今年度改訂が予定されている、システム監査基準とシステム管理基準の案に対するパブリックコメントの結果が公表されています。
パブリックコメント:結果公示案件詳細|電子政府の総合窓口e-Gov イーガブ
システム監査基準だけで110件もの意見があったようです。
文章の「てにをは」などの指摘も多数含まれていますが、個人的に気になる意見があったのでブログします。
その内容は次のとおりです。
「システム監査技術者試験」に合格しただけで監査の実務や継続学習をしていないペーパードライバーではシステム監査の実務を行う適任者とは考え難い。
これはシステム監査基準(案)の次の記述に対するものです。
システム監査人に求められる基本的な知識・技能を習得するためには、システム監査技術者、CISA(公認情報システム監査人)等の試験や CSA(公認システム監査人)の認定制度の活用も考えられる。システム監査に関する一定の専門的知識・技能を有することを認定された試験合格者がシステム監査を実施することは、システム監査の信頼性を担保することにもつながる。
システム監査基準(平成30年4月20日)より引用
試験合格で認定されるシステム監査技術者が、実務経験を要件とするCISA(公認情報システム監査人)およびCSA(公認システム監査人)とほぼ同列に書かれています。
このため、CSAを認定する団体が、システム監査技術者と同列にするなと指摘しているようです。
これに対して、経済産業省は意見に対する考え方として次のとおり答えています。
御指摘を踏まえて、公認システム監査人についての記載を追記いたします。
システム監査技術者の試験合格だけではペーパードライバーであると認めたのでしょうか?
ここで、システム監査技術者の試験内容を考えると、論文試験では「あなたが携わったシステム監査」について論述することが求められています。
であるならば、試験合格者はシステム監査の経験者であることを前提としているといえます。
しかし、実態としては学生でも合格するケースがあります・・
このような状況を踏まえると、システム監査技術者を含めた高度情報処理技術者試験の矛盾が顕在化してきているように感じます。
特に論文区分は「あなたの経験と考えに基づいて」ということが問題文から指定されています。
別区分の情報処理安全確保支援士についても、情報セキュリティサービス基準で実務経験が要件とされるCISSPと同列に書かれています。
これについても、同じような指摘がされるのではないでしょうか。
やはり、実務経験を要件としなければ使える人材を認定する資格として認知されることは難しいと考えます。
次の情報処理技術者試験の改訂では、実務経験が認定要件となるのではと思う今日この頃です。
コメント
学生が合格したケースは、大学院に入学しなおしたケースだけだった記憶があります。
そして、過去に数えるほどしかありません。
基本的に実務未経験とわかる場合、論文説得力無しと判断し不合格になっているハズです。建前上、未経験でも受験できるように受験資格が廃止されているだけです。
なぜならば、書類の確認業務を省くためというのを聞いたことがあります。
私はこのような統一評価とならないので反対しましたが、会計士より難しい資格を生意気と見た財務省と金融庁による俗に言う「ご刷新送り」に合った資格の一つであります。診断士、や技術士も、そして司法試験ですら刷新と称した簡易化工作にあってますよね。一部の人材が着服目的に行う社会評価を落とす目的の刷新は許されないのでそこを責めていくべきです。
公認システム監査人=CSAは、システム監査技術者試験の合格が受験資格の一つとなっており、システム監査技術者試験合格時点では、公認システム監査人補=ASAとして定義されています。
ただし、CSAは、システム監査技術者以外からもステップアップすることが可能であり、情報セキュリティに関する高度試験、技術士=PE、中小企業診断士、公認会計士=JPCPA、公認情報システム監査人=CISAなどからも試験を受けることが可能のために、彼らからするとシステム監査技術者を受けるよりCSAを受ける方がより取得しやすいという考えもあるそうです。
まず、おおもとを考えると、システム監査技術者の育成のために作られた制度なので、会計士や中小企業診断士などシステム監査の専門知識が殆ど無い人がAU試験より簡単に取れてしまうことはいささか問題があるように思います。