4月に入りましたが、あまりペースは上がっていません。とりあえず午後1は予定していた3年分を終えました。午後1の問題文は、前半にテーマ対象のシステムや業務の説明があり、後半に監査の説明があるという構成です。前半では各リスクとそれに対するコントロール、後半ではそのコントロールの有効性を確認する監査要点と、証拠を得るための監査手続きを考えることになります。監査に関する部分は、ある程度監査のやり方を暗記しておいたほうが良いですね。一般的想像に基づいても何とかなるかもしれませんが、やはり危ういです。
もう一点感じた点は、監査要点として着目したリスクが、リスクとして残存しているか、あるいは対策によって解決済みなのかは、分からないということです。問題文にリスク対策が書かれていないと、リスクが残存しているように感じますが、それは予備調査段階では分からないから、何も書かれてないのです。なので、対策が書かれていない=リスク対策がないではなく、対策の有無を確認するのが監査なのです。言われてみれば当たり前なのですが、他の試験区分(セキュリティスペシャリストとか)に慣れていると、意外と勘違いしてしまうポイントかもしれません。自分も解き初めのころは、誤って捉えていました。
午後2はテキストでサンプル論文をようやく読み始めたところです。最低1回くらいは、論文演習しないとマズイですね。午前2はテキストを読んだきり演習をこなしていないので、午前2を3年分解くつもりです。