情報処理安全確保支援士 2025年 秋期 午前2 問25
問題文
システム監査基準(令和5年)に基づくシステム監査において、リスク評価に基づいた監査計画の策定で考慮すべき事項として、適切なものはどれか。
選択肢
ア:監査対象の不備を見逃して監査の結論を誤る監査リスクを完全に回避する監査計画を策定する。
イ:システム監査におけるリスク・アプローチでは、各監査対象に対して均等に監査資源を配分する。
ウ:システム監査に係るリスクのうち、監査対象に対するリスクは、統制リスクと残存リスクの二つに大別される。
エ:組織体内外の環境変化によってリスクが相当程度変化した場合には、監査計画の見直しを検討し、必要に応じて変更する。(正解)
##: リスク評価に基づく監査計画の考慮事項【午前2 解説】
要点まとめ
- 結論:監査計画はリスク評価に基づき、組織の内外環境が変化したときには再評価して必要な変更を行うべきです。
- 根拠:リスク・アプローチでは監査資源をリスクの大小に応じて配分し、環境変化があれば計画の見直しを行うことが基準で求められます。
- 差がつくポイント:監査リスクは完全に回避できず、均等配分やリスク分類の過度な単純化は実務上誤りである点を理解すること。
正解の理由
正解: エ
システム監査基準(令和5年)は、リスク評価に基づく監査計画の策定と、その継続的な見直しを求めています。組織の内外環境(業務プロセス、法規制、技術、脅威状況など)が相当程度変化した場合、当初のリスク評価が無効化または不十分になるため、監査計画を再評価し、必要に応じて範囲や資源配分を変更することが適切です。したがって「環境変化があれば監査計画を見直す」という選択肢は基準に即した適切な考慮事項です。
システム監査基準(令和5年)は、リスク評価に基づく監査計画の策定と、その継続的な見直しを求めています。組織の内外環境(業務プロセス、法規制、技術、脅威状況など)が相当程度変化した場合、当初のリスク評価が無効化または不十分になるため、監査計画を再評価し、必要に応じて範囲や資源配分を変更することが適切です。したがって「環境変化があれば監査計画を見直す」という選択肢は基準に即した適切な考慮事項です。
よくある誤解(2〜3 行)
監査リスクをゼロにできると考えるのは誤りで、合理的保証を目指すのが監査の目的です。
リスク・アプローチは均等配分ではなく、リスクに応じた重点配分が原則です。
リスク・アプローチは均等配分ではなく、リスクに応じた重点配分が原則です。
解法ステップ(番号付きリスト)
- 問題文のキーワード(リスク評価、監査計画、環境変化)を確認する。
- 「リスク・アプローチ」の基本を思い出す(リスクに応じた資源配分・継続的評価)。
- 各選択肢が基準の原則に合致するかを照合する(完全回避/均等配分/リスク分類の妥当性)。
- 合致するのは「環境変化時の見直しを検討・必要なら変更する」旨の選択肢であることを確認する。
- 正解を選び、他選択肢の論理的誤りを確認して理解を深める。
選択肢別の誤答解説
- ア: 監査リスクを完全に回避するという発想は誤りです。監査は合理的な保証を提供するもので、リスクを低減させるがゼロにすることは現実的でありません。
- イ: リスク・アプローチではリスクの大小に応じて監査資源を重点配分します。均等配分は非効率であり、基準に反します。
- ウ: 監査対象に対するリスクを「統制リスクと残存リスクの二つに大別する」という表現は単純化しすぎです。一般に内在リスクや検出リスクなど複数の観点があり、状況により分類は異なります。
- エ: 組織体内外の環境変化によってリスクが相当程度変化した場合には、監査計画の見直しを検討し、必要に応じて変更する。 — これはリスク評価に基づく監査計画の基本的な考え方に合致し、正解です。
補足コラム(関連知識など)
- リスクの分類例:内在リスク(inherent risk)、統制リスク(control risk)、検出リスク(detection risk)、残存リスク(residual risk)。監査ではこれらを踏まえ、どのリスクを低減・評価するかを明確にします。
- 監査計画の見直しが必要となる代表的事象:重大なシステム変更、重要なセキュリティインシデント、法規制の改正、組織再編・合併など。これらはリスクプロファイルを大きく変えます。
- 実務上は、定期的なモニタリングと臨時のリスク再評価の両方を設定しておくことが望ましいです。
FAQ(Q:/A: を 2〜3 組)
Q: リスク評価で見落としがあった場合、監査計画はどうなる?
A: 新たなリスクが判明した時点でリスク評価を更新し、影響が大きければ監査計画の範囲や重点を変更します。
A: 新たなリスクが判明した時点でリスク評価を更新し、影響が大きければ監査計画の範囲や重点を変更します。
Q: 監査リスクと残存リスクは同じ意味ですか?
A: 異なります。残存リスクは統制実施後に残るリスク、監査リスクは監査手続きで誤った結論に至る可能性を指す監査固有の概念です。
A: 異なります。残存リスクは統制実施後に残るリスク、監査リスクは監査手続きで誤った結論に至る可能性を指す監査固有の概念です。
Q: どの程度の変化で計画見直しが必要ですか?
A: 「相当程度の変化」と基準は表現します。具体的には重要性や影響度(業務停止、重大な不正リスク、新法対応など)を基に判断します。
A: 「相当程度の変化」と基準は表現します。具体的には重要性や影響度(業務停止、重大な不正リスク、新法対応など)を基に判断します。
関連キーワード: システム監査基準、リスク評価、監査計画、リスク・アプローチ、統制リスク、残存リスク、監査リスク
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!