#1 システム監査技術者を勉強してみる。

　システム監査技術者の勉強を今日から初めてみようと思います。昨年の秋に情報処理安全確保支援士の試験に合格した経験があるので、今回の勉強もそれほど苦労することはないだろうと考えていますが、どうなるでしょうか。今回は新しいアプローチとして、システム監査基準というこの資格の参考文献に当たるものから直接学習してみることにしました。これまでは資格用の参考書を中心に勉強してきたので、こういったそもそもの基準をしっかり読み込むのは初めての試みです。
　個人的な考えですが、資格試験というのは詳細をあまり覚えている必要はなく、よく出るところであったり、そのエッセンスが理解できればほとんど良いものだと思っているので、元の基準を読み込んでみてどれだけ役に立つのかという検証も自分の中で兼ねています。

もう一つ新しい試みを。それは音読してみるということです。バカがやる勉強法っぽいのですが、案外ばかにできないのではないかと。
どうしてかというと音読すると否が応でも文字を読み飛ばすことができないからです。黙読の場合はわからない用語などがあるとなんとなく読み飛ばしてしまい、結局最後までその意味を理解できないことが多々あります。音読であればそういったことが解消できるのではないかという目論見があります。
もちろん小学生みたいに読んでいたらいつまで経っても終わらないのでボソボソと音読している風でほぼ黙読に近いスピードで読んでいます。

システム監査の内容だけでなく、そういった勉強方法もアウトプットできれば。

以下、システム監査基準の基準６までを読んだ際のメモを整理してみました。主に知らなかったことを書いています。

1. スリーラインズモデル: 内部監査協会が発表しているようです（そもそもここがどういうものなのかが現状理解できていません）。ネットで概要を確認しましたが、出てくる図と３本のラインの関係性がいまいちわからず。おそらく海外のものを翻訳しているせいで、どこの記述も違和感のある文章になっていて、理解させる気がないものばかり。これに関してはさらなる調査と理解が必要。

2. プロセスオーナー: 現場部門との関連性があるようですが、この用語自体が聞き慣れないため、何回も繰り返し触れて定着するように。出てきてわからなかったらちゃんと振り返って意味を理解する。

3. システム監査におけるリスク: これまでの概念とは異なり、脅威に関連するリスクだけでなく、システム導入により得られるはずの利益が得られないというリスクも考慮されています。この視点は重要であり、理解を深める必要があります。まだまだ理解が足りない部分としてガバナンスなどの視点も理解する必要がありそうな気がしています。

これらのメモをアウトプットすることで、さらに深い理解を得るために努力していきます。特に、原文に直接触れることで新たな気付きや理解を深めることができると期待しています。
どうなることやら。