2019年度 午後Ⅱ

問16システム監査基準(平成30年)に基づくシステム監査において,リスクの評価に基づく監査計画の策定(リスクアプローチ)で考慮すべき事項として,適切なものはどれか。
  1. 監査対象の不備を見逃して監査の結論を誤る監視リスクを完全に回避する監査計画を策定する。
  2. 情報システムリスクの大小にかかわらず,監査対象に対して一律に監査資源を配分する。
  3. 情報システムリスクは,情報システムに係るリスクと,情報の管理に係るリスクの二つに大別されることに留意する。
  4. 情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。
解答欄
問16

答え. エ

システム監査基準には、リスクの評価に基づく監査計画の策定の基準として以下のように記載されている。

  1. システム監査人は、情報システムリスクの特性及び影響を見極めた上で、リスクが顕在化した場合の影響が大きい監査対象領域に重点的に監査資源(監査時間、監査要員、監査費用等)を配分し、その一方で、影響の小さい監査対象領域には相応の監査資源を配分するように監査計画を策定することで、システム監査を効果的かつ効率的に実施することができる。
  2. 情報システムリスクは、情報システムに係るリスク(IT戦略と業務プロセスとの不整合など)、情報に係るリスク(情報の機密性、完全性、可用性が確保できないなど)、情報システム及び情報の管理に係るリスク(前述のリスクに対処するための体制・手続等に不備が含まれているリスク)に大別される。
  3. 情報システムリスクは常に一定のものではないため、システム監査人は、その特性の変化及び変化がもたらす影響に留意する必要がある。情報システムリスクの特性の変化及びその影響を理解したり、リスクに関する情報を更新したりする手法として、例えば監査対象部門による統制自己評価(Control Self-Assessment: CSA)や、システム監査人による監査対象部門に対する定期的なアンケート調査やインタビューなどがある。
  4. システム監査人は、監査報告において指摘すべき監査対象の重要な不備があるにもかかわらず、それを見逃してしまう等によって、誤った結論を導き出してしまうリスク(監査リスクと呼ばれることもある。)を合理的に低い水準に抑えるように、監査計画を策定する必要がある。
したがって、正解は「情報システムリスクは常に一定ではないことから,情報システムリスクの特性の変化及び変化がもたらす影響に留意する。」である。