戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2023年 春期

情報処理安全確保支援士試験 2023年 春期 午前225

システム監査基準(平成30年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
情報システムリスクの大小にかかわらず,全ての監査対象に対して一律に監査資源を配分する。
情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。(正解)

解説

システム監査基準における「リスクに基づく監査計画(リスクアプローチ)」は、監査の効果と効率を高めるために、監査対象となる情報システムのリスク状況に応じて監査資源を適切に配分し、重要なリスク領域を重点的に監査する方法です。

各選択肢の解説

  • ア: 監査リスクを完全に回避する監査計画を策定する。
    監査リスク(監査によって重要な不備を見逃すリスク)を「完全に」ゼロにすることは現実的に不可能です。監査資源は限られているため、リスクをゼロにすることを目指すより、合理的にリスクを低減し、重要度に応じた監査を行うことが求められます。
  • イ: 全ての監査対象に対して一律に監査資源を配分する。
    リスクベース監査の考え方に反します。情報システムのリスクの大小に応じて重点的に監査資源を配分しなければ、効率的かつ効果的な監査ができません。
  • ウ: 情報システムリスクは、「情報システムに係るリスク」と「情報の管理に係るリスク」の二つに大別されることに留意する。
    これはリスクの分類の一例に過ぎず、リスクアプローチの本質的なポイントではありません。監査計画で必要なことは、リスクの動的な特性や変化に対応することです。
  • エ: 情報システムリスクは常に一定ではないことから、リスクの特性の変化及び変化がもたらす影響に留意する。
    これがリスクアプローチの要点です。情報システム環境は技術の進展や業務環境の変化により常に変動するため、その変化に伴ってリスク評価も見直す必要があります。変化を把握し、監査計画に反映させることで、より適切な監査が可能になります。

まとめ

リスクベース監査の計画策定では、情報システムリスクが時間とともに変化することを念頭に置き、その動的な性質と影響を考慮しなければなりません。これにより、限られた監査資源を効率的に使い、重要なリスクに対して適切な監査を行うことが可能になります。従って、正しい選択肢は です。
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ