基本情報技術者 2012年 秋期 午前（科目A） 問58

リスクアセスメントに基づく監査対象の選定【午前2 解説】

要点まとめ

• 結論: 監査対象は、リスクアセスメントに基づき「問題発生の可能性」と「影響の大きさ」が高いシステムを優先して選定すべきです。
• 根拠: 有限の監査資源を最も重大なリスクに集中させることで、組織全体のリスク低減効果と監査効率が最大化されます。
• 差がつくポイント: 無作為抽出や稼働順序ではなく、発生確率と影響度の積（リスク値）で優先順位を付けることを理解しているかが合否を分けます。

正解の理由

よくある誤解

• 「無作為抽出＝公平」は誤り：無作為抽出は統計的評価や抽出の公正性には有効ですが、リスクが偏在する監査では重要なリスクを見逃す可能性があります。
• 「稼働順や実施可能性を優先」は誤り：監査計画で実務上の制約を考慮することは必要ですが、優先順位の基本はリスク評価であり、これを理由に重要システムを後回しにしてはいけません。

解法ステップ

1. 問題文のキーワードを確認：「リスクアセスメントに基づく」→リスクベースの選定を意味する。
2. 各選択肢とリスクベースの定義を照合する：「発生可能性」「影響度」「優先度」などが含まれているかをチェック。
3. 実務的な観点で除外：稼働順や実施可能性、無作為抽出はリスクベースの優先順位決定には該当しないと判断する。
4. 正答を決定：リスクの発生確率と影響度を基準にした選択肢を選ぶ。

選択肢別の誤答解説

• ア: 運用開始時期の順に、全てのシステムを対象とする。
  問題点：運用開始時期で並べることはリスク評価とは無関係で、重要度の高いものを優先できません。全てを対象にするのは現実的でなく効率的でもありません。
• イ: 監査実施体制を踏まえて、実施可能なシステムを対象とする。
  問題点：実施可能性は計画上の制約として考慮する項目ですが、監査対象の「優先順位基準」そのものにはなりません。リスクが高い対象を優先する原則と異なります。
• ウ: 無作為に抽出したシステムを対象とする。
  問題点：無作為抽出はサンプリング手法として有効な場面がありますが、リスクが偏在している場合は重要リスクを見落とすリスクがあります。リスクベースド監査の観点では不適切です。
• エ: 問題発生の可能性とその影響の大きなシステムを対象とする。
  解説：リスクアセスメントの基本（発生確率×影響度）に基づいて監査対象を選定する点で正解です。限られた監査資源を有効配分できます。

補足コラム

FAQ