応用情報技術者 2010年 春期 午前2 問58
問題文
リスクアセスメントに基づく監査対象の選定として、適切なものはどれか。
選択肢
ア:運用開始時期の順に、すべてのシステムを対象とする。
イ:監査実施体制を踏まえて、実施可能なシステムを対象とする。
ウ:無作為に抽出したシステムを対象とする。
エ:問題発生の可能性とその影響の大きなシステムを対象とする。(正解)
リスクアセスメントに基づく監査対象の選定【午前2 解説】
要点まとめ
- 結論:監査対象は「問題発生の可能性と影響が大きいシステム」を優先的に選定すべきです。
- 根拠:リスクアセスメントはリスクの大きさを評価し、重要度の高い対象に資源を集中させる手法だからです。
- 差がつくポイント:単に順番や無作為抽出ではなく、リスクの観点から優先順位をつけることが監査の効率と効果を高めます。
正解の理由
選択肢エは「問題発生の可能性とその影響の大きなシステムを対象とする」とあり、リスクアセスメントの基本である「リスクの大きさ(発生確率×影響度)」に基づいて監査対象を選定しています。これにより、限られた監査リソースを最も重要な部分に集中でき、効果的な監査が可能となります。
よくある誤解
監査対象をすべてのシステムや無作為に選ぶことが公平であると誤解しがちですが、リスクに基づく選定が監査の本質です。
解法ステップ
- リスクアセスメントの目的を理解する(リスクの大きさを評価し優先順位をつける)。
- 監査対象のシステムの問題発生可能性と影響度を評価する。
- 評価結果に基づき、リスクが高いシステムを優先的に選定する。
- 監査実施体制や運用開始時期は考慮するが、主な選定基準ではないことを確認する。
- 選択肢の中でリスクに基づく選定を示すものを選ぶ。
選択肢別の誤答解説
- ア: 運用開始時期の順にすべてのシステムを対象とするのは効率的でなく、リスク評価を無視しています。
- イ: 監査実施体制に合わせるのは実施可能性の観点ですが、リスク評価が優先されるべきです。
- ウ: 無作為抽出は公平性はありますが、リスクの大きさを考慮しないため監査効果が低下します。
- エ: 問題発生の可能性と影響の大きなシステムを対象とし、リスクアセスメントの本質に合致しています。
補足コラム
リスクアセスメントは「リスク=発生確率×影響度」で評価し、監査や対策の優先順位を決める重要な手法です。監査では限られたリソースを効率的に使うため、リスクの高い部分に注力することが求められます。
FAQ
Q: なぜすべてのシステムを監査しないのですか?
A: 監査リソースは限られているため、リスクの高いシステムに集中し効率的に監査を行う必要があります。
A: 監査リソースは限られているため、リスクの高いシステムに集中し効率的に監査を行う必要があります。
Q: 無作為抽出はなぜ適切でないのですか?
A: 無作為抽出は公平性はありますが、リスクの大きさを考慮しないため重要な問題を見逃す可能性があります。
A: 無作為抽出は公平性はありますが、リスクの大きさを考慮しないため重要な問題を見逃す可能性があります。
関連キーワード: リスクアセスメント、監査対象選定、リスク評価、監査効率、発生確率、影響度
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!