情報処理安全確保支援士試験 2023年 春期 午前2 問25
システム監査基準(平成30年)に基づくシステム監査において,リスクに基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
イ:情報システムリスクの大小にかかわらず,全ての監査対象に対して一律に監査資源を配分する。
ウ:情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
エ:情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。(正解)
解説
システム監査基準(平成30年)に基づくリスクに基づく監査計画の策定【午前2 解説】
要点まとめ
- 結論:リスクアプローチでは、情報システムリスクの変化とその影響を常に考慮することが重要です。
- 根拠:システム監査基準はリスクの動的な性質を踏まえ、監査計画の柔軟な見直しを求めています。
- 差がつくポイント:リスクを固定的に捉えず、変化に応じた監査資源の配分や重点化ができるかが合否を分けます。
正解の理由
選択肢エは「情報システムリスクは常に一定ではないことから、リスクの特性変化及びその影響に留意する」と述べており、システム監査基準のリスクアプローチの本質を正確に捉えています。リスクは時間や環境の変化により変動するため、監査計画もこれに応じて柔軟に対応する必要があります。これにより、監査の有効性と効率性が高まります。
よくある誤解
監査リスクを完全に回避しようとするのは現実的でなく、リスクの変化を無視して一律に監査資源を配分するのも非効率です。リスクの動的管理が重要です。
解法ステップ
- システム監査基準のリスクアプローチの基本を理解する。
- リスクは固定的ではなく変化することを認識する。
- 監査計画はリスクの特性変化に応じて見直す必要があることを確認する。
- 選択肢の中でリスクの変化に言及しているものを選ぶ。
選択肢別の誤答解説ステップ
- ア: 監査リスクを完全に回避することは不可能であり、現実的な監査計画ではありません。
- イ: リスクの大小を無視して一律に資源配分するのは非効率であり、リスクアプローチの趣旨に反します。
- ウ: 情報システムリスクの分類は重要ですが、リスクの変化に留意する点がより本質的です。
- エ: リスクの変化とその影響に留意する点がリスクアプローチの核心であり正解です。
補足コラム
システム監査基準では、リスクアプローチを採用することで、限られた監査資源を効率的に配分し、重要なリスクに重点を置いた監査を実施することが求められています。リスクの特性は技術の進展や業務環境の変化により常に変動するため、監査計画は定期的に見直す必要があります。
FAQ
Q: なぜ監査リスクを完全に回避できないのですか?
A: 監査リスクは監査の性質上、全ての不備を見逃さずに検出することは困難であり、一定のリスクを許容しつつ監査を行うためです。
A: 監査リスクは監査の性質上、全ての不備を見逃さずに検出することは困難であり、一定のリスクを許容しつつ監査を行うためです。
Q: リスクアプローチで重要なポイントは何ですか?
A: リスクの特性や影響の変化を把握し、それに応じて監査計画や資源配分を柔軟に調整することです。
A: リスクの特性や影響の変化を把握し、それに応じて監査計画や資源配分を柔軟に調整することです。
関連キーワード: システム監査基準, リスクアプローチ, 監査計画, 情報システムリスク, 監査リスク