これにより、教育の実施状況を正確に把握し、未受講者へのフォローアップが可能となった」といった具体的な是正策とその効果を記述します。
・制度的な整備と運用面の支援をセットで考え、「再発防止の仕組み」として提案できるかがポイントです。

監査論文では「主観的な提案」ではなく、「整合性ある評価と、統制強化につながる是正案」が求められます。
また、因果構造に基づいた段階的な論理展開(背景→要因→影響→評価→提案)ができているかも重要な評価基準です。

最終的に合格となる論文は、以下のような特徴を備えています。
・設問ア~ウと章節構造が明確に対応している
・規程・証跡・現場実態を根拠とした冷静な評価ができている
・形式だけでなく実効性に着目し、再発を防ぐ仕組みを構想できている
・関係部門の立場や実行可能性に配慮した現実的な提案、および他部門への展開可能性を示唆する支援的な視点が含まれている
この教材では、それらの要素を少しずつ身につけられるよう、視座変換→構造理解→因果構築のステップで進めていきます。

🔁視座変換の技法──評価・統制の観点で語るための工夫

メンバ視点からシステム監査人視点への変換は、単なる言い回しの変更ではありません。
重要なのは、「自分たちが何をしたか」ではなく、「その対応が統制の観点から見て妥当だったか」を、構造的・第三者的に語ることです。
たとえば、
・「担当者が丁寧に作業していたので、問題は起きませんでした」という表現は、
・「手順書に基づく対応履歴が記録されており、ヒューマンエラーの発生可能性を低減する統制が継続して機能していたことを確認した」
といったように、属人性ではなく統制構造の有効性を評価する視点に切り替える必要があります。

また、主語が「私たちのチーム」や「現場担当者」ではなく、「A社として」「情報セキュリティ統制上の観点で」となっているかを常に意識することが、監査視座への変換の第一歩です。

☕コラム:なぜシステム監査論文は“完結感”が弱く感じられるのか

システム監査技術者試験の論文対策を進める中で、「あれ?なんだか結論がスッキリしないな…」と感じたことはありませんか? 実は、それには試験の設問構造に理由があるのです。

システム監査技術者試験の論述は、プロジェクトマネージャ試験に比べて「モヤっとした印象が残る」「ストーリーが途中で止まったように感じる」と言われることがあります。その主因のひとつは、設問構造上「監査手続まで」が問われ、「その結果どうなったか(監査結果の実施状況や効果)」が問われないことが多いという点にあるのです。

PM試験では、「課題→判断→行動→成果」の一連の流れが求められるため、論述の最後に「プロジェクトは成功した」などの明確な帰結が示されます。一方、監査論文では、「リスクを特定し、それに対応する監査手続を記述する」という構造で終わることが多く、「その後改善されたか」「効果があったか」は設問の対象外であり、むしろ書いてしまうと逸脱とみなされる恐れすらあります。

つまり、監査論文は“結果を見る前段階”を扱う試験であるため、読者は“問題が是正された未来”を明示的に読むことができない。その結果、文章全体に“解決前夜”のような印象が残るのです。

では、完結感のない論述でよいのか?──答えは否である。

受験者は、「監査結果の実施や効果」を書かずとも、“未来の妥当性を予見させる構造”を盛り込むことで、読み手に“納得できる未完”を届けることができるのです。
たとえば、是正提案の末尾に
・「翌年度の監査対象とし、効果検証の仕組みを盛り込む」
・「定量的指標を併記し、改善効果を見える化する仕組みを提案する」
といった記述を加えることで、読み手に「お、これは着地が見えるな」と思わせることができる。これこそが、監査人としての単なる提案に留まらない、責任感と将来への見通しを示す“論述の締め方の美学”と言えるでしょう。

🧠視座変換トレーニング:統制思考の獲得ステップ

本章では、典型的なメンバ視点の記述を出発点として、システム監査人にふさわしい表現へと変換する演習を行います。

演習の流れは以下の通りです。
・メンバ的な記述例の提示
 (例)「セキュリティ教育は毎年行っており、特に問題は起きていません」
・監査的視点での再解釈
 (例)「情報セキュリティ規程に定められた教育は年1回実施されていたが、作業記録の未提出者が一部存在し、統制が形式的にとどまっていた可能性があると評価した」
・視座変換のポイント解説とテンプレート化
 ・主語を「現場」→「A社全体」「規程上の位置づけ」へ
 ・「実施有無」ではなく「継続的統制の有効性」へ
 ・評価の根拠(規程、証跡、運用実態)を明示
 ・是正の方向性と、再発リスクの低減までを含める

これらを意識することで、論述は「現場の報告」から「組織統制の評価・提言」へと昇華します。

⚠️システム監査技術者論文で陥りやすい罠(プロジェクトマネージャ試験合格者向け)

余談ですが、プロジェクトマネージャ試験に合格された方は、実行力や調整力に優れており、記述力も高い傾向にあります。
しかし、システム監査技術者試験では評価軸が異なり、「独立した監査視点」「統制構造の評価」「是正提案の妥当性」が問われるため、以下のような“良かれと思って書いた表現”が、意図せず減点対象となることがあります。

①【主観的な記述=監査視点】と誤解してしまう
・PM的誤り:「私は〜と考えた。なぜなら〜。具体的には〜」という構文で、自らの判断や思考過程を主語にして記述してしまう。
・AU的要求:監査人はあくまで独立・中立・客観の立場。主観ではなく、「〇〇規程に基づき〜を確認した」「証跡により〜を評価した」といった第三者としての評価構文が求められます。
 このように、主語を「私」から「監査人」や「組織」に変更し、客観的な事実に基づいた記述を心がけましょう。

②【努力や現場対応の評価=評価対象】と誤解してしまう
・PM的誤り:「障害発生時には、現場が迅速に対応し、影響を最小限に抑えた」
・AU的要求:その都度対応が必要だったこと自体が、統制の不備・未整備の証拠と捉えられます。監査人としては、「〇〇の事前訓練やマニュアルに基づき、対応が組織的に行われていた」といった仕組みの有効性を評価する視座が必要です。

③【結果オーライの評価=肯定的評価】で締めてしまう
・PM的誤り:「最終的に復旧でき、トラブルは未然に収まりました」
・AU的要求:結果ではなくプロセスの評価が求められます。「証跡確認により、マニュアルに従った対応がとられていたことが証跡上確認できた」といった整合性・再現性をもとにした評価が必要です。

④【自部署目線の評価=中立性】と誤認する
・PM的誤り:「我々の部門では〇〇していたが、他部門の理解が得られなかった」
・AU的要求:監査人は全社統制の視座に立つ必要があります。「手順整備の未統一により、複数部門間で運用が分断されていた」など、客観的かつ横断的な評価を行うことが求められます。

⑤【対策実施=是正済みという誤解】と見なしてしまう
・PM的誤り:「改善策を講じたため、同様の問題は再発していない」
・AU的要求:改善策の有効性が証跡により確認されているかがポイントです。「同様の手順が他拠点でも継続的に運用されていることを証拠により確認した」などの実効性の確認が重要です。

⑥【手順の存在=統制の保証という誤解】と考えてしまう
・PM的誤り:「ルールがあるので、問題はない」
・AU的要求:統制の有効性は「存在」ではなく「機能しているか」で評価されます。「手順書は整備されていたが、使用実績の証跡が存在しなかった」など、運用実態を照らして評価する視座が求められます。

⑦【報告・共有=是正の証明という誤解】と捉えてしまう
・PM的誤り:「部内で共有し、注意喚起を行った」
・AU的要求:注意喚起だけでは統制が十分とは言えません。制度として定着し、証拠が残っているかを見極め、「社内教育制度に再発防止項目が組み込まれ、作業記録が残っていることを確認した」といった記述が必要です。

✅「頑張った描写」や「主観的判断」は、監査論文では減点されることがある
システム監査技術者論文では、現場努力や個人の判断を語ることは、「統制上の仕組みが存在していなかった証拠」として評価されるおそれがあります。
評価されるのは、組織として整備された統制が有効に機能していたか/証跡が残されているか/仕組みとして再発防止策が講じられているかです。

💡視座を引き上げるための問いかけ
・「その評価は、規程や証跡に基づいているか?」
・「その統制は、再現性・継続性を持って実行可能か?」
・「主観や経験に依存せず、他人でも判断できる形に整理されているか?」

📝視座変換演習(例題ベース)

以後の演習では、今後提示予定のメンバ事例をもとに、「システム監査技術者(AU)視点で書き換える」練習を行います。
本番の論述において、現場目線の記述ではなぜ合格に届かないのかを理解し、監査人としてふさわしい評価・記述構造へと変換する力を養います。

各演習には、以下の内容が含まれます。
・メンバ視点での記述例(そのままではAU試験に合格できない内容)
・NGポイントの明示と評価コメント(なぜ監査視点として不十分なのか、構造・中立性・根拠の観点から分析)
・AU視点への変換例(規程や証跡に基づく客観的評価、統制の有効性、実効性検証、再発防止策、是正提案を明示)

🎯演習1:手順書は存在するが、現場ではベテランの判断で対応していた事例

【Step 1】❌NG例(メンバ視点のまま)
定型業務については手順書がありましたが、実際の現場ではベテランが経験に基づいて柔軟に対応しており、大きな問題は発生していませんでした。
むしろ、手順書通りに対応しようとした新人のほうがトラブルを起こしていたため、実態に合った判断のほうが安全で確実だと感じていました。

🔎問題点
・「感じていた」など主観的な語りが中心で、監査視点に求められる客観性・証拠性が欠如している
・「問題がなかった」という結果だけを重視しており、プロセスや統制の仕組みが評価されていない
・手順書と現場運用の乖離が常態化しており、属人依存という重大な統制上のリスクが見逃されている

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社の定型業務では手順書が整備されていたが、実際の運用ではベテラン職員の裁量判断に依存する場面が多く、手順書が参照・活用されていない状況が確認された。
また、手順通りに作業を行った新任者が現場との運用乖離により誤操作を起こす事例もあり、統制手順の実効性に課題があると評価された。

📌この段階での変化
・主語が「現場担当者」から「A社の業務統制」へと転換
・問題の焦点が「対応ミス」から「統制不備・属人化リスク」へ
・判断根拠が「感覚」から「実施状況・証跡確認」へと変化

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
属人的な運用が常態化していた定型業務について、形式上は手順書が整備されていたものの、現場実態との乖離により統制上の再現性や継続性が損なわれていた。
▶︎行動:
・業務記録とヒアリング結果、手順書の改訂履歴を確認し、現場では文書よりも経験則に基づいた対応が優先されている実態を把握
・新任者が手順書に従って業務を行った結果、現場との齟齬による誤操作が発生した事例を確認
・属人依存による業務継続リスクと、手順書の形骸化という二重の問題が内在していると評価
▶︎成果:
・手順書が存在していても実態と乖離していれば統制は無効化されること、再発防止には制度面・教育面の双方からの対応が必要であることを明確化
・是正案として、手順書の定期的な運用レビュー、運用実態の反映、改訂証跡の保存、及び手順教育制度との連動を提言
・これにより、業務の再現性・継続性が確保され、統制の実効性と内部監査可能性が高まったと評価
▶︎ミニ論文例:
A社の定型業務では手順書が整備されていたが、現場ではベテラン職員の経験則に頼る対応が目立っていた。手順書の利用状況や更新履歴、業務証跡などを確認したところ、手順書と実際の運用にずれがあり、形だけの整備になっていると判断した。
また、新任者が手順書通りに作業した際に、現場のやり方と合わずミスが起きており、属人的な運用が業務の質や続くかどうかという点で問題だと考えられる。
そこで、手順書の定期的な見直しと現場のやり方の反映、手順を教える仕組み作り、更新履歴と作業記録の保管といった対策を提案する。
これらの対策によって、業務のやり方が標準化され、担当が変わってもスムーズに引き継げるようになり、業務の流れが分かりやすくなり、監査もしやすくなると期待される。

📌(参考)ミニ論文のベースとなる構文パターン
〇〇業務では△△という形式的統制が整備されていたが、運用実態との間に乖離が存在していた。
このため、業務継続性や統制の再現性に課題があり、現場対応が属人化していた。
私はこれを、証跡(業務証跡・ヒアリング・更新履歴)に基づいて評価し、●●という構造的な是正案を提言した。
結果として、業務の継続性・再発防止体制が強化され、監査人としての評価基準に照らして妥当と判断した。

【Step 4】解説:視座変換のポイント整理(文章形式)
①主語の変化(私→監査人/A社)
 経験談から脱却し、「組織の統制を評価する立場」に切り替えて記述。監査の独立性・中立性が保たれている。

②評価軸の明確化(成功の有無→統制の有効性)
 「トラブルがなかったかどうか」ではなく、「再現性・整合性・実効性」が評価の軸になっている。

③因果構造の明示(原因→影響→評価→是正)
 属人対応→手順書未活用→誤操作→再現性喪失→是正策という因果の流れが示されている。

④是正提案の妥当性と構造性
 再整備・教育連動・証跡保持といった多面的かつ継続的な対策が提示されており、形だけの改善に終わっていない。

⑤語彙と文体の監査的整合性
 「属人化」「再現性」「継続性」「実効性」「統制不備」「証跡」など、試験での加点対象となる語彙が自然に使われている。

☕コラム:システム監査は本当に「客観的」か? ──プロジェクトマネージャ経験者が気づくべき視点の違い

プロジェクトマネージャの皆さんにとって、「私はこう考えた。なぜなら~」という主語ある語りは、行動の責任と論理を結ぶ大切な構文でしょう。提案書や報告書において、判断の理由と実行の道筋を明示することは、説得力を高める技術でもあります。

一方、システム監査の世界では、文体が大きく異なります。監査報告書を初めて読んだとき、なぜこんなにも他人事のように感じられるのか、疑問に思った方も多いでしょう。たとえば監査報告書では「ログを確認した結果、基準への違反が判明したため、是正を提案する」といった具合に、行動→根拠→判断の順で、淡々と記述されることが一般的です。そこに「私はこう思う」といった語りは見当たりません。

しかし、ここで誤解してはならないのは、「主語がない=主観がない」わけではないという点です。
たとえば、「〇〇を確認したところ、△△であることが分かった」という一文にも、実は「何を確認するか」「何を重視するか」という、監査人の判断と視点の選択が含まれています。
監査人がどの記録を取り上げ、どの基準を根拠とし、どの観点で評価するかを選んでいる時点で、実は多くの「判断」が存在しているのです。

この判断には、感情や個人の経験ではなく、組織の健全性を見極めようとする強い問題意識、業務知識、監査経験、法制度への理解など、構造的かつ専門的な思考が求められます。こうした「構造化された主観」こそが、システム監査の本質に他なりません。

監査報告書は客観的に見えるかもしれません。しかしその裏側には、「何を、なぜ評価するか」という静かな意志が通っています。
この違いに気づくことができれば、プロジェクトマネージャとして培ってきた判断力や推進力を、監査的視点で再構築する道が見えてきます。

「行動する責任」から、「評価する責任」へ。
システム監査という視座への架け橋は、文体ではなく、判断の構造にあるのです。

🎯演習2:障害時に現場判断で迅速対応し、復旧できた事例

【Step 1】❌NG例(メンバ視点のまま)
システム障害が発生した際、上長の判断を待っていると復旧が遅れると考え、現場で即座に対応を開始しました。
サーバの再起動と証跡の初期化を行い、短時間で復旧できたため、利用部門からも感謝されました。現場判断で行動したことで、最小限の影響にとどめることができたと思います。

🔎問題点
・障害への「迅速な対応」だけが語られており、そもそも手順や統制の有無が一切考慮されていない
・証跡の初期化など、証跡の消失を引き起こす行為が含まれており、むしろ統制上の重大リスク
・行動の正当性が「感謝された」や「判断が早かった」といった主観評価に依存している

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では障害発生時の対応手順が整備されていたが、現場では手順を経由せず、復旧を優先した独自判断が行われた。
特に、証跡初期化などの操作により、障害原因の特定や証跡の保全が困難になる事象が確認された。

📌この段階での変化
・主語が「自分の行動」から「A社としての手順運用の実態」に
・評価軸が「現場の機転」から「統制手順の逸脱と証跡の欠如」へ
・被害抑制よりも「再発リスク」や「原因分析困難」の観点が強調されている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
障害発生時における現場対応が定められた手順を逸脱して実施された結果、証跡が消失し、原因究明や再発防止策の検討が困難となった。
▶︎行動:
・A社の障害対応マニュアルおよび初動連絡体制について確認したところ、マニュアルの周知状況が不十分であり、現場判断に依存する運用が常態化していた
・障害当該操作のログが初期化されており、復旧操作の経緯が確認できなかった
・ヒアリングにより、再発時の対応にも同様の対応が繰り返されるリスクがあると判明
▶︎成果:
・現場の判断が短期的には影響を抑えていた一方、統制手順を経由しない対応は監査上の重大な欠陥となり得ることを明確化
・是正策として、障害対応手順の再周知、緊急対応時の証跡義務、証跡自動保存設定の導入を提言
・これにより、復旧と統制の両立が可能となり、再発時の監査可能性と再発防止制度の信頼性が確保された
▶︎ミニ論文例:
A社では障害対応手順が整備されていたが、実運用においては、現場の判断で手順を経由せず復旧作業が行われる事例が確認された。特に、障害対応時にサーバを再起動し、ログの初期化を伴う操作が実施された結果、障害の原因究明に必要な証跡が喪失していた。

本監査では、障害対応手順の整備状況および実運用との乖離について、以下の監査手続を実施した。

(1) 障害対応手順および初動対応フローの確認:全社的な障害対応マニュアルおよび緊急対応フローを参照し、対応手順の整備状況と関係部署への周知・教育の有無を確認した。
(2) 操作証跡の確認:障害時に実施された操作ログを確認し、対応内容の記録状況、ログの保存可否、及び証跡が残存しているかを検証した。
(3) 関係者ヒアリング:障害対応を行った現場担当者およびその上長に対し、復旧判断の経緯、対応時の判断材料、及び証跡管理への意識についてヒアリングを実施した。

監査の結果、障害対応マニュアル自体は整備されていたが、現場への周知徹底が不十分であったため、手順を経ずに現場判断で対応が行われたことが確認された。また、障害時の操作によってログが初期化されており、原因分析や再発防止策の策定に必要な証跡が残されていない状態であった。さらに、同様の対応が再度繰り返されるリスクが存在していた。

以上から、障害時の迅速な対応は一定の成果を上げたものの、統制手順を経ない復旧対応は監査上の重大な統制不備であると評価した。

是正策として、以下を提言する。

  • 障害対応手順の再周知と、緊急時における証跡保存義務の明示
  • サーバログの自動保存・非初期化設定の導入、および緊急操作時の事後承認フローの整備
  • 年次での障害対応訓練の制度化と、実践を通じた対応品質と証跡管理の強化

これらの是正策により、今後は障害対応の迅速性と内部統制の両立が可能となり、再発時における監査可能性および再発防止体制の実効性が高まることが期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①行動の評価軸を「機転」から「統制手順の遵守と再発防止」へ
 現場の迅速さは一面であり、組織統制の逸脱としての視点が必要。

②原因分析と証跡保全の視座
 障害対応は「結果」だけでなく、「なぜ起きたか」「どう再防止するか」が問われる。

③是正策が制度設計に昇華されているか
 単に注意喚起するだけでなく、「操作証跡義務」や「自動保存設定」といった制度的対応に落とし込まれている。

④再発可能性の観点
 同様の対応が今後も起きうる、という構造的リスクへの洞察が含まれている。

⑤監査語彙の使用
 「手順逸脱」「証跡消失」「再現性」「監査可能性」など、論文での評価語が自然に活用されている。

☕コラム:紛らわしい頻出表現

📌システム監査技術者試験の特性
システム監査技術者試験では、他の情報処理技術者試験と比較して、用語や表現が特に厳格に求められる傾向があります。その背景には、システム監査の独立性、客観性、専門性といった特性が深く関わっています。

📌用語の混同例
(1)記録:業務上の手続・作業・会議・作成などを後から見返すために残したもの(例:議事録、進捗報告書)
(2)証跡:統制が「機能していた」ことを示す証拠(例:『評価の根拠』となりうるログ、承認記録、作業実施記録)
(3)ログ:システムが自動で記録する操作履歴(例:アクセスログ、操作ログ)
(4)履歴:変更・実施・確認の「経過」を示す連続記録(例:改訂履歴、対応履歴)
(5)対応:現場の行動一般。よく使われるが監査論文では評価対象にならないことが多い
(6)統制:再現性・継続性を備えた仕組み。ルール+運用で構成される
(7)手順:作業の手引書・フロー。整備されているだけでは統制としては不十分
(8)是正策:仕組みや制度を通じた再発防止策。単なる注意喚起や再教育では不十分
(9)規程:全社・部門横断的に定められた統制基準
(10)要領・手順書:規程よりも細かく、現場での実行を支える文書
(11)システム監査人:受験者自身を「システム監査人」または「監査人」であると論文中に書いてよい
(12)システム監査技術者:試験名である。受験者自身を「システム監査技術者」であるとは論文中に書かないこと

📌表現の混同例:論述の構文として誤解されやすい表現
(1)「整備されていた」vs「実施されていた」
 → 整備は形だけ。実施されて初めて統制。証跡が必要。
(2)「ルールがあった」vs「統制が機能していた」
 → ルールが存在しても守られていなければ統制不備。
(3)「教育した」vs「教育したことが確認できた」
 → 教育の証跡(受講者記録・テスト)まで書かないと加点されない。
(4)「対応した」vs「対応が統制に則って行われた」
 → 行動の有無ではなく、仕組みに基づいた再現性が重要。
(5)「問題なかった」vs「問題がなかったことを証跡で確認した」
 → 主観ではなく、第三者評価・監査可能性の視点で書く。
(6)「再発していない」vs「再発しない仕組みが整備されていた」
 → 結果の評価ではなく、再発防止の構造(是正策)を問う。
(7)「私は〜と考えた」vs「監査人として評価した」
 → 主観ではなく、規程・証跡・実態に基づく構造的記述を使う。
(8)「ヒアリングで聞いた」vs「証跡とヒアリングを照合した」
 → ヒアリング単独は弱い。証跡との照合が求められる。
(9)「見た」「確認した」vs「〜をもとに評価した」
 → 単なる事実確認ではなく、そこからの判断・評価まで記述する。
(10)「問題は発生していない」vs「問題が発生しなかった理由を評価した」
 → 状況説明ではなく、その構造的要因と妥当性を問うのが監査論文。
(11)「教育は実施されている」vs「教育が十分に実施されていることを証跡により確認した」
 → 単なる実施の有無ではなく、実効性や網羅性が十分かを評価する。監査では「十分に」という語を通じて、量的・質的な妥当性を暗示的に伝える。

🎯演習3:セキュリティ教育は実施されたが、作業記録を取っていなかった事例

【Step 1】❌NG例(メンバ視点のまま)
年に一度の情報セキュリティ教育は社内で実施しており、全員が内容を理解しているという認識でした。
私は説明担当としてスライドを使って講義を行い、質疑応答も活発だったため、問題ないと判断していました。
受講者名簿などの証跡は取っていませんでしたが、皆出席していたので特に気にしていませんでした。

🔎問題点
・「理解しているという認識」「問題ないと判断した」など、主観評価に依存している
・作業記録や受講記録がなく、教育が実際に行われたことを監査上証明できない
・教育内容の浸透度や継続性の観点が欠如しており、「一回やったから大丈夫」という構えになっている

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では情報セキュリティ教育が年1回実施されていたが、作業記録が残されておらず、受講状況の把握や実施証明が困難であった。
また、内容理解度の評価やフォローアップの仕組みも確認されておらず、教育の実効性に課題があると判断された。

📌この段階での変化
・主語が「私」から「A社としての教育体制」に変更
・問題の所在が「準備・実施」から「実効性・証跡・統制の欠如」へ
・評価軸が「熱心に教えた」ではなく「証跡と仕組みによる再現性」へ転換

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
A社では情報セキュリティ教育を年1回実施していたが、作業記録や受講記録が残されておらず、統制上の再現性や検証性に課題があった。
▶︎行動:
・教育実施の有無と頻度を確認したが、受講者名簿や作業記録、設問回答などの証跡が残されていなかった
・ヒアリング結果から、受講の有無は各部門に任されており、形式上の実施に留まるケースがあることが判明
・教育内容が更新されておらず、最新の脅威やインシデント傾向が反映されていなかった
▶︎成果:
・教育が「やったこと」だけで評価されており、浸透度・習熟度・再発防止効果が十分に検証されていない状態を把握
・是正策として、作業記録の管理、習熟度確認(設問・テスト)、eラーニング導入、未受講者への督促手続などの制度整備を提言
・これにより、教育の実効性と全社統制の一体運用が可能となり、監査可能性と再発防止体制が強化された
▶︎ミニ論文
A社における情報セキュリティ教育は年1回実施されているものの、作業記録の管理体制が不十分であり、教育の実施状況と効果の検証に課題が認められた。
上記を踏まえ、本監査では、情報セキュリティ教育の実施状況について、以下の監査手続を実施した。
(1)作業記録および教育資料の確認:全社的な情報セキュリティ教育に関する過去数年度分の受講者名簿、作業記録、および教育資料を抽出し、その網羅性と適切な保存状況について検証した。
(2)関係部門へのヒアリング:各部門の情報セキュリティ教育担当者に対し、未受講者への対応、受講状況の管理方法、および教育内容の決定プロセスについてヒアリングを実施した。
(3)教育内容の分析:過去数年間の教育資料の内容を比較分析し、最新のセキュリティ脅威や内部不正事例が適切に反映されているか評価した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)一部年度の作業記録が欠落しており、受講履歴の管理体制に不備が認められた。
(2)未受講者への対応ルールが部門に一任されており、全社的な統制が機能していない状況が確認された。
(3)過去3年間ほぼ同一内容であり、新たな脅威や内部不正事例への更新が確認されなかった。

以上の監査結果から、情報セキュリティ教育は実施されているものの、受講状況の把握、教育内容の適切性、証跡管理体制に課題が認められると評価した。
是正策として、eラーニングによる証跡一元化、習熟度テストの導入、教育内容の年次更新手順の整備を提言した。
これらの是正策により、教育の実施状況の可視化と証跡管理の強化が図られ、結果として情報セキュリティ意識の向上と監査可能性の確保に繋がるものと考える。

【Step 4】解説:視座変換のポイント整理(文章形式)
①「やった」ではなく「検証できるか」で評価する
 教育は統制手段の一部であり、「証跡に残る」「定着を測れる」ことが必要。

②全社的統一と継続運用の視点
 部門任せ・属人的運用では統制とは言えない。制度・仕組み・周期性の視点が求められる。

③監査可能性の確保
 後日「いつ誰がどんな内容を受けたか」が確認できるよう、証跡・名簿・テストといった証跡が必須。

④提言が現実的かつ展開可能か
 単なる注意喚起にとどまらず、仕組みによって確実に運用される提案になっている。

⑤統制語彙の明示
 「実効性」「再発防止」「証跡」「属人性」「一体運用」など、論述評価上のキーワードが自然に組み込まれている。

🎯演習4:他部署とファイルをやり取りするために私的アカウントを使っていた事例

【Step 1】❌NG例(メンバ視点のまま)
取引先からの依頼で急ぎのデータ提出が必要になった際、社内システムの容量制限で添付できなかったため、自分の個人Gmailアドレスからファイルを送付しました。
上司には事後報告しましたが、目的は会社のためであり、特に問題にはなりませんでした。

🔎問題点
・目的が正当であればルール違反が許されるという危険な認識が示されている
・「事後報告したから問題ない」という考え方は、予防的統制や内部統制の概念と矛盾
・私的アカウント利用による情報漏洩・不正持出のリスクを全く意識していない
・証跡が残らない経路での送信は、監査不可能な状態の発生を意味する

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では社外とのファイル共有ルールが整備されていたが、運用上は例外的に私的アカウントが使用される事例が確認された。
これにより、情報漏洩のリスクとともに、送付履歴や受領証跡などの証跡が社内に残らない状態が発生していた。

📌この段階での変化
・主語が「私がやった」から「A社において発生していた統制逸脱」に
・行動評価が「柔軟な対応」から「統制不備・漏洩リスクの顕在化」へ
・評価軸が「結果オーライ」から「証跡と統制の欠如」に転換

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
情報共有ルールが整備されていたにもかかわらず、現場対応において私的アカウントが利用されており、統制違反および情報漏洩リスクが顕在化していた。
▶︎行動:
・ファイル送付ルールと利用可能な共有手段を確認したところ、業務用ストレージの容量や制約により、公式経路が使いにくい状況があった
・ヒアリングにより、緊急対応を理由に私的メールアカウントを使用する事例が複数回確認され、送信証跡が社内に残っていないことも判明
・情報の機密区分にかかわらず同様の対応がされていたケースもあり、リスクの重大性が高いと評価
▶︎成果:
・私的手段の使用は、統制設計の不備・運用上の例外処理不在・証跡欠如の3重リスクを内包していることを可視化
・是正策として、社外共有用の専用ストレージの導入、容量制限の見直し、緊急時の例外申請制度と証跡義務の整備を提言
・これにより、柔軟性と統制の両立が可能となり、情報漏洩リスクの低減と証跡整備による監査可能性が向上した
▶︎ミニ論文例:
A社では社内ファイル共有フォルダの運用ルールが整備されていたが、手続の煩雑さや承認遅延が現場の業務遂行に支障を来す状況となっていた。この状況は、情報統制の形骸化および情報漏洩リスクの増大を招く可能性がある。

上記を踏まえ、本監査では、社内ファイル共有フォルダの運用状況について、以下の監査手続を実施した。
(1)共有フォルダ運用ルールの確認:社内規程等に基づき、共有フォルダの階層構造、アクセス権設定手続、および利用ルールを確認した。
(2)PC操作証跡およびヒアリングの実施:従業員のPC操作証跡を分析し、ローカル環境へのファイル保存状況、私的アカウント使用状況を確認した。さらに、社外送付時の申請・承認証跡を照合し、未申請の送信状況を特定した。
(3)情報管理状況の確認:ローカル環境に保存されたファイルの管理状況および正式フォルダへの移行状況について確認した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)共有フォルダの階層が深く、アクセス権の申請に時間を要するなどの運用上の課題が認められた。
(2)複数の従業員が、業務上の利便性を理由に一時的に個人PCにファイルを保存しており、その操作証跡が確認された。
(3)一時的にローカル保存されたファイルが、その後正式なフォルダに再格納されないケースが散見された。

以上の監査結果から、共有フォルダ運用ルールが現場の実態に合っておらず、情報統制が十分に機能していないと評価した。
是正策として、ファイル管理手続の簡素化、アクセス権の即時付与制度の導入、ファイル操作証跡の自動証跡、ローカル保存に対する警告表示機能の導入を提言した。
これらの是正策により、ルールと運用の乖離が是正され、情報統制の強化と情報漏洩リスクの低減が期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①ルール違反=即減点という監査視点
 「仕方なかった」ではなく、「例外発生の構造・誘因」があるかを評価するのが監査人の役割。

②目的の正当性ではなく手段の妥当性
 結果や動機ではなく、「その手段が統制上許容されるか」「代替策が準備されていたか」が論点。

③証跡と証跡の有無を常に問う
 証跡がない行動=監査不能=統制破綻とみなされるリスクの高さを自覚する。

④是正案はルールの強化ではなく、制度と仕組みで運用を支える設計に
 現場の柔軟さを排除するのではなく、「例外を安全に通すルート」を制度化する発想が有効。

⑤漏洩リスク、属人性、横展開可能性といった視座
 単発の事例ではなく、「同様のことが他でも起きうる」という構造的な危機感が含まれている。

🎯演習5:ファイル共有ルールが複雑すぎて、例外的な保存をしてしまった事例

【Step 1】❌NG例(メンバ視点のまま)
社内の共有フォルダは階層が深く、アクセス権の申請も煩雑だったため、急ぎの案件では一時的に自分のデスクトップにファイルを保存して対応していました。
上司も黙認しており、便利なので他のメンバーも同様の運用をしていました。あとで正式なフォルダに移していたので問題ないと思っています。

🔎問題点
・「使いづらいから守らなかった」「あとで移したから大丈夫」という現場都合による統制逸脱の正当化
・ルールが形骸化し、例外対応が常態化しているにもかかわらず危機感がない
・ファイルが一時的に統制外の場所に存在していた事実そのものがリスク(アクセス証跡・変更履歴等も欠如)
・「上司の黙認」は統制破綻のサインとみなされる可能性がある

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では共有フォルダ運用ルールが整備されていたが、実運用では利便性の低さや手続の煩雑さから、個人PCへの一時保存が黙認されていた。
この結果、正式ルートを経由しないファイル保存が常態化し、情報統制が形骸化していた。

📌この段階での変化
・主語が「自分の行動」から「A社における統制の形骸化」に
・行動評価が「柔軟対応」から「統制逸脱の常態化と構造的な問題」へ
・評価軸が「守っていなかった」ではなく「守られにくい設計だった」へと複眼化されている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
共有フォルダ運用に関するルールが存在していたが、設計と現場実態の乖離により、統制が形骸化し、統制外の保存行為が常態化していた。
▶︎行動:
・ルール上の共有手順、アクセス権設定手続、階層構造を確認したところ、実運用において煩雑さや承認遅延が業務上の障害となっていた
・ヒアリングとPC証跡確認により、複数のユーザが一時的にファイルをローカル保存していた実態が確認され、正式な移行がなされていないケースも散見
・「形式的にルールが存在するが運用実態と乖離している」という統制上の重大な欠陥が存在していたと評価
▶︎成果:
・形式的なルール遵守が困難な状況において、現場が自律的に統制外行為を選択する構造的な統制崩壊リスクを可視化
・是正策として、共有階層構造の簡素化、アクセス権即時付与のワークフロー見直し、ファイル操作証跡の自動証跡、私的保存への警告表示機能の導入を提言
・これにより、ルールと実態の整合性が確保され、ルール逸脱の誘因そのものを排除する設計へと転換が図られた
▶︎ミニ論文例:
A社では、社内ファイル共有フォルダの運用ルールが整備されていたが、手続の煩雑さや承認遅延が現場の業務遂行に支障を来す状況となっていた。
監査人として業務証跡、PC操作証跡、ヒアリング結果を確認したところ、複数の職員が一時的に個人PCにファイルを保存して作業していた事実が確認された。
これらの行為は利便性を優先した結果であり、正式ルートへの再格納がなされていないケースも存在していた。
このような状態は、形式的なルールが存在するにもかかわらず、運用が現場実態に合っていないことによる統制機能の喪失を意味しており、組織的なリスクと評価した。
是正策として、ファイル管理手続の簡素化、アクセス権の即時付与制度、保存操作の自動証跡、ローカル保存に対する警告ポップアップ表示機能の導入を提言した。
これにより、ルールと運用の乖離が是正され、統制が現場で自然に守られる設計への転換が実現された。

【Step 4】解説:視座変換のポイント整理(文章形式)
①「守られないルール」こそ統制設計の失敗
 現場が勝手に破ったのではなく、「守れない設計」であれば設計不備として評価される。

②ルール形骸化=統制の崩壊
 形式上存在しているだけのルールでは、証跡性・再現性・監査性が担保できない。

③統制逸脱の「誘因構造」まで掘り下げる
 なぜ例外対応が常態化したのか? 何がそれを誘発していたのか? に言及するのが監査人の視点。

④是正策は「実態に合わせた再設計」へ
 ルールを守れと命じるのではなく、「自然に守られる仕組み」に組み替える提案が評価される。

⑤複数視点(情報漏洩/属人性/証跡不備)の統合
 操作証跡・保存履歴・アクセス権といった複数の監査証拠と制度を統合的に整理して評価している。

🎯演習6:担当者が退職し、引き継ぎ文書がなかったため運用が止まった事例

【Step 1】❌NG例(メンバ視点のまま)
担当していた業務について、以前から属人的な対応が多く、マニュアルが未整備でした。
その後、退職した先輩からの引き継ぎが口頭中心で済まされていたため、後任の自分が内容を把握できず、運用を再開するまでにかなり時間がかかってしまいました。
業務は一時的に止まりましたが、何とか調べながら対応できるようになったので、今は問題なく動いています。

🔎問題点
・「止まったけれど今は動いている」といった表面的な回復=問題解決と誤認している
・文書がなく属人化していたにもかかわらず、統制不備やリスクの自覚が弱い
・「なんとか乗り切った」が評価されるのはPM文脈であり、AUでは仕組みの欠落が本質的な問題となる
・再現性・継続性・教育性といった統制の基本機能が崩壊していた状況を見逃している

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では特定業務のマニュアル整備が行われておらず、担当者の退職に伴い口頭での引き継ぎが行われていた。
その結果、後任者による業務理解と再開に時間を要し、統制上の再現性・継続性に重大なリスクが発生していた。

📌この段階での変化
・焦点が「自分が苦労した」から「属人化による継続性リスクの顕在化」へ
・評価対象が「やり遂げた」ではなく、「統制手段が不在だった」ことへ
・業務停止の“影響”だけでなく、“構造的原因”を重視した視点へ転換されている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
A社の特定業務において、マニュアル整備が不十分なまま担当者が退職し、口頭による引き継ぎのみで対応が行われた結果、業務の再開に大幅な遅延が発生した。
▶︎行動:
・業務手順書の有無と保管状況を確認したところ、作成・更新証跡が一切存在せず、属人対応が継続されていた
・後任者の対応履歴・業務復旧までの作業記録を精査し、復旧までに10営業日以上を要していたことが確認された
・関係部門からのヒアリングにより、同様の状況が他部門にも波及していた可能性が示唆された
▶︎成果:
・統制文書の不在、引き継ぎ体制の未整備、属人化という3つの観点から、統制上の重大な欠陥が可視化
・是正策として、標準手順書の整備と定期レビュー、退職・異動時の引継ぎチェックリスト制度、後任者へのOJT証跡化と進捗報告体制の構築を提言
・これにより、業務の再現性・継続性・教育性が確保され、組織としての統制力が強化されたと評価
▶︎ミニ論文
A社では、特定の業務において文書による業務手順の整備が行われておらず、担当者の退職後、後任者による運用再開に遅延が発生した。この状況は、業務継続性および内部統制の有効性の観点から重大な課題である。

上記を踏まえ、本監査では、当該業務の引継ぎ状況について、以下の監査手続を実施した。
(1)業務手順書および引継ぎ文書の確認:対象業務に関する手順書、マニュアル、引継ぎ文書の有無および保管状況を確認した。
(2)後任者へのヒアリング:後任の担当者に対し、業務引継ぎの状況、理解度、および運用再開までの経緯についてヒアリングを実施した。
(3)関連証跡の確認:業務停止期間、復旧までの作業記録、および他部門への影響について確認した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)当該業務に関する文書化された手順書、マニュアル、引継ぎ文書は存在せず、担当者の知識に依存した運用が行われていた。
(2)口頭による引継ぎのみが行われたため、後任者は業務内容の把握に時間を要し、運用再開までに長期間を要した。
(3)業務停止の影響が、関連する他の業務にも波及した事例が確認された。

以上の監査結果から、業務手順の文書化および引継ぎ体制が不十分であり、業務継続性および内部統制の有効性を損なっていると評価した。
是正策として、手順書の標準整備、異動・退職時の引継ぎ証跡義務化、OJTの作業記録・報告制度の導入を提言した。
これらの是正策により、業務知識の形式知化と属人化リスクの排除が図られ、業務継続性の向上および内部統制の強化が期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①統制文書の不在は「単なる不便」ではなく「組織的なリスク」
 個人が頑張って復旧したでは済まされない。なぜ文書がなかったか、制度として整備されていなかったかが問われる。

②「業務が止まった」=統制の不備が証明された
 一時的な停止で済んだことを喜ぶのではなく、「次はもっと致命的になる」ことを想定して評価する。

③再現性・継続性・教育性という三大統制指標
 このテーマではこの3点をセットで語ることで、監査人としての視座を明確に示せる。

④是正提案は「制度と証跡」に重きを置く
 引き継ぎは精神論ではなく、フォーマット・チェックリスト・報告手順という形式知への落とし込みが重要。

⑤組織横断的視点(他部門にも波及する)
 属人化は1人の問題ではなく、同様の業務構造に横展開されるリスクをもつため、全社的視点での捉え方が必要。

☕コラム:監査手続とは何か?(PM・メンバ視点からの翻訳)

システム監査の論文では、ほぼ間違いなく、「監査手続」について、出題されます。

「監査手続」と聞くと、「何か特別な技法が必要なのでは?」と構えてしまうかもしれません。
しかしその実態は、組織として定めた観点に基づいて、証跡や運用実態を確認・照合することに他なりません。

🔍ポイント1:監査手続=「監査証拠の入手および評価のための具体的な作業」=「規程や基準に基づく第三者的な証跡確認(チェックリスト)」
たとえば、プロジェクトマネージャが成果物レビューや引継ぎ確認を行う場面を思い浮かべてみてください。
監査人の行動も本質的には似ていますが、次のような違いがあります。
・PMやメンバは「自分たちの成果物」や「自部署の運用」を、自分たちで確認する立場です。
・一方、監査人は「他部署の運用」や「組織全体の統制」が、ルールや規程に照らして妥当かを、第三者として評価します。

つまり、「自分たちでやったことを確認する」のではなく、
「誰が、どのように、どんなルールのもとでやっていたのか」を、証跡と運用の両面から照合する作業なのです。

🔍ポイント2:事前に「何をどう確認するか」が決まっている
監査手続では、「このリスクに対して、こういう証跡を確認しよう」という確認項目が、事前に計画されています。
プロジェクトでいう「チェックリスト」や「レビュー観点表」に相当するものです。

たとえば、次のような記述が監査手続になります。
・手順書が整備されているか、その改訂履歴を確認する
・実際の担当者にヒアリングを行い、手順と現場の乖離がないかを確認する
・関連するトラブル証跡を参照し、証跡が活用されていたかを確認する

ちなみに、監査手続は、単なる粗探しではなく、組織の健全性を高めるための建設的な活動で、本来あるべきです。

🔍ポイント3:PMの仕事に当てはめると…
監査手続をPM業務に置き換えると、次のように理解できます。
・成果物レビュー → 成果物の作成日・承認証跡を確認し、所定手順通りに進められたかを検証する
・引継ぎ作業 → 引継ぎ証跡が残されているか、教育履歴や対応完了の証跡があるかを確認する
・サーバ運用 → 証跡の保存期間、削除履歴、確認者の証跡などが残っているかを確認する

✅まとめ:監査手続とは
監査手続とは、「組織として定められた統制観点に基づき、証跡や証跡をもとに、他部門の運用実態を客観的に評価する」ための行動です。
具体的には、以下のような手順を含みます:
(1)関連する規程や手順書の確認
(2)実際の運用証跡や証跡の査閲
(3)関係者へのヒアリング
(4)上記の情報を基にした評価と報告

特に試験論文では、次のような点に注意することが重要です。
・監査手続は、1つ2つで済ませず、原則、3つ以上列挙することで、評価対象に対する網羅性を示します。
・また、確認した対象が「何と照合されているのか」(例:規程/手順書/証跡/証跡/ヒアリング内容)を明確に記述することが求められます。
・「~と判断した」「~と思われる」といった主観的表現は避け、事実確認・証跡の有無を客観的に記述するのが基本です。

この演習以降では、(1)(2)(3)の形式で、監査人が実際にどのような手順で確認を進めていくのかを具体的に示していきます。
チェック観点の数、照合対象の明示、客観的表現──この3点を意識することが、
“なんとなくの確認”ではなく、“論述試験で伝わる監査手続”に昇華させるコツとなります。

🎯演習7:クラウドサービスの利用に際して、規程を知らずに設定変更を行った事例

【Step 1】❌NG例(メンバ視点のまま)
業務効率を上げるため、SaaS型のファイル共有サービスの管理画面からアクセス権の設定を変更しました。
社内で管理者IDを使うことに特にルールはなかったと思っており、便利だったのでそのまま使い続けていました。
後日、情報システム部門から指摘を受け、設定内容を戻しましたが、特に被害もなかったため問題とは感じていませんでした。

🔎問題点
・「特にルールはなかったと思った」という主観的判断で、統制を飛ばしている
・SaaSのように社外リソースを使う場合、統制の責任分界(自社/提供元)が重要だが、それを一切考慮していない
・設定変更=外部との接続条件や閲覧範囲を変更する行為であり、セキュリティ・漏洩リスクの直接的要因
・「被害がなかったから大丈夫」は監査上最も危険な発想

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社ではクラウドサービスの利用規程が整備されていたが、現場では内容が十分に周知されておらず、管理者権限による設定変更が統制外で行われていた。
これにより、外部アクセス設定の変更や証跡未証跡状態が発生しており、監査可能性および情報統制上のリスクが顕在化していた。

📌この段階での変化
・主語が「私が便利だからやった」から「A社におけるクラウド統制の形骸化」に
・評価対象が「行動の是非」ではなく、「規程と運用の整合性」「設定変更の影響」「証跡の欠如」へ
・判断軸が「被害の有無」から「統制の破綻可能性」へ昇華されている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
クラウドサービスに関する管理責任と運用統制が明確に規定されていたが、実態として規程が現場に十分周知されておらず、統制外の設定変更が発生していた。
▶︎行動:
・クラウド利用規程と管理権限の割当制度を確認したが、現場において「管理者IDの利用制限」に関する教育や証跡確認が行われていなかった
・SaaSサービスのアクセス設定が証跡未証跡のまま変更されていた事実をヒアリングと管理画面証跡で確認
・設定変更の影響により、社外アクセス可能な状態が一時的に発生していたことも判明
▶︎成果:
・「規程はあったが運用されていなかった」こと、および「責任分界の意識が現場にない」ことが、クラウド特有の統制不備として明確化
・是正策として、クラウドサービス設定に関する統一手順書の整備、利用権限申請・承認制度、外部アクセス設定の自動通知システム、年次監査項目への追加を提言
・これにより、統制と柔軟性のバランスが確保され、クラウド統制の透明性・追跡可能性が高まったと評価
▶︎ミニ論文例:
A社ではクラウドサービスの利用規程が整備されていたが、現場での管理者権限の取り扱いに関する教育や周知が行き届いておらず、統制外の設定変更が発生していた。本件は、クラウド特有の統制ポイントである「責任分界」と「設定証跡の確保」に課題があると評価される。

上記を踏まえ、本監査では、クラウドサービスの利用状況について、以下の監査手続を実施した。
(1)クラウド利用規程および管理権限の確認:クラウドサービスの利用に関する社内規程、管理者権限の割当状況、および関連する教育証跡を確認した。
(2)設定変更証跡およびヒアリングの実施:クラウドサービスの設定変更証跡を分析し、統制外の変更が行われていないか確認するとともに、関連部署の担当者に対しヒアリングを実施した。
(3)外部アクセス状況の確認:クラウドサービスへの外部からのアクセス設定状況およびその証跡について確認した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)クラウドサービスの管理者権限の取り扱いに関する具体的な教育や周知が十分に行われていなかった。
(2)ファイル共有サービスにおいて、証跡が記録されないまま社外アクセスが一時的に許可される状態が発生していた。
(3)設定変更の理由や承認に関する証跡が残されていなかった。

以上の監査結果から、クラウドサービスの利用における統制が十分に機能しておらず、情報漏洩リスクおよび監査可能性の低下を招いていると評価した。
是正策として、クラウド設定変更に関する統一手順書の整備、アクセス設定時の二重承認の導入、証跡自動保存・通知機能の導入、年次監査での重点項目化を提言した。
この結果、属人判断による統制逸脱を防ぎつつ、クラウド統制の可視性と継続的改善体制の確保が期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①クラウド統制は「内部と外部の境界」に着目
 オンプレとは違い、「社外に何が漏れたか」「設定が外に影響したか」を評価するのが監査人。

②「知らなかった」では済まされない
 統制とは、「誰でも守れるよう設計されていたか」+「その設計が機能していたか」の評価。

③責任分界の意識がなければクラウド運用は危険
 「契約範囲外の操作がどこから発生しうるか」を明確にする視点が求められる。

④是正策は手順・教育・証跡・自動化の4点セット
 ルールを守れ、ではなく「守らせる設計」「逸脱を検知できる仕組み」が必要。

⑤監査項目に昇華する流れを記述
 「この問題を今後どう定期監査に組み込むか」という発展的提言まで踏み込むと高評価。

🎯演習8:現場でシステム改修があったが、開発ベンダとの契約書は未更新だった事例

【Step 1】❌NG例(メンバ視点のまま)
業務改善の一環として、外部ベンダに依頼して既存システムの画面変更と帳票レイアウトの調整を行いました。
前回の契約時と同じ会社だったので、新たな契約は特に交わさず、口頭ベースで進めました。
開発は問題なく完了し、現場でも好評だったため、特にトラブルは起きませんでした。

🔎問題点
・契約が未更新のまま改修が行われたこと自体が、統制の重大な逸脱
・「以前からの取引先なので大丈夫」という発想は、統制ではなく慣習に依存したリスク管理
・契約がなければ、作業範囲・責任・損害賠償の定義が曖昧であり、不備が発生した際の監査可能性がゼロ
・成果が出たことを理由に、プロセスの不備を正当化している点が危険

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では開発委託契約に関する規程が整備されていたが、実態としては契約更新を行わずにシステム改修が実施されていた事例が確認された。
これにより、作業範囲や責任分界が不明確なまま変更が進行し、統制文書不在という重大なリスクが発生していた。

📌この段階での変化
・主語が「私たちがうまくやった」から「A社における契約統制の不在」に変化
・評価の軸が「トラブルがなかった」から「契約がなかったこと自体が問題」に
・統制上の証跡、責任所在、再発リスクという視点が加わっている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
委託契約の未更新状態でシステム改修が実施されており、作業の証跡・責任範囲・証跡が存在しないまま開発が完了していた。
▶︎行動:
・開発証跡・契約書ファイル・発注書控え等を確認したところ、最新の契約締結は前年度であり、今回の作業については一切の文書契約が交わされていなかった
・ヒアリングにより、「前回と同じ業者なので問題ないと判断していた」との証言が複数の部門から確認された
・作業内容も契約書に記載されておらず、障害や仕様不備が発生した場合の責任所在が明確でなかった
▶︎成果:
・委託統制上の文書不備、リスク評価手続の不在、事前承認の逸脱が複合的に発生していたと評価
・是正策として、契約更新管理の自動通知制度、発注内容に基づく契約条件テンプレート化、未契約業務の事前承認プロセス整備を提言
・これにより、再発防止と同時に監査可能性・説明責任・責任分界の明確化が図られた
▶︎ミニ論文例:
A社では、開発委託に関する契約書が整備されていたが、業務改善に伴うシステム改修において、契約更新が行われないまま外部ベンダに作業が依頼されていた。このような状況は、契約統制の形骸化およびリスク管理の不備を示すものである。

上記を踏まえ、本監査では、システム改修における契約管理状況について、以下の監査手続を実施した。
(1)契約関連文書の確認:当該システム改修に関する契約書、発注書、および関連する承認証跡を確認した。
(2)契約更新管理プロセスの確認:契約更新の管理体制およびその運用状況について確認した。
(3)関係部署へのヒアリング:システム改修を依頼した部署の担当者に対し、契約締結の認識および経緯についてヒアリングを実施した。
(4)契約更新未実施案件の確認:管理部門から契約更新が未実施のまま進行した案件リストを入手し、当該システム改修以外の類似事例の有無を調査した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)当該システム改修に関する書面による契約証跡は存在せず、発注内容、責任範囲、納品基準が明確になっていなかった。
(2)同一ベンダとの継続取引という理由で、契約書の再締結が慣習的に省略されている部門が複数存在した。
(3)契約更新の管理プロセスが明確に定義されておらず、自動的な更新通知などの仕組みも存在していなかった。
(4)管理部門から契約更新が未実施のまま進行した案件リストを入手し、当該システム改修以外の類似事例の有無を調査した。その結果、契約更新が未実施のまま作業が進行した事例は、本件以外に確認されなかった。これにより、契約更新プロセスは一般的には遵守されているものの、当該案件が例外的な運用であったことが明らかとなった。

以上の監査結果から、開発委託に関する契約統制が十分に機能しておらず、リスク評価の未実施、文書証跡の不在、監査可能性の欠如を招いていると評価した。
是正策として、契約更新期限の自動通知、契約条件の標準化、未契約業務に関する事前承認制度の導入を提言した。
これにより、継続取引においても統制が有効に機能する体制が整備され、再発防止と責任所在の明確化が期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①「問題がなかった=統制が機能していた」ではない
 問題が起きていなくても、統制手順が実行されていなければ、それは統制不備である。

②契約とは「もしもの時」の準備であり、事後的正当化は通用しない
 契約がない=監査ができない=責任があいまいという三重リスクの本質を明確に評価する。

③継続取引のリスク盲点
 「前回も同じだから省略していい」が常態化していれば、それ自体が全社的な監査指摘ポイントになりうる。

④是正策は制度+自動化+例外処理の構成で
 「ルール強化」にとどまらず、現場で自然に運用される仕組みに昇華させる視点が重要。

⑤文書証跡の整備は監査性の担保
 「誰が、いつ、どの範囲で、どう合意したか」を証跡で説明できるようにしておくことが最大の統制価値。

🎯演習9:証跡が膨大で、確認せずに削除してしまった事例

【Step 1】❌NG例(メンバ視点のまま)
サーバのディスク容量が逼迫していたため、証跡ファイルが溜まりすぎていた古い月のものを削除しました。
特に問題は発生していなかったし、毎月の証跡をすべて見返すこともないので、保存しておく意味はないと判断しました。
削除後もシステムは安定して稼働しており、上司からも特に指摘はありませんでした。

🔎問題点
・「問題が発生していなかったから不要だった」という判断は事後的正当化であり、監査では通用しない
・証跡は「今見るかどうか」ではなく、「後から見られるかどうか」が重要であり、証跡の喪失=統制の崩壊
・削除した行為に対する証跡や承認の有無が語られておらず、属人的な判断による削除となっている
・「容量が足りなかったから削除した」こと自体が、統制設計とインフラの整合性不備を示している

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社ではサーバ証跡の保管方針が明確にされていたが、現場では容量逼迫を理由に証跡が事前承認なく削除されており、統制上の証跡保全に重大な欠陥が存在していた。
これにより、障害・不正発生時の原因特定や監査検証が不可能となるリスクが発生していた。

📌この段階での変化
・主語が「自分の判断」から「A社の証跡管理体制」へ
・評価対象が「証跡を見返すかどうか」ではなく「必要なときに証拠が残っているか」に
・行動の判断基準が「使わないから削除」ではなく「監査上の価値に照らして保全すべき」へ転換

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
サーバ証跡の保管ルールが存在していたが、実際には容量逼迫を理由に現場判断で削除が実施され、統制上の証跡が喪失していた。
▶︎行動:
・証跡管理ポリシーと実際の運用状況を照合したところ、保存期間・保存容量が明文化されておらず、判断が現場に任されていた
・証跡削除の履歴も残っておらず、削除理由・削除者・対象証跡の範囲についての証跡も確認できなかった
・万が一障害や不正が発生していた場合、原因調査・説明責任・再発防止が一切行えない状態だったと評価
▶︎成果:
・統制文書(保存期間・削除条件)が存在せず、属人的な判断により証跡が破棄されていた実態を明確化
・是正策として、証跡保存方針の明文化、容量監視と自動ローテーションの導入、削除時の承認・証跡フローの制度化を提言
・これにより、インフラ設計と統制要件が整合し、証跡が監査資源として継続的に活用可能な状態が確保された
▶︎監査手続
(1)証跡管理方針の確認:サーバ証跡の保存期間、削除条件、および関連する規程を確認した。
(2)証跡削除履歴および設定の確認:サーバ証跡の削除履歴、削除に関する設定、およびアクセス権限について確認した。
(3)障害対応証跡との照合:過去の障害発生時の対応証跡と証跡の保存状況を照合し、証跡が適切に活用されていたか確認した。
(4)削除作業者の権限設定確認:証跡削除を実施した作業者の権限を確認し、証跡削除の権限が適切に設定されているかを検証した。
▶︎ミニ論文
A社では、業務用サーバの証跡ファイルが容量逼迫を理由に現場判断で削除されており、証跡の保全に課題があった。このような状況は、障害発生時の原因究明や不正調査を困難にする可能性がある。

上記を踏まえ、本監査では、サーバ証跡の管理状況について、以下の監査手続を実施した。
(1)サーバ証跡の保存期間、削除条件、および関連する規程を確認した。
(2)サーバ証跡の削除履歴、削除に関する設定、およびアクセス権限を確認した。
(3)過去の障害発生時の対応証跡と証跡の保存状況を照合し、証跡が適切に活用されていたか確認した。
(4)証跡削除を実施した作業者の権限を確認し、証跡削除の権限が適切に設定されているかを検証した。
上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)証跡管理方針の確認:サーバ証跡の保存期間や削除条件に関する明確な方針や規程が存在していなかった。
(2)証跡削除履歴および設定の確認:証跡の削除履歴や削除に関する承認証跡は残されておらず、誰が、いつ、どのような証跡を削除したか特定できなかった。
(3)障害対応証跡との照合:過去の障害対応において、必要な証跡が既に削除されており、原因究明に時間を要した事例が確認された。
(4)削除作業者の権限設定確認:証跡削除を実施した作業者の権限を確認した結果、証跡削除を実行するための権限は、適切な手続きに基づき付与されていることを確認した。また、権限付与の申請・承認記録も正確に証跡されており、不正アクセスや権限の逸脱は認められなかった。これにより、権限管理そのものについては統制が適切に機能していると評価した。

以上の監査結果から、サーバ証跡の管理体制が不十分であり、証跡の喪失および障害対応の遅延を招くリスクがあると評価した。
是正策として、証跡保存条件の明文化、自動保存ローテーション機能の導入、削除時の証跡・承認プロセスの構築、影響分析チェックリストの事前提出義務化、構成変更証跡の自動証跡設定、変更申請のワークフロー強制化、変更リスク評価フォームの整備を提言。これにより、変更リスクが体系的に評価され、再発防止が確実に実現される。
これにより、継続的な監査可能性の確保と障害対応体制の強化が期待される。

【Step 4】解説:視座変換のポイント整理(文章形式)
①証跡の本質は「後から検証できること」
 目の前で使うかどうかではなく、過去の問題が起きたときに「追えるかどうか」が論点。

②削除そのものではなく、「削除に証跡がない」ことが問題
 実施してよい場面もあるが、判断・証跡・承認のプロセスが欠如していれば統制不備と評価される。

③容量逼迫=統制要件に合った設計がなされていないサイン
 インフラ設計(容量)と統制要件(保存)が整合していない点が根本課題。

④是正案はポリシー・自動化・証跡義務の3点で構成
 物理対処(容量拡張)だけでなく、制度設計としての対処が含まれていることが重要。

⑤「見えなくなること」が最大のリスク
 監査人の本質は「見える化」であり、証跡削除は見えなくなる行為=最大の監査阻害要因となる。

☕コラム:監査要点とは?書くべきなのか?

「監査要点って、書いたほうがいいの?」
市販の模範論文を見ていて、そう疑問に思った方は多いはずです。実際、書いてあるものもあれば、全く触れていないものもあります。

結論から言うと:
・「監査要点を書け」と設問に明示されている場合は、必ず書くべきです。
・それ以外の場合、無理に書く必要はありません。代わりに、監査手続の中で十分に観点を網羅していれば、それで評価されます。

📌監査要点とは何か?
監査要点とは、「この監査で、特に何を重視して確認するか」をあらかじめ整理したものです。
いわば、監査人としての“焦点”や“優先観点”を列挙したチェックリストのようなものです。

たとえば、以下のような表現が監査要点になります。
・証跡の保存期間と削除手順の適切性
・障害発生時に証跡が確保されているか
・証跡管理ルールの周知・徹底状況
・削除作業に関する承認・証跡手続の有無
これらはあくまで「何を見ようとしたかの整理」であり、どうやって確認したか(=監査手続)とは別物です。

📌なぜ書かなくてもいいのか?
午後Ⅱの設問は、多くの場合「監査手続」「是正策」を書くことが明示されており、「監査要点を書け」とは指定されていません。
そのため、監査手続で観点が十分にカバーされていれば、要点として箇条書きする必要はありません。

ただし、以下のようなケースでは「監査要点」を軽く書くと効果的です。
・手続が複雑になりそうで、最初に見通しを示したいとき
・設問文に「重点項目」や「着眼点」が含まれているとき
・自分の論述に、焦点があることを明示したいとき

🎯演習9に監査要点を加える場合の例
A社では、業務用サーバにおいて証跡ファイルが容量逼迫を理由に現場判断で削除されており、証跡の保全に課題があった。

本監査では、以下を監査要点として確認した。
・証跡の保存期間と削除条件が規程で定められているか
・削除実施時の承認・証跡手続が存在していたか
・障害・不正対応に必要な証跡が確保可能な状態だったか

これらの監査要点に基づき、以下の監査手続を実施した。
(1)証跡管理方針の確認:サーバ証跡の保存期間、削除条件、および関連する規程を確認した。
(2)証跡削除履歴および設定の確認:サーバ証跡の削除履歴、削除に関する設定、およびアクセス権限について確認した。
(3)障害対応証跡との照合:過去の障害発生時の対応証跡と証跡の保存状況を照合し、証跡が適切に活用されていたか確認した。

このように、要点を冒頭に箇条書きで軽く提示しておくことで、読み手にとって「どこを見ている監査なのか」が明確になります。

✅まとめ
・監査要点は、「特に何を確認したか(焦点)」を簡潔に示すための整理道具です。
・設問で指定されていなければ必須ではありません。
・書く場合は手続との重複に注意し、あくまで“見通し”として整理しましょう。
・手続だけでは焦点が見えにくいとき、または設問文に「重点項目」「着眼点」とあるときに効果的です。

※演習9では監査手続のみで焦点を示す構成を採用しましたが、上記のように「要点つき構成」に切り替えることも可能です。

🎯演習10:現場判断でシステム設定を変更し、影響範囲を把握せず障害を起こした事例

【Step 1】❌NG例(メンバ視点のまま)
夜間バッチの処理時間が長くなっていたため、担当者の判断でシステムのメモリ設定を変更しました。
設定変更後は処理時間が短縮されたのですが、翌朝、他のプロセスが動かなくなり障害が発生しました。
変更内容はすぐに戻して復旧しましたが、事前の影響範囲の確認が足りなかったと反省しています。

🔎問題点
・「改善のつもりだった」「反省している」では監査上の評価は回避できない
・設定変更というシステム構成に関わる行為を、事前承認・影響分析なしで実施したこと自体が重大な統制違反
・復旧できたかどうかではなく、「再発防止の仕組み」「変更管理手続の存在」の有無が問われる
・「誰が、どの変更を、どの目的で、どのように承認・証跡したか」が確認できなければ、監査性が崩壊

【Step 2】ざっくり変換(AU視点を意識した短い修正)
A社では設定変更に関する変更管理手続が整備されていたが、運用現場では手続を経由せずに変更が実施され、事前の影響分析も行われていなかった。
この結果、業務プロセスの一部に障害が発生し、統制上の変更証跡および原因追跡の妨げとなった。

📌この段階での変化
・「判断した」ではなく「統制を逸脱した変更が行われた」と記述
・「結果オーライ」の発想を排除し、「変更管理手続の有無と運用実態」を評価軸に
・構成変更に伴うリスクと、再発防止・証跡の欠如が明示されている

【Step 3】詳細変換(合格論文向けの因果構造つき)
▶︎概要:
設定変更管理手続が整備されていたにもかかわらず、運用現場において承認・証跡を経ずに構成変更が実施され、システム障害が発生した。
▶︎行動:
・監査人として変更管理台帳、申請・承認フロー、変更記録を確認したところ、当該変更に関する証跡が一切存在していなかった
・ヒアリングにより、変更実施者は現場での業務改善の一環として判断したと説明していたが、影響分析や他部門との合意手続は行われていなかった
・障害発生後の調査においても、変更証跡がないため検証に時間を要し、再発防止策の策定が困難であった
▶︎成果:
・変更管理統制が形骸化しており、「証跡されない変更=監査不可能な領域」の存在を明確化
・是正策として、影響分析チェックリストの事前提出義務化、構成変更証跡の自動証跡設定、変更申請のワークフロー強制化を提言
・これにより、構成変更におけるリスク可視化と、再発防止・説明責任の確保が実現された
▶︎監査手続
(1)変更管理手続の確認:システム設定変更に関する規程、申請・承認フロー、および証跡方法を確認した。
(2)変更証跡および関連証跡の確認:問題となった設定変更に関する申請書、承認証跡、および変更証跡を確認した。
(3)障害報告書および復旧証跡の確認:発生した障害に関する報告書、作業記録、および影響範囲について確認した。
▶︎ミニ論文
A社では、システム設定の変更に関して変更管理手続が整備されていたが、運用現場では承認・証跡を経ずに構成変更が実施され、障害が発生した。このような状況は、変更管理統制の不備および業務安定性の低下を示すものである。

上記を踏まえ、本監査では、システム設定の変更管理状況について、以下の監査手続を実施した。
(1)変更管理手続の確認:システム設定変更に関する規程、申請・承認フロー、および証跡方法を確認した。
(2)変更証跡および関連証跡の確認:問題となった設定変更に関する申請書、承認証跡、および変更証跡を確認した。
(3)障害報告書および復旧証跡の確認:発生した障害に関する報告書、作業記録、および影響範囲について確認した。

上記の監査手続に基づき、監査結果として、以下の状況が確認された。
(1)当該システム設定の変更に関する申請書や承認証跡は存在しておらず、現場担当者の判断のみで変更が実施されていた。
(2)変更実施前に、関連するシステムや業務への影響範囲が十分に分析されていなかった。
(3)設定変更後に発生した障害と、変更内容との間に高い関連性が認められた。

以上の監査結果から、変更管理統制が十分に機能しておらず、属人判断による統制逸脱が業務安定性および監査可能性を損なっていると評価した。
是正策として、影響分析の事前提出義務化、設定変更証跡の自動保存、申請・承認フローの標準化を提言した。
これにより、構成変更リスクの可視化と、再発防止および説明責任の確保が期待される体制が構築されたと判断した。

【Step 4】解説:視座変換のポイント整理(文章形式)
①設定変更=統制が試される場面
 現場改善のつもりでも、監査では「統制を経たか」「再現性があるか」で評価される。

②結果ではなくプロセスの適正性が評価される
 復旧できた/できなかったではなく、「手順に則って行動したかどうか」が本質。

③証跡されていない=監査不能=統制の破綻
 変更証跡がなければ再発防止も説明責任も果たせず、内部統制上の重大な欠陥となる。

④是正策は「変更=証跡が必ず残る仕組み」に
 証跡の自動証跡、変更の事前申請・承認ワークフロー化が最低限の土台。

⑤トレーサビリティと影響分析の統合
 変更内容、影響範囲、対応部門をひと目で把握できる管理体制にすることで、再発防止と統制透明性が両立できる。

☕コラム:監査手続と監査結果の未来形、過去形について

・監査手続: 監査人がどのような手順で証拠を収集・確認したかを記述します。これは、監査の過程における具体的な行動を示すものであり、原則として過去形(「~した」)で記述します。なぜなら、事例は監査が実施され、証拠が得られている状況を前提としているためです。
・監査結果: 監査手続を通じて判明した事実や、それに基づいた監査人の評価を記述します。監査手続が完了した後に記述されるため、こちらも過去形(「~した」)を用いるのが自然です。

ただし、論文試験においては、設問の意図や記述の文脈に応じて表現を使い分ける必要があります。
・監査結果の記述が要求されていない場合: 設問が「どのような監査手続を実施すべきか」という計画段階や提案段階に焦点を当てている場合は、未実施とみなし、「~する」という未来形や提案形の記述が適切です。なお、午後Ⅱ試験では設問文で「監査結果」を求められていない限り、原則として「どのような監査手続を実施すべきか」が問われており、その場合は提案形や未来形(~する)が適切です。
・監査結果の記述が要求されている場合: 監査手続は完了しているため、「~した」という過去形で記述します。その上で、得られた事実に基づいて監査結果を記述します。なお、本番では設問で要求されていない「監査結果」などを勝手に書くと、減点されるので注意しましょう。

🚀おわりに

システム監査技術者試験の論述は、行動や経験を語る場ではありません。
「なぜ統制上の問題があったのか」「なぜそれが再発防止にならなかったのか」といった、全体統制の構造や、監査人としての独立した視座からの評価が求められています。

この演習を通じて、「あ、これまでの自分の経験でも、監査人として評価できる視点があるんだな」
「こう書けば、“監査”として構造的に伝えられるんだな」と、視座の違いに気づく瞬間がきっと訪れるはずです。

その一つ一つの視座の切り替えが、あなた自身の“評価力”と“是正提案力”として形になっていきます。

難しく考えすぎず、まずは一つの題材から振り返ってみてください。
その積み重ねが、「語れる自分」から「評価し、構造で示せる自分」への道をひらいてくれるはずです。応援しています。

……この教材を書いた私自身、プロジェクトマネージャ試験には合格していますが、システム監査技術者試験にはまだ合格していません。実は昨年、一度チャレンジしました。しかしそのときは、「自分がどう動いたか」を中心に書いてしまい、監査人として求められる視座を十分には表現できなかったことを、今ならはっきりと認識できます。

今年、私は2回目の挑戦として、これらの視座変換演習を繰り返しながら、「ようやく監査人としての構造が伝わる論文になった」と感じられる形に仕上げたと感じています。

いま、あなたが取り組もうとしている論述が、“評価される構造”へと昇華していくように。
その願いを込めて、この教材を編み上げました。

ℹ️補足

本教材は、「システム監査人としての評価・是正・統制の視点を持つ」ための視座変換訓練に特化しています。
より本格的な論述力の強化や、リスク評価・証跡管理・統制設計の妥当性判断といった監査論文に必要な高度な記述技術については、別教材にて展開予定です。

「書けるようになったあと」に、さらにどこを磨けば“監査人として伝わる論述”になるのかを考えるための土台として、本教材を活用いただければ幸いです。

また、本教材は執筆時点で筆者自身がシステム監査技術者試験に合格していない段階で作成されたものです。
そのため、一部に不正確な解釈や誤謬が含まれている可能性があります。
お読みいただいた皆様からのご指摘・ご助言をいただけますと幸いです。

合格後には、あらためて全体を点検・再構成し、より完成度の高い教材としてリライトを行う予定です。