システム監査技術者 試験対策完全ガイド
システム監査技術者(AU)は、情報システムのガバナンス・リスク管理・内部統制を評価する専門家の資格です。午後IIは「監査人として実際に監査を実施した経験」が問われます。
本記事は 過去問AI が独自にまとめた学習ガイドです。試験要項の最新情報は必ず IPA 公式ページ で確認してください。
AU試験の概要
システム監査技術者試験は午前I・午前II・午後I・午後IIの4段階で、合格率は13〜16%。合格者はシステム監査・IT統制評価の専門家として活躍します。
監査人の視点とは何か
AU試験の根幹は「監査人の独立性と客観性」です。
監査人が問うべき3つの問い:
- 何が守られるべきか(リスクの特定)
- それが実際に守られているか(統制の評価)
- 守られていない場合にどう改善すべきか(勧告と追跡)
この視点を論文全体に貫けるかが合否を分けます。
午後IIの論文構成
字数の目安:
- 設問ア(監査の目的・対象・背景):600〜800字
- 設問イ(監査手続と重要な発見事項):1,600字前後
- 設問ウ(監査結果の評価・改善勧告の追跡):600〜800字
頻出テーマ別論文の書き方
テーマ1:情報セキュリティ監査
設問ア:セキュリティインシデントリスクの高まりを受けた監査の必要性
設問イ:
- アクセス権限管理の監査(最小権限原則の適用状況・棚卸し頻度)
- パッチ管理・脆弱性対応の監査(適用状況の追跡)
- インシデント対応手続きの整備状況の確認
- ログ管理・証跡の保全状況の評価
設問ウ:指摘事項の重大性評価。改善勧告の実施状況の追跡結果
テーマ2:クラウドサービス利用の監査
設問ア:クラウド移行に伴うリスク(データ所在・SLA・コンプライアンス)
設問イ:
- クラウドサービス選定プロセスの評価(セキュリティ要件・SLA確認)
- データガバナンス(暗号化・アクセス制御・データ分類)の監査
- クラウドベンダーのSOC2レポート活用状況の確認
- マルチクラウド環境における統制の一貫性評価
設問ウ:クラウド統制の成熟度評価。ベンダー依存リスクの改善勧告
テーマ3:AI利活用の監査
設問ア:AIシステム導入における新たなリスク(モデルの説明責任・バイアス・判断の透明性)
設問イ:
- AI開発プロセスの監査(学習データの品質管理・偏りの検証)
- AIの意思決定への人間の関与度合いの評価
- AI運用後のパフォーマンス監視体制の確認
- AI利活用に関するガバナンス体制(AI倫理委員会等)の評価
設問ウ:AI利活用リスク管理の改善点の評価と次年度の監査計画への反映
監査視点の習得方法
「問い」の癖をつける
日常業務でも「このプロセスは本当に統制されているか」「リスクはどこにあるか」と問う習慣を持つことが、監査人思考の訓練になります。
システム監査基準・情報セキュリティ管理基準の理解
IPAが公開している「システム監査基準」「情報セキュリティ管理基準」は論文で引用できる公式文書です。主要な基準番号と内容を把握しておくと論文の説得力が増します。
午後I問題で監査手続の型を習得
午後I問題は「監査証跡・監査手続・統制評価」の問いが中心です。過去5年分を解くことで「監査人が何を確認するか」のパターンが身につきます。
AIコパイロットでの活用法
- 「クラウド監査の監査手続を5つ具体的に列挙して」
- 「この論文の設問イで監査人の独立性が不足している箇所を指摘して」
- 「AI利活用監査で使えるリスクと統制の組み合わせを教えて」
まとめ
- 監査人の3視点(リスク特定・統制評価・改善勧告)を論文に貫く
- 頻出テーマ(セキュリティ監査・クラウド監査・AI監査)で草案を作る
- システム監査基準・情報セキュリティ管理基準を参照する習慣
- AIコパイロットで論文の監査視点の弱点を補強する